A company stores sensitive data in AWS Secrets Manager. A security engineer needs to design a solution to generate a notification email when anomalous GetSecretValue API calls occur. The security engineer has configured an Amazon EventBridge rule for all Secrets Manager events that AWS CloudTrail delivers.
Which solution will meet these requirements?
A. Configure CloudTrail as the target of the EventBridge rule. Set up an attribute filter on the IncomingBytes attribute and enable anomaly detection. Create an Amazon Simple Notification Service (Amazon SNS) topic. Configure a CloudTrail alarm that uses the SNS topic to send the notification.
B. Configure CloudTrail as the target of the EventBridge rule. Set up an attribute filter on the IncomingBytes attribute and enable anomaly detection. Create an Amazon Simple Queue Service (Amazon SQS) queue. Configure a CloudTrail alarm that uses the SQS
C. Configure Amazon CloudWatch Logs as the target of the EventBridge rule. Set up a metric filter on the IncomingBytes metric and enable anomaly detection. Create an Amazon Simple Notification Service (Amazon SNS) topic. Configure a CloudWatch alarm that uses the SNS topic to send the notification.
D. Configure Amazon CloudWatch Logs as the target of the EventBridge rule. Use CloudWatch Logs Insights query syntax to search for anomalous GetSecretValue API calls. Create an Amazon Simple Queue Service (Amazon SQS) queue. Configure a CloudWatch alarm that uses the SQS queue to send the notification.
C
一家公司在 AWS Secrets Manager 中存储敏感数据。安全工程师需要设计一种解决方案,在发生异常的 GetSecretValue API 调用时生成通知邮件。安全工程师已为 AWS CloudTrail 交付的所有 Secrets Manager 事件配置了 Amazon EventBridge 规则。
如何通过 EventBridge 规则检测 Secrets Manager 的异常 GetSecretValue 调用并触发邮件通知。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。将 CloudTrail 配置为 EventBridge 规则的目标。对 IncomingBytes 属性设置属性过滤器并启用异常检测。创建 Amazon Simple Notification Service(Amazon SNS)主题。配置使用 SNS 主题发送通知的 CloudTrail 警报。CloudTrail 本身不生成指标,无法直接对 IncomingBytes 属性启用异常检测,且 CloudTrail 警报不支持 SNS 通知,逻辑错误。
B. 不正确。将 CloudTrail 配置为 EventBridge 规则的目标。对 IncomingBytes 属性设置属性过滤器并启用异常检测。创建 Amazon Simple Queue Service(Amazon SQS)队列。配置使用 SQS 队列的 CloudTrail 警报。CloudTrail 无法直接生成指标或触发 SQS 队列,且 SQS 无法发送邮件,无法满足通知需求。
C. 正确。将 Amazon CloudWatch Logs 配置为 EventBridge 规则的目标。对 IncomingBytes 指标设置指标过滤器并启用异常检测。创建 Amazon Simple Notification Service(Amazon SNS)主题。配置使用 SNS 主题发送通知的 CloudWatch 警报。CloudWatch Logs 可存储 CloudTrail 日志,通过指标过滤器检测异常 GetSecretValue 调用(如高频请求),触发 CloudWatch 警报并通过 SNS 发送邮件,符合要求。
D. 不正确。将 Amazon CloudWatch Logs 配置为 EventBridge 规则的目标。使用 CloudWatch Logs Insights 查询语法搜索异常 GetSecretValue API 调用。创建 Amazon Simple Queue Service(Amazon SQS)队列。配置使用 SQS 队列的 CloudWatch 警报。Logs Insights 需手动查询,无法自动触发警报,且 SQS 无法发送邮件,无法满足自动化通知需求。
EventBridge 目标类型:
CloudTrail:记录 API 调用事件,但需配合 CloudWatch Logs 或指标过滤实现异常检测。
CloudWatch Logs:可存储和分析日志,支持通过指标过滤器查询检测异常。
异常检测方式:
指标过滤器:基于特定指标(如请求频率)触发警报,适用于已知异常模式。
Logs Insights 查询:通过自定义查询检测异常,灵活性高但需手动配置查询语句。
通知机制:
SNS 主题:支持邮件通知,需与 CloudWatch 警报集成。
SQS 队列:用于解耦消息处理,但无法直接发送邮件,需额外服务(如 Lambda)处理。