Question#32(SCS-C01)
ある企業はコラボレーションアプリケーションを使用しています。セキュリティエンジニアは、us-west-2リージョンでAWS Security Hubからアプリケーションに対する自動アラートを設定する必要があります。セキュリティエンジニアは、Security Hubが新しいファインディングを受け取るたびに、アプリケーション内の特定のチャンネルでアラートを受け取りたいと考えています。セキュリティエンジニアは、メッセージをアプリケーションが要求する形式に変換するAWS Lambda関数を作成しました。Lambda関数は、メッセージをアプリケーションのAPIに送信します。セキュリティエンジニアは、Lambda関数をターゲットとして指定する対応するAmazon EventBridgeルールを構成しました。EventBridgeルールが実装された後、チャンネルはSecurity Hubからのアラートを継続的に受け取り始めました。これらのアラートの多くは、アクションを必要としないAmazon Inspectorアラートです。セキュリティエンジニアは、Amazon Inspectorアラートを停止したいと考えています。どのソリューションがこの要件を最小限の運用努力で満たしますか?
正解:C
EventBridge のイベントパターンで ProductArn を条件にフィルタリングするのが最も効率的。
"anything-but" を使えば Inspector のイベントだけを除外でき、不要なイベントは Lambda に届かない。- Lambda 内でフィルタリング → 無駄な処理
- SNS 経由 → 余計な仕組み追加
- Security Hub カスタムアクション → ユースケース不一致
- EventBridge ルールで ProductArn を条件に除外 → 最小の運用労力で解決
コメント