A security engineer must Implement monitoring of a company's Amazon Aurora MySQL DB instances. The company wants to receive email notifications when unknown users try to log in to the database endpoint.
Which solution will meet these requirements with the LEAST operational overhead?
A. Enable Amazon GuardDuty. Enable the Amazon RDS Protection feature in GuardDuty to detect login attempts by unknown users. Create an Amazon EventBridge rule to filter GuardDuty findings. Send email notifications by using Amazon Simple Notification Service (Amazon SNS).
B. Enable the server_audit_logglng parameter on the Aurora MySQL DB instances. Use AWS Lambda to periodically scan the delivered log files for login attempts by unknown users. Send email notifications by using Amazon Simple Notification Service (Amazon SN
C. Create an Amazon RDS Custom AMI. Include a third-party security agent in the AMI to detect login attempts by unknown users. Deploy RDS Custom DB instances. Migrate data from the existing installation to the RDS Custom DB instances. Configure email notifications from the third-party agent.
D. Write a stored procedure to detect login attempts by unknown users. Schedule a recurring job inside the database engine. Configure Aurora MySQL to use Amazon Simple Notification Service (Amazon SNS) to send email notifications.
A
安全工程师必须对公司 Amazon Aurora MySQL 数据库实例实施监控。公司希望在未知用户尝试登录数据库端点时收到电子邮件通知。
如何以最低运维成本实现 Aurora MySQL 未知用户登录尝试的实时监控与邮件告警?
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。启用 Amazon GuardDuty。在 GuardDuty 中启用 Amazon RDS Protection 功能以检测未知用户的登录尝试。创建 Amazon EventBridge 规则以过滤 GuardDuty 的调查结果。使用 Amazon Simple Notification Service (Amazon SNS)发送电子邮件通知。GuardDuty 的 RDS Protection 可直接检测异常登录,EventBridge+SNS 实现自动化告警,无需修改数据库配置,运维成本最低。
B. 不正确。在 Aurora MySQL 数据库实例上启用 server_audit_logging 参数。使用 AWS Lambda 定期扫描已交付的日志文件以查找未知用户的登录尝试。使用 Amazon Simple Notification Service (Amazon SNS)发送电子邮件通知。需手动配置日志解析逻辑,且 Lambda 扫描频率影响实时性,运维成本高于 GuardDuty 方案。
C. 不正确。创建 Amazon RDS Custom AMI。在 AMI 中包含第三方安全代理以检测未知用户的登录尝试。部署 RDS Custom 数据库实例。将数据从现有安装迁移到 RDS Custom 数据库实例。从第三方代理配置电子邮件通知。需管理第三方软件生命周期及数据迁移,运维复杂度高,不符合“最低成本”要求。
D. 不正确。编写存储过程以检测未知用户的登录尝试。在数据库引擎内安排定期任务。配置 Aurora MySQL 使用 Amazon Simple Notification Service (Amazon SNS)发送电子邮件通知。数据库内部任务调度功能有限,且邮件通知需依赖外部扩展或服务,实现难度大。
数据库原生日志能力:Aurora MySQL 支持通过参数组启用审计日志(如 server_audit_logging),记录所有连接和查询操作,但需额外处理日志解析。
Amazon GuardDuty:可检测 RDS 数据库的异常登录行为(如暴力破解),但需启用 RDS Protection 扩展功能。
Amazon EventBridge:可捕获 GuardDuty 生成的告警事件,并触发后续动作(如调用 SNS 发送邮件)。
第三方工具集成:通过自定义 AMI 部署第三方安全代理可实现深度监控,但需管理代理软件及数据迁移,运维成本高。