A security administrator has enabled AWS Security Hub for all the AWS accounts in an organization in AWS Organizations. The security team wants near-real-time response and remediation for deployed AWS resources that do not meet security standards. All changes must be centrally logged for auditing purposes. The organization has reached the quotas for the number of SCPs attached to an OU and SCP document size. The team wants to avoid making any changes to any of the SCPs. The solution must maximize scalability and cost-effectiveness.
Which combination of actions should the security administrator take to meet these requirements? (Choose three.)
A. Create an AWS Config custom rule to detect configuration changes to AWS resources. Create an AWS Lambda function to remediate the AWS resources in the delegated administrator AWS account.
B. Use AWS Systems Manager Change Manager to track configuration changes to AWS resources. Create a Systems Manager document to remediate the AWS resources in the delegated administrator AWS account.
C. Create a Security Hub custom action to reference in an Amazon EventBridge event rule in the delegated administrator AWS account.
D. Create an Amazon EventBridge event rule to Invoke an AWS Lambda function that will take action on AWS resources.
E. Create an Amazon EventBridge event rule to invoke an AWS Lambda function that will evaluate AWS resource configuration for a set of API requests and create a finding for noncompllant AWS resources.
F. Create an Amazon EventBridge event rule to invoke an AWS Lambda function on a schedule to assess specific AWS Config rules.
ACD
一位安全管理员已为 AWS Organizations 中组织的所有 AWS 账户启用了 AWS Security Hub。安全团队希望针对不符合安全标准的已部署 AWS 资源实现近实时响应和修复,且所有变更必须集中记录以供审计。该组织已达到组织单元(OU)附加的服务控制策略(SCP)数量限制和 SCP 文档大小限制,团队希望避免对任何 SCP 进行更改。解决方案必须最大化可扩展性和成本效益。
如何在不修改 SCP 的前提下,通过组合 AWS 服务实现近实时安全合规检测、自动化修复和集中审计,同时满足可扩展性和成本要求?
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 正确。创建一个 AWS Config 自定义规则以检测 AWS 资源的配置变更。在委托管理员 AWS 账户中创建一个 AWS Lambda 函数以修复 AWS 资源。AWS Config 可检测非合规资源,Lambda 可实现自动化修复,且无需修改 SCP。
B. 不正确。使用 AWS Systems Manager Change Manager 跟踪 AWS 资源的配置变更。在委托管理员 AWS 账户中创建一个 Systems Manager 文档以修复 AWS 资源。Change Manager 需人工审批流程,无法实现近实时响应,且修复依赖文档,灵活性较低。
C. 正确。在委托管理员 AWS 账户中创建一个 Security Hub 自定义操作,以在 Amazon EventBridge 事件规则中引用。自定义操作可被 EventBridge 规则触发,实现与 Lambda 或 SNS 的集成,支持自动化响应。
D. 正确。创建一个 Amazon EventBridge 事件规则以调用 AWS Lambda 函数,该函数将对 AWS 资源执行操作。EventBridge 规则可捕获 Security Hub 事件并触发 Lambda,实现自动化修复。
E. 不正确。创建一个 Amazon EventBridge 事件规则以调用 AWS Lambda 函数,该函数将评估一组 API 请求的 AWS 资源配置,并为非合规 AWS 资源创建调查结果。此选项侧重于评估而非修复,无法满足“近实时响应”需求。
F. 不正确。创建一个 Amazon EventBridge 事件规则以按计划调用 AWS Lambda 函数来评估特定 AWS Config 规则。计划触发无法实现近实时响应,且仅评估不修复不符合要求。
AWS Security Hub 集成:Security Hub 可聚合来自 AWS Config、Amazon GuardDuty 等服务的合规检查结果,但需依赖其他服务实现自动化响应。
事件驱动架构:Amazon EventBridge:可捕获 Security Hub 生成的合规事件(如“非合规资源”),并触发后续动作(如调用 Lambda 或自定义操作)。
AWS Lambda:用于执行自动化修复逻辑(如修改资源配置或关闭非合规实例)。
AWS Config:可检测资源配置偏差,配合自定义规则或 Lambda 函数实现修复。
AWS Systems Manager Change Manager:适用于跟踪变更请求,但修复需依赖 Systems Manager 文档,可能增加复杂性。
集中审计:所有通过 EventBridge 和 Lambda 的变更操作默认记录在 AWS CloudTrail 中,满足审计需求。