MENU

会員登録（無料）

SCS-C02#4(security-logging)

この問題のディスカッション

SCS-C02#4(security-logging)

ある企業は CloudTrail を有効化していますが、ConsoleLogin の異常な失敗や RunInstances の急増といった通常と異なるパターンを早期に検知したいと考えています。機械学習モデルを自前で構築せずに実装する方法を求めています。最も適切なアプローチはどれですか。

A. GuardDuty を有効化して、すべての CloudTrail 管理イベントに対する独自の異常検知ルールを実装し運用します。
B. CloudTrail 証跡で Insights イベントを有効化し、書き込み API の異常な呼び出しを自動検知します。
C. CloudWatch Logs Insights クエリを 5 分ごとに実行し、しきい値を超えた場合にアラームを発行します。
D. Amazon Lookout for Metrics に CloudTrail メトリクスを学習させ、異常検出時に通知を行います。

正解と解説ディスカッション 0

正解：B

正解の根拠

CloudTrail Insights は API 呼び出しのベースラインを継続的に学習し、書き込み API の異常な急増や ConsoleLogin の失敗異常などをマネージドで自動検出します。追加実装は不要です。

不正解の理由

A: GuardDuty は脅威検出が目的で、API 呼び出し回数の異常急増の自動検知は Insights の役割です。
C: 固定しきい値ベースの検知となり、ベースライン学習による異常検出にはなりません。
D: Lookout for Metrics は CloudTrail との直接統合がなく、データパイプライン構築が必要です。

参考：CloudTrail Insights events

コメント

コメント

コメントするコメントをキャンセル