회사의 정보 보안 이사가 AWS 보안 모범 사례를 충족하기 위해 각 회사 계정에 대한 권장 사항이 포함된 AWS의 일일 이메일 보고서를 원합니다. 이러한 요구 사항을 충족하는 솔루션은 무엇입니까?

• A.마스터 계정에서 Amazon GuardDuty를 구성하고 다른 모든 계정을 마스터 계정에서 관리하도록 초대합니다. GuardDuty와 Amazon SNS의 통합을 사용하여 결과 보고
• B.Amazon Athena 및 Amazon QuickSight를 사용하여 AWS CloudTrail에서 보고서 작성 일일 Amazon CloudWatch 트리거를 생성하여 보고서 실행 및 이메일 전송 Amazon SNS를 사용
• C.모든 AWS 계정에서 AWS 지원 API 또는 AWS Trusted Advisor 보안 검사를 쿼리하도록 AWS Lambda를 구성합니다. Lambda에서 결과를 Amazon SNS 주제로 보내 보고서를 보냅니다.
• D.AWS Artifact의 사전 구축된 보고서 및 구독 사용 정보 보안 이사를 각 계정의 보안 대체 연락처로 추가하여 보고서에 대한 정보 보안 이사를 구독합니다.

Comment: *

Name: *

Email: *

Verification: *

보안 팀은 직원이 AWS 인프라에서 무단 작업을 실행할 경우 대응 계획을 작성하고 있습니다. 직원의 IAM 권한이 사고의 일부로 변경되었는지 확인하는 단계를 포함하려고 합니다.
팀은 계획에서 어떤 단계를 문서화해야 합니까?
선택 해주세요:

• A.AWS Config를 사용하여 사고 이전 직원의 IAM 권한을 검사하고 직원의 현재 IAM 권한과 비교합니다.
• B.Made를 사용하여 사고 이전 직원의 IAM 권한을 검사하고 직원의 A 현재 IAM 권한과 비교합니다.
• C.CloudTrail을 사용하여 사고 이전 직원의 IAM 권한을 검사하고 직원의 현재 IAM 권한과 비교합니다.
• D.Trusted Advisor를 사용하여 사고 이전 직원의 IAM 권한을 검사하고 직원의 현재 IAM 권한과 비교합니다.

Correct Answer: A

AWSConfig 기록을 사용하여 특정 항목의 기록을 볼 수 있습니다.
아래 스냅샷은 AWS Config에서 사용자의 구성 예시를 보여줍니다.

옵션 B,C 및 D는 이러한 서비스를 사용하여 특정 구성 항목의 기록을 볼 수 없기 때문에 모두 유효하지 않습니다. 이는 AWS Config에서만 수행할 수 있습니다.
AWS Config의 변경 사항 추적에 대한 자세한 내용은 아래 URL을 참조하십시오.
https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/TrackineChanees.htmll 정답은 다음과 같습니다. AWS Config를 사용하여 사고 발생 전 직원의 IAM 권한을 검사하고 직원의 현재 IAM 권한을 비교합니다.
전문가에게 피드백/쿼리 제출

Comment: *

Name: *

Email: *

Verification: *

회사는 대부분의 IT 인프라를 AWS로 이전할 계획입니다. 기존 온프레미스 Active Directory를 AWS의 자격 증명 공급자로 활용하려고 합니다.
보안 엔지니어는 회사의 온프레미스 Active Directory를 AWS와 연합하기 위해 어떤 단계를 조합해야 합니까? (2개를 선택하세요.)

• A.각 Active Directory 그룹에 해당하는 권한으로 IAM 역할을 생성합니다.
• B.각 Active Directory 그룹에 해당하는 권한으로 IAM 그룹을 생성합니다.
• C.SAML 공급자를 지원하도록 Amazon Cloud Directory를 구성합니다.
• D.Active Directory와 AWS 간에 신뢰 당사자 트러스트를 추가하도록 Active Directory를 구성합니다.
• E.Active Directory와 AWS 간에 신뢰 당사자 트러스트를 추가하도록 Amazon Cognito를 구성합니다.

Comment: *

Name: *

Email: *

Verification: *

회사의 계정에는 다이어그램과 같이 피어링된 여러 VPC가 있습니다. 보안 엔지니어는 세 VPC 모두에서 Amazon EC2 인스턴스의 침투 테스트를 수행하려고 합니다.
어떻게 이것을 달성할 수 있습니까? (2개를 선택하세요.)

• A.데이터 센터에서 3개의 VPC 각각으로 VPN 연결을 생성합니다. 온프레미스 스캐닝 엔진을 사용하여 각 VPC의 인스턴스를 스캔하십시오. 침투 테스트 요청 양식을 작성하지 마십시오.
• B.Marketplace에서 사전 승인된 스캐닝 엔진을 각 VPC에 배포하고 해당 VPC의 스캐닝 엔진에서 각 VPC의 인스턴스를 스캔합니다. 침투 테스트 요청 양식을 작성하지 마십시오.
• C.AWS Marketplace에서 사전 승인된 스캔 엔진을 VPC B로 배포하고 이를 사용하여 세 VPC 모두의 인스턴스를 스캔합니다. 침투 테스트 요청 양식을 작성하지 마십시오.
• D.데이터 센터에서 3개의 VPC 각각으로 VPN 연결을 생성합니다. 온프레미스 스캐닝 엔진을 사용하여 각 VPC의 인스턴스를 스캔하십시오. 세 VPC 모두에 대한 침투 테스트 요청 양식을 작성합니다.
• E.데이터 센터에서 VPC A로 VPN 연결을 생성합니다. 온프레미스 스캐닝 엔진을 사용하여 3개의 VPC 모두에서 인스턴스를 스캔합니다. 세 VPC 모두에 대한 침투 테스트 요청 양식을 작성합니다.

Comment: *

Name: *

Email: *

Verification: *

최근에 개설한 AWS 계정의 AWS 계정 루트 사용자를 보호하는 가장 안전한 방법은 무엇입니까?
(2개를 선택하세요.)

• A.AdministratorAccess 관리형 정책이 연결된 AWS IAM 사용자에 대해 다단계 인증을 활성화합니다.
• B.AWS 계정 루트 사용자에 대한 액세스 키를 생성하지 마십시오. 대신 AWS IAM 사용자를 생성하십시오.
• C.AWS Management 콘솔 대신 AWS 계정 루트 사용자 액세스 키를 사용합니다.
• D.AWS 계정 루트 사용자에 대한 다단계 인증 활성화
• E.AWS KMS를 사용하여 모든 AWS 계정 루트 사용자 및 AWS IAM 액세스 키를 암호화하고 자동 교체를 30일로 설정

Comment: *

Name: *

Email: *

Verification: *