AWS Security -08
□Question #141Topic 1
開発者から、AWSCloudTrailアカウントが無効になっているとの苦情がありました。セキュリティエンジニアがアカウントの調査を実施し、現在のセキュリティソリューションでは発生が見過ごされていると判断しました。セキュリティエンジニアは、CloudTrailセットアップの将来の変更を検出して通知するソリューションを提供する必要があります。
これらの要件に確実に準拠するために、セキュリティエンジニアはどのようなアクションを実行する必要がありますか?
A. AWS Resource Access Manager(AWS RAM)を使用して、AWSCloudTrail設定を監視します。 AmazonSNSを使用して通知を送信します。
B. Amazon CloudWatchイベントルールを作成して、AmazonGuardDutyの結果を監視します。 AmazonSNSを使用してEメール通知を送信します。
C. AWSサポートのAWSアカウント設定でセキュリティ連絡先の詳細を更新して、疑わしいアクティビティが検出されたときにアラートを送信します。
D. Amazon Inspectorを使用して、セキュリティの問題を自動的に検出します。 AmazonSNSを使用してアラートを送信します。
□Question #142Topic 1
写真のように、セキュリティエンジニアが企業のEC2インスタンス内に異常を発見しました。エンジニアの次のタスクは、異常の原因を特定することです。
エンジニアが何が起こったのかを理解できるようにしながら、インスタンスがそれ以上変更されないことを保証するために取るべき最も効果的なアクションは何ですか?
A. AutoScalingグループからインスタンスを削除します。インスタンスを分離セキュリティグループ内に配置し、EBSボリュームをデタッチし、フォレンジックツールキットを使用してEC2インスタンスを起動し、EBSボリュームを接続して調査します。
B. AutoScalingグループとElasticLoadBalancerからインスタンスを削除します。インスタンスを分離セキュリティグループ内に配置し、フォレンジックツールキットを使用してEC2インスタンスを起動し、フォレンジックツールキットイメージが疑わしいインスタンスに接続して調査を実行できるようにします。
C. AutoScalingグループからインスタンスを削除します。インスタンスを分離セキュリティグループ内に配置し、フォレンジックツールキットを使用してEC2インスタンスを起動し、フォレンジックツールキットイメージを使用してENIをネットワークスパンポートとしてデプロイし、疑わしいインスタンスからのすべてのトラフィックを検査します。
D. AutoScalingグループとElasticLoadBalancerからインスタンスを削除します。インスタンスを分離セキュリティグループ内に配置し、新しいスナップショットからEBSボリュームのコピーを作成し、フォレンジックツールキットを使用してEC2インスタンスを起動し、調査のためにEBSボリュームのコピーを添付します。
□Question #143Topic 1
企業は現在、AWSがホストするWebサーバーに対するレイヤー3およびレイヤー4のDDoS攻撃に直面しています。
このシナリオで保護を提供するAWSサービスと機能の組み合わせはどれですか? (3つ選択してください。)
A. Amazon Route 53
B. AWS Certificate Manager (ACM)
C. Amazon S3
D. AWS Shield
E. Elastic Load Balancer
F. Amazon GuardDuty
□Question #144Topic 1
Example Corp.の経理部門は、サードパーティのエージェンシーであるAnyCompanyを採用して、会社のAWSアカウントを監視および最適化することを決定しました。
Example Corp.のセキュリティエンジニアは、AnyCompanyにExample Corp.に必要なAWSリソースへのアクセスを許可することを委託されています。エンジニアはIAMロールを開発し、AnyCompanyのAWSアカウントが引き受けるための承認を取得しました。
クライアントが検証のためにAnyCompanyに連絡するとき、クライアントは役割ARNを送信します。エンジニアは、AnyCompanyの他のクライアントの1つがExample Corp.の機能ARNを発見し、会社のアカウントを危険にさらす可能性があることを恐れています。
この結果を回避するためにエンジニアはどのアクションを実行する必要がありますか?
A. IAMユーザーを作成し、一連の長期資格情報を生成します。 AnyCompanyにクレデンシャルを提供します。 IAMアクセスアドバイザでアクセスを監視し、定期的にクレデンシャルをローテーションすることを計画します。
B. AnyCompanyに外部IDを要求し、sts:Externaldを使用して条件をロールの信頼ポリシーに追加します。
C. aws:MultiFactorAuthPresentを使用してロールの信頼ポリシーに条件を追加することにより、2要素認証を要求します。
D. AnyCompanyにIP範囲をリクエストし、aws:SourceIpを使用して条件をロールの信頼ポリシーに追加します。
□Question #145Topic 1
コンプライアンス規制が強化されているため、セキュリティエンジニアは、顧客提供のキーを使用してDynamoDBに保存されているビジネスデータの暗号化を有効にする必要があります。
企業は、暗号化キーを完全に制御することを望んでいます。
コンプライアンスの要件を満たすために、エンジニアはどのDynamoDB機能を使用する必要がありますか?
