SCS-C02#2(threat-detection)
ある企業は AWS Organizations に 50 アカウントを持ち、組織全体に Amazon GuardDuty を展開しています。セキュリティチームは複数のアカウントから出る誤検知を一元的に管理したいと考えています。具体的には、社内 VPN の固定 IP からの SSH アクセスが UnauthorizedAccess:EC2/SSHBruteForce として誤検知される事象を、組織全体で抑制したいという要件があります。
どのアプローチが最も運用負荷が低いでしょうか。
正解:A
正解の根拠
GuardDuty の Trusted IP List は委任管理者アカウントで設定すれば組織全体のメンバーアカウントに適用されます。当該リストの IP は GuardDuty が信頼するものとして扱われ、UnauthorizedAccess 系を含む多くの検出が抑制されます。組織レベルでの管理が可能で、運用負荷が最小です。
不正解の理由
- B: 各アカウントを個別に運用する方式は、大規模な組織環境では持続性に欠ける運用です。
- C: Security Hub のインサイトは可視化用の集約ビューであり、検出結果の抑制機能ではありません。
- D: Lambda の自動アーカイブは追加実装が必要で、ネイティブな信頼 IP 機能を捨てる選択です。
コメント