SCS-C02#4(threat-detection)

ある組織は AWS Security Hub を有効化しており、CIS AWS Foundations Benchmark v1.4.0 と PCI DSS v3.2.1 のセキュリティ標準を有効にしています。セキュリティエンジニアは、特定の Critical な検出結果が新規発生したときに、自動的に修復用の Lambda 関数を起動したいと考えています。

どの構成が最も適切でしょうか。

A. Security Hub のカスタムアクションを定義し、EventBridge ルール経由で Lambda 関数を起動する。さらに、対応漏れを防ぐためチケットシステム連携を含めて運用に組み込みます。
B. Config Rules でセキュリティ標準を再実装し、自動修復アクションとして Lambda を直接指定する。
C. Security Hub のインサイトを定義し、検出時に SNS トピックから Lambda 関数を間接呼び出す。
D. Security Hub Findings の EventBridge イベントパターンに重要度フィルタを設定して Lambda を起動する。

正解と解説ディスカッション 0

正解：D

正解の根拠

Security Hub は新規および更新された検出結果を Security Hub Findings - Imported イベントとして EventBridge に発行します。イベントパターンに Severity.Label が CRITICAL のフィルタを設定すれば、自動的に Lambda を起動できます。これは AWS が公式に推奨する自動修復パターン (SHARR の基盤) です。

不正解の理由

A: カスタムアクションは管理者が手動で発火するもので、新規検出時に自動起動する用途ではありません。
C: インサイトは集約ビューであり、検出結果が新規に出現した際のトリガとしては機能しません。
B: 全標準を Config Rules で再実装するのは大規模な車輪の再発明であり、運用負荷も高くなります。

参考：Security Hub と EventBridge

SCS-C02#4(threat-detection)

正解の根拠

不正解の理由

コメント

コメント

コメントするコメントをキャンセル

正解の根拠

不正解の理由

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル