A company has an AWS account that hosts a production application. The company receives an email notification that Amazon GuardDuty has detected an Impact:IAMUser/AnomalousBehavior finding in the account. A security engineer needs to run the investigation playbook for this security incident and must collect and analyze the information without affecting the application. Which solution will meet these requirements MOST quickly?
A. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding for details about the IAM credentials that were used. Use the IAM console to add a DenyAll policy to the IAM principal.
B. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding to determine which API calls initiated the finding. Use Amazon Detective to review the API calls in context.
C. Log in to the AWS account by using administrator credentials. Review the GuardDuty finding for details about the IAM credentials that were used. Use the IAM console to add a DenyAll policy to the IAM principal.
D. Log in to the AWS account by using read-only credentials. Review the GuardDuty finding to determine which API calls initiated the finding. Use AWS CloudTrail Insights and AWS CloudTrail Lake to review the API calls in context.
B
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
▢ 题干翻译
某公司在 AWS 账户中托管了一个生产环境应用。该公司收到一封电子邮件通知,称 Amazon GuardDuty 检测到账户中存在一个 Impact:IAMUser/AnomalousBehavior(IAM 用户异常行为)的安全事件。安全工程师需要运行该安全事件的调查剧本(playbook),并在不影响生产应用的前提下快速收集和分析信息。以下哪个解决方案能最快满足需求?
▢ 问题概括
调查 GuardDuty 检测到的 IAM 用户异常行为,不能影响生产应用(即不能直接修改权限或中断服务),快速完成调查(优先选择自动化或低侵入性工具)。
GuardDuty 是实时威胁检测服务,会生成安全事件(Finding)并附带上下文(如 API 调用、IP 地址等)。调查需要分析异常行为的上下文(如谁在何时调用了什么 API),而非直接阻断(阻断可能影响应用)。调查应使用只读权限,避免误操作。
▢ 技术分析
GuardDuty 会提供异常行为的详细信息。包括:涉及的 IAM 用户 / 角色,触发事件的 API 调用(如 ConsoleLogin、S3:PutObject 等),源 IP 地址、时间戳等。
Amazon Detective 专为安全调查设计,能自动聚合 GuardDuty、CloudTrail、VPC Flow Log 等数据,提供可视化时间线、攻击路径分析等,无需编写查询或修改权限。
A. 不正确。使用只读凭证登录 AWS 账户。查看 GuardDuty 事件详情,确定使用的 IAM 凭证。通过 IAM 控制台为该 IAM 主体添加 DenyAll 策略。添加 DenyAll 策略会立即阻断用户访问,可能导致生产应用中断(如该用户是应用运行所需的服务账号)。
B. 正确。使用只读凭证登录 AWS 账户。查看 GuardDuty 事件,确定触发事件的 API 调用。使用 Amazon Detective 审查 API 调用的上下文。只读权限安全无风险。
Amazon Detective 自动关联 GuardDuty 和 CloudTrail 数据,提供可视化分析,最快完成调查。
C. 不正确。使用管理员凭证登录 AWS 账户。查看 GuardDuty 事件详情,确定使用的 IAM 凭证。通过 IAM 控制台为该 IAM 主体添加 DenyAll 策略。使用管理员凭证违反最低权限原则,增加误操作风险。
添加 DenyAll 策略会阻断用户,影响生产。
D. 不正确。使用只读凭证登录 AWS 账户。查看 GuardDuty 事件,确定触发事件的 API 调用。使用 AWS CloudTrail Insight 和 AWS CloudTrail Lake 审查 API 调用的上下文。CloudTrail Insight 和 Lake 需手动编写查询,效率低于 Amazon Detective。调查速度较慢,不符合“最快”要求。