A. AWS CertificateManagerを使用して証明書をリクエストします。 DynamoDBにアップロードする前に、その証明書を使用してデータを暗号化します。
B. お客様から提供されたキーを使用してS3サーバー側の暗号化を有効にします。データをAmazonS3にアップロードしてから、S3Copyを使用してすべてのデータをDynamoDBに移動します
C. KMSマスターキーを作成します。 DynamoDSにアップロードする前に、レコードごとのデータキーを生成し、それらを使用してデータを暗号化します。クリアテキストと暗号化されたデータキーは、暗号化後に保存せずに破棄します。
D. DynamoDBにアップロードする前に、DynamoDBJava暗号化クライアントを使用してデータを暗号化します。
□Question #146Topic 1
セキュリティエンジニアは、最新の承認済みパッチが展開されていないインスタンスの詳細を示す週次レポートを提供する必要があります。さらに、エンジニアは、最新の承認されたアップグレードを受け取らずにシステムが30日を超えないことを保証する必要があります。
これらの目的を達成するための最も効果的な戦略は何でしょうか?
A. Amazon Inspectorを使用して、最新のパッチが適用されていないシステムを特定し、30日後に、それらのインスタンスを最新のAMIバージョンで再デプロイします。
B. インスタンスパッチコンプライアンスについてレポートするようにAmazonEC2 Systems Managerを設定し、定義されたメンテナンスウィンドウ中に更新を適用します。
C. AWS CloudTrailログを調べて、過去30日間に再起動されていないインスタンスがあるかどうかを判断し、それらのインスタンスを再デプロイします。
D. AMIを最新の承認済みパッチで更新し、定義されたメンテナンスウィンドウ中に各インスタンスを再デプロイします。
□Question #147Topic 1
企業は機密データをAmazonS3バケットに保存し、AWS KMSCMKを使用してデータを保護する必要があります。毎年、企業はキーを自動的に循環させることを要求しています。
バケットの構成はどのように行う必要がありますか?
A. Amazon S3管理のキー(SSE-S3)を使用したサーバー側の暗号化を選択し、AWSが管理するCMKを選択します。
B. Amazon S3-AWS KMS管理の暗号化キー(S3-KMS)を選択し、キーローテーションが有効になっている顧客管理のCMKを選択します。
C. Amazon S3管理のキー(SSE-S3)を使用したサーバー側の暗号化を選択し、キーマテリアルをインポートした顧客管理のCMKを選択します。
D. AWS KMS管理キー(SSE-KMS)を使用したサーバー側の暗号化を選択し、AWS管理CMKのエイリアスを選択します。
□Question #148Topic 1
セキュリティエンジニアは、AWS CloudTrailがオフになった場合に、さまざまなAWSリージョンでAWSCloudTrailを再度有効にする方法を提供する必要があります。
このソリューションを実装するのに最も効果的な方法はどれですか?
A. 管理されたルールでAWSConfigを使用して、AWS-EnableCloudTrail修復をトリガーします。
B. cloudtrail.amazonaws.comイベントソースとStartLoggingイベント名を使用してAmazon EventBridge(Amazon CloudWatch Events)イベントを作成し、AWSLambda関数をトリガーしてStartLoggingAPIを呼び出します。
C. cloudtrail.amazonaws.comイベントソースとStopLoggingイベント名を使用してAmazonCloudWatchアラームを作成し、AWSLambda関数をトリガーしてStartLoggingAPIを呼び出します。
D. AWS Trusted Advisorを監視して、CloudTrailロギングが有効になっていることを確認します。
□Question #149Topic 1
セキュリティイベント中に、特定のAmazonEC2インスタンスがAmazonCloudWatchログを送信していないことが確認されています。
この問題を解決するためにセキュリティエンジニアはどのような対策を講じることができますか? (2つ選択してください。)
A. 適切なログを送信していないEC2インスタンスに接続し、CloudWatchLogsエージェントが実行されていることを確認します。
B. AWSアカウントにログインし、CloudWatchLogsを選択します。 Alerting状態にある監視対象のEC2インスタンスを確認し、EC2コンソールを使用して再起動します。
C. EC2インスタンスにパブリックAWSAPIエンドポイントへのルートがあることを確認します。
D. ログを送信していないEC2インスタンスに接続します。コマンドプロンプトを使用して、AmazonSNSトピックに適切なアクセス許可が設定されていることを確認します。
E. EC2インスタンスのネットワークアクセスコントロールリストとセキュリティグループが、SNMPを介してログを送信するためのアクセス権を持っていることを確認します。
□Question #150Topic 1
Amazon EC2インスタンスでは、IAMロールが接続された状態でアプリケーションが実行されています。 IAMロールは、顧客が管理するAWS Key Management Service(AWS KMS)キーとAmazonS3バケットへのアクセスを許可します。
セキュリティエンジニアは、機密データの侵害につながる可能性のあるAmazonEC2インスタンスの脆弱性を特定します。セキュリティエンジニアは、他の重要なプロセスが原因で、脆弱性パッチを適用するためにEC2インスタンスを即座にシャットダウンすることはできません。
機密データの漏洩を防ぐための最速の方法は何ですか?
