A security engineer needs to implement a solution to determine whether a company’s Amazon EC2 instances are being used to mine cryptocurrency. The solution must provide notifications of cryptocurrency-related activity to an Amazon Simple Notification Service (Amazon SNS) topic.
Which solution will meet these requirements?
A. Create AWS Config custom rules by using GuardDuty custom policy. Configure the AWS Config rules to detect when an EC2 instance queries a DNS domain name that is associated with cryptocurrency-related activity. Configure AWS Config to initiate alerts to the SNS topic.
B. Enable Amazon GuardDuty. Create an Amazon EventBridge rule to send alerts to the SNS topic when GuardDuty creates a finding that is associated with cryptocurrency-related activity.
C. Enable Amazon Inspector. Create an Amazon EventBridge rule to send alerts to the SNS topic when Amazon Inspector creates a finding that is associated with cryRtocurrency-related activity.
D. Enable VPC flow logs. Send the flow logs to an Amazon S3 bucket. Set up a query in Amazon Athena to detect when an EC2 instance queries a DNS domain name that is associated with cryptocurrency-related activity. Configure the Athena query to initiate alerts to the SNS topic.
B
一位安全工程师需要实施一个解决方案,以确定公司的亚马逊弹性计算云(Amazon EC2)实例是否被用于挖掘加密货币。该解决方案必须向亚马逊简单通知服务(Amazon Simple Notification Service,Amazon SNS)主题提供与加密货币相关活动的通知。
哪些解决方案能满足这些要求?
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。使用 Guard 自定义策略创建 AWS Config 自定义规则。配置 AWS Config 规则,以检测 EC2 实例何时查询与加密货币相关活动关联的 DNS 域名。配置 AWS Config 向 SNS 主题发起警报。通过创建自定义规则能检测特定 DNS 查询,且可配置向 SNS 主题发警报,理论上可行,但需正确编写 Guard 策略和配置规则。
B. 正确。启用 Amazon GuardDuty。创建一个 Amazon EventBridge 规则,当 GuardDuty 创建与加密货币相关活动关联的发现结果时,向 SNS 主题发送警报。GuardDuty 是专门威胁检测服务,能检测多种恶意活动,包括可能与加密货币挖矿相关的活动,通过 EventBridge 规则可方便地向 SNS 主题发送警报,是直接有效的方案。
C. 不正确。启用 Amazon Inspector。创建一个 Amazon EventBridge 规则,当 Amazon Inspector 创建与加密货币相关活动关联的发现结果时,向 SNS 主题发送警报。Amazon Inspector 主要针对应用程序安全评估,并非专门用于检测加密货币挖矿活动,其发现结果与该需求关联性不强。
D. 不正确。启用 VPC 流量日志。将流量日志发送到 Amazon S3 存储桶。在 Amazon Athena 中设置查询,以检测 EC2 实例何时查询与加密货币相关活动关联的 DNS 域名。配置 Athena 查询向 SNS 主题发起警报。此方案可行涉及多个步骤和组件配置,相比其他方案,实施和维护成本较高。
AWS Config 服务:可用于创建自定义规则,通过配置规则能检测特定活动,如 EC2 实例查询特定 DNS 域名,并可发起警报到指定主题,符合检测和通知需求。
Amazon GuardDuty 服务:是一项威胁检测服务,能创建与特定活动关联的发现结果,可通过创建 Amazon EventBridge 规则,在有相关发现时向 SNS 主题发送警报,实现检测与通知功能。
Amazon Inspector 服务:主要用于评估应用程序的安全性,虽能创建发现结果,但重点并非针对加密货币挖矿活动的检测,不过通过创建规则也可实现向 SNS 主题发送相关警报。
VPC 流量日志服务:记录 VPC 内的流量信息,将日志发送到 S3 存储桶后,可通过 Amazon Athena 设置查询来检测特定活动,并配置查询发起警报到 SNS 主题,但过程相对复杂。