Question#6(SCS-C01)

会社は、踏み台ホストへの不正な認証試行の繰り返しを検知するため、カスタマイズした通知ソリューションを実装しています。セキュリティエンジニアは、5分間に5回の失敗が発生したときに通知を送るソリューションを実装する必要があります。ソリューションはAWSネイティブサービスのみを使用し、特定の踏み台ホストに割り当てられた指名のシステム管理者だけに通知しなければなりません。

この要件を満たすソリューションはどれですか？

A. Amazon CloudWatch エージェントでOSログを収集する。Amazon EventBridge を使用して、ログのメトリクスフィルターに基づくアラームを構成する。定義したしきい値を超えたら Amazon SNS にアラートを送信する。どのSNSトピックが通知を受け取るかは、Amazon EC2 のインスタンスタグで決定する。
B. AWS Systems Manager Agent を使用してOSログを収集する。Systems Manager Run Command の AWS-ConfigureCloudWatch ドキュメントで、失敗ログインのメトリクスフィルターに基づく Amazon EventBridge イベントを構成する。定義したしきい値を超えたら Amazon SNS にアラートを送信する。SNS のメッセージフィルタを使って受信者を制御する。
C. Amazon CloudWatch エージェントでOSログを収集する。失敗ログインのメトリクスフィルターに基づく CloudWatch アラームを作成する。定義したしきい値を超えたら Amazon SNS にアラートを送信する。SNS のメッセージフィルタを使用して、誰が通知を受け取るかを制御する。
D. AWS Systems Manager Agent を使用してOSログを収集する。Systems Manager Run Command の AWS-ConfigureCloudWatch ドキュメントで、失敗ログインのメトリクスフィルターに基づく Amazon CloudWatch アラームを構成する。定義したしきい値を超えたら Amazon SNS にアラートを送信する。どのSNSトピックが通知を受け取るかは、EC2 インスタンスタグで決定する。

正解と解説ディスカッション 0

正解：C

CloudWatch エージェントでログを取り込み、メトリクスフィルター→CloudWatch アラーム（5分間の合計 ≥5）→SNS 通知という、最短・標準の構成。SNS メッセージフィルタにより、単一トピックで担当者限定配信が可能。最小運用オーバーヘッドで要件をすべて満たします。

5分間に5回の失敗を検知 → CloudWatch Logs のメトリクスフィルターで失敗ログイン（例：Linux の /var/log/secure の “Failed password” など）を 1 件＝1 としてカウントし、CloudWatch アラームで期間 300 秒（5 分）・統計 Sum ≥ 5 をしきい値として設定すれば満たせます。
AWSネイティブのみ → CloudWatch Agent + CloudWatch Logs/Alarm + SNS で完結。
特定ホストごとの指名管理者“のみ”に通知 → SNS メッセージフィルタ（サブスクリプションのフィルタポリシー）を使い、発行時に MessageAttributes で InstanceId や BastionName を付与。各管理者のサブスクリプション側を 担当ホストの属性でフィルタさせることで、1つのSNSトピックでも“該当ホストの担当者だけ”に通知を配信できます。運用オーバーヘッドが最小です（トピック分割やLambdaでのルーティング不要）。

Question#6(SCS-C01)

コメント

コメント

コメントするコメントをキャンセル

コメント

コメント

コメントする コメントをキャンセル

コメントするコメントをキャンセル