A. 既存のS3バケットから新しいEC2インスタンスにデータをダウンロードします。次に、S3バケットからデータを削除します。クライアントベースのキーを使用してデータを再暗号化します。データを新しいS3バケットにアップロードします。
B. ホストベースのファイアウォールを使用して、S3エンドポイントIPアドレスのパブリック範囲へのアクセスをブロックします。影響を受けるEC2インスタンスからのインターネットバウンドトラフィックがホストベースのファイアウォールを経由するようにします。
C. IAMロールのアクティブなセッション権限を取り消します。 S3バケットポリシーを更新して、IAMロールへのアクセスを拒否します。 EC2インスタンスプロファイルからIAMロールを削除します。
D. 現在のキーを無効にします。 IAMロールがアクセスできない新しいKMSキーを作成し、すべてのデータを新しいキーで再暗号化します。侵害されたキーを削除するようにスケジュールします。
□Question #151Topic 1
アプリケーションは、アプリケーションの主要なリージョン内のアベイラビリティーゾーン全体だけでなく、多くのリージョンにわたって堅牢である必要があります。
AWS KMSで暗号化されたリソースのこの基準を満たすのは次のうちどれですか?
A. アプリケーションのAWSKMS CMKをソースリージョンからターゲットリージョンにコピーして、ターゲットリージョンにコピーされた後にリソースを復号化するために使用できるようにします。
B. ターゲットリージョンのリソースを復号化するために使用できるように、リージョン間でCMKを自動的に同期するようにAWSKMSを設定します。
C. リージョン間でデータを複製するAWSサービスを使用し、ターゲットリージョンのCMKを使用してソースリージョンで作成されたデータ暗号化キーを再ラップして、ターゲットリージョンのCMKがデータベース暗号化キーを復号化できるようにします。
D. ターゲットリージョンのAWSKMSと通信するようにターゲットリージョンのAWSサービスを設定して、ターゲットリージョンのリソースを復号化できるようにします。
□Question #152Topic 1
分散型ウェブアプリケーションは、2つのアベイラビリティーゾーンにまたがるパブリックサブネット上の多くのAmazonEC2インスタンスにデプロイされます。過去6か月間に、レイヤー7レベルの数百のIPアドレスからのブルートフォース攻撃がApacheログで検出されました。
これらの攻撃の将来の影響を軽減するための最良の方法は何ですか?
A. カスタムルートテーブルを使用して、悪意のあるトラフィックがインスタンスにルーティングされるのを防ぎます。
B. セキュリティグループを更新して、発信元IPアドレスからのトラフィックを拒否します。
C. ネットワークACLを使用します。
D. 各インスタンスに侵入防止ソフトウェア(IPS)をインストールします。
□Question #153Topic 1
企業はAmazonEC2でアプリケーションをホストしており、プログラムがAWS SystemsManagerパラメーターストアに保存されている安全な文字列にアクセスできることを望んでいます。セキュア文字列キー値にアクセスしようとしたときに、プログラムでエラーが発生しました。
この失敗の原因となった可能性のある変数はどれですか? (2つ選択してください。)
A. EC2インスタンスロールには、シークレットの暗号化に使用されるAWS Key Management Service(AWS KMS)キーに対する復号化権限がありません。
B. EC2インスタンスロールには、パラメータストアのパラメータを読み取るための読み取り権限がありません。
C. パラメータストアには、AWS Key Management Service(AWS KMS)を使用してパラメータを復号化する権限がありません。
D. EC2インスタンスロールには、シークレットに関連付けられたAWS Key Management Service(AWS KMS)キーの暗号化権限がありません。
E. EC2インスタンスにはタグが関連付けられていません。
□Question #154Topic 1
企業は、ドメインサービス用にオンプレミスのActiveDirectoryサーバーに接続されているVPCでWindowsを実行しているAmazonEC2インスタンスを使用しています。セキュリティチームは、AWSアカウントでAmazon GuardDutyを設定して、問題が発生しているインスタンスを通知します。
セキュリティエンジニアは、ネットワークトラフィックの毎週の監査中に、EC2インスタンスの1つが試行しているが、認識されているコマンドアンドコントロールサービスとの対話に失敗していることを確認します。 GuardDutyはこの警告を表示しません。
GuardDutyがこの動作に気づかなかったのはなぜですか?
A. GuardDutyで適切なアラートがアクティブ化されていませんでした。
B. GuardDutyはこれらのDNS要求を認識しません。
C. GuardDutyは、コマンドアンドコントロールアクティビティのアクティブなネットワークトラフィックフローのみを監視します。
D. GuardDutyはコマンドアンドコントロールアクティビティについてレポートしません。
□Question #155Topic 1
AWSアカウントのrootユーザーのログインの危険性を懸念して、会社のセキュリティ担当者は、アカウントのrootユーザーのログイン時にほぼリアルタイムの通知を提供する通知システムを作成するようにセキュリティエンジニアを割り当てました。
セキュリティエンジニアはこれらの標準にどのように準拠する必要がありますか?
A. スクリプトを実行するcronジョブを作成して、AWS IAMセキュリティクレデンシャルファイルをダウンロードし、ファイルを解析してアカウントrootユーザーのログインを確認し、セキュリティチームの配布リストを電子メールで送信します。
B. AmazonCloudWatchイベントを介してAWSCloudTrailログを実行し、アカウントルートユーザーのログインを検出し、AWSLambda関数をトリガーしてAmazonSNS通知をセキュリティチームの配布リストに送信します。
C. AWSCloudTrailログをセキュリティチームのアカウントのAmazonS3バケットに保存します。アカウントのrootユーザーログイン用のセキュリティエンジニアのログソリューションを使用してCloudTrailログを処理します。アカウントのrootユーザーのログインイベントが発生したら、セキュリティチームにAmazonSNS通知を送信します。
D. VPCフローログをセキュリティチームのアカウントのAmazonS3バケットに保存し、アカウントルートユーザーログイン用のログソリューションを使用してVPCフローログを処理します。アカウントのrootユーザーのログインイベントが発生したら、セキュリティチームにAmazonSNS通知を送信します。
□Question #156Topic 1
企業には5つのAWSアカウントがあり、AWSCloudTrailを使用してAPI呼び出しを追跡したいと考えています。ログファイルは、集中型サービス用に明示的に作成された新しいアカウントの一部であるAmazonS3バケットに保存する必要があります。各トレイルには、固有のトップレベルプレフィックスが必要です。さらに、設定では、ログへの変更を検出できるようにする必要があります。
次のアクションのどれがこれらの目的を達成しますか? (3つ選択してください。)
A. CloudTrailログを一元的に保存するために別のAWSアカウントに新しいS3バケットを作成し、すべてのトレイルでログファイル検証を有効にします。
B. アカウントの1つで既存のS3バケットを使用し、CloudTrailサービスが「s3:PutObject」アクションと「s3GetBucketACL」アクションを使用できるようにする新しい集中型S3バケットにバケットポリシーを適用し、適切なリソースを指定しますCloudTrailトレイルのARN。
C. CloudTrailサービスが「s3PutObject」アクションと「s3GelBucketACL」アクションを使用できるようにする新しい集中型S3バケットにバケットポリシーを適用し、CloudTrailトレイルに適切なリソースARNを指定します。
D. 各AWSアカウントの証跡に一意のログファイルプレフィックスを使用します。
E. 一元化されたアカウントでCloudTrailを設定して、すべてのアカウントを新しい一元化されたS3バケットに記録します。
F. AWS Key ManagementServiceを使用してログファイルの暗号化を有効にする
□Question #157Topic 1
セキュリティエンジニアは、既存のトレイルのAWSCloudTrailログファイルプレフィックスを更新する任務を負っています。セキュリティエンジニアが変更をCloudTrailコンソールに保存しようとすると、次のエラー通知が表示されます。「バケットポリシーに問題があります。」
セキュリティエンジニアが変更を保存できるメカニズムは何ですか?
A. 更新されたログファイルプレフィックスを使用して新しい証跡を作成してから、元の証跡を削除します。 Amazon S3コンソールの既存のバケットポリシーを新しいログファイルプレフィックスで更新してから、CloudTrailコンソールのログファイルプレフィックスを更新します。
B. Amazon S3コンソールの既存のバケットポリシーを更新して、セキュリティエンジニアのプリンシパルがPutBucketPolicyを実行できるようにしてから、CloudTrailコンソールのログファイルプレフィックスを更新します。
C. Amazon S3コンソールの既存のバケットポリシーを新しいログファイルプレフィックスで更新してから、CloudTrailコンソールのログファイルプレフィックスを更新します。
D. Amazon S3コンソールの既存のバケットポリシーを更新して、セキュリティエンジニアのプリンシパルがGetBucketPolicyを実行できるようにしてから、CloudTrailコンソールのログファイルプレフィックスを更新します。
□Question #158Topic 1
ビジネスには2つのAWSアカウントがあり、それぞれに1つのVPCがあります。最初のVPCは、VPNを介して企業ネットワークに接続されます。 VPN接続がない場合、2番目のVPCはプライベートサブネット上でAmazonAuroraデータベースクラスターを実行します。図に示されているように、開発者はパブリックサブネット内の要塞コンピューターからAuroraデータベースを制御します。
このアーキテクチャは、セキュリティ評価中に弱いものとして強調されており、セキュリティエンジニアはそれをより安全にする任務を負っています。組織は厳しいスケジュールの下で運営されており、Auroraアカウントへの2番目のVPN接続を確立することは現実的ではありません。
セキュリティエンジニアはどのようにして要塞ホストを安全に構成できますか?
A. 要塞ホストをVPN接続のあるVPCに移動します。要塞ホストVPCとAuroraVPCの間にVPCピアリング関係を作成します。
B. 開発者のワークステーションに要塞ホストへのSSHポート転送トンネルを作成して、許可されたSSHクライアントのみが要塞ホストにアクセスできるようにします。
C. 要塞ホストをVPN接続のあるVPCに移動します。要塞VPCとAuroraVPCの間にアカウント間の信頼関係を作成し、その関係のAuroraセキュリティグループを更新します。
D. 企業ネットワークとAuroraアカウントの間にAWSDirect Connect接続を作成し、この接続用にAuroraセキュリティグループを調整します。
□Question #159Topic 1
AWSの不正使用通知は、他のホストを悪用しているとされるEC2インスタンスIDを特定するセキュリティエンジニアによって受信されました。
状況に照らして、エンジニアはどの行動方針を追求する必要がありますか? (3つ選択してください。)
A. AWS Artifactを使用して、各インスタンスの状態の正確なイメージをキャプチャします。
B. 侵害されたインスタンスに接続されている各ボリュームのEBSスナップショットを作成します。
C. メモリダンプをキャプチャします。
D. 管理者の資格情報を使用して各インスタンスにログインし、インスタンスを再起動します。
E. フォレンジックワークステーションとの間を除くすべてのネットワークの入力と出力を取り消します。
F. AmazonEC2の自動リカバリを実行します。
□Question #160Topic 1
企業の最高セキュリティ責任者は、セキュリティアナリストに、組織の各アマゾンウェブサービス(AWS)アカウントのセキュリティ体制を分析および強化するように依頼しました。セキュリティアナリストは、AWSアカウントのrootユーザーのセキュリティを強化することでこれを行うことを決定します。
これらの要件を確実に遵守するために、セキュリティアナリストはどのような活動を行う必要がありますか? (3つ選択してください。)
A. すべてのアカウントのアカウントrootユーザーのアクセスキーを削除します。
B. 管理者権限を持つ管理IAMユーザーを作成し、すべてのアカウントのアカウントrootユーザーを削除します。
C. アカウントrootユーザーによるAWSマネジメントコンソールへのアカウントレベルのアクセスを保護するために、強力なパスワードを実装します。
D. すべてのアカウントのすべてのアカウントrootユーザーで多要素認証(MFA)を有効にします。
E. カスタムIAMポリシーを作成して、アカウントrootユーザーに必要なアクションへのアクセス許可を制限し、ポリシーをアカウントrootユーザーに添付します。
F. アカウントのrootユーザーにIAMロールをアタッチして、AWSSTSの自動クレデンシャルローテーションを利用します。