A company has enabled Amazon GuardDuty in all AWS Regions as part of its security monitoring strategy. In one of its VPCs, the company hosts an Amazon EC2 instance that works as an FTP server. A high number of clients from multiple locations contact the FTP server. GuardDuty identifies this activity as a brute force attack because of the high number of connections that happen every hour. The company has flagged the finding as a false positive, but GuardDuty continues to raise the issue. A security engineer must improve the signal-to-noise ratio without compromising the company's visibility of potential anomalous behavior.
Which solution will meet these requirements?
A. Disable the FTP rule in GuardDuty in the Region where the FTP server is deployed.
B. Add the FTP server to a trusted IP list. Deploy the list to GuardDuty to stop receiving the notifications.
C. Create a suppression rule in GuardDuty to filter findings by automatically archiving new findings that match the specified criteria.
D. Create an AWS Lambda function that has the appropriate permissions to delete the finding whenever a new occurrence is reported.
C
作为安全监控策略的一部分,一家公司已在所有 AWS 区域启用了 Amazon GuardDuty。在该公司的一个虚拟私有云(VPC)中,托管着一个用作 FTP 服务器的 Amazon EC2 实例。大量来自不同地点的客户端与该 FTP 服务器进行连接。由于每小时的连接数量众多,GuardDuty 将此活动识别为暴力攻击。该公司已将该发现标记为误报,但 GuardDuty 仍持续提出此问题。安全工程师必须在不影响公司对潜在异常行为可见性的前提下,提高信噪比。
本题核心是在 GuardDuty 持续误报 FTP 服务器正常连接为暴力攻击的情况下,找到一种既能减少误报(提高信噪比),又能保持对潜在异常行为监控能力的解决方案。
Amazon GuardDuty:是一项智能威胁检测服务,持续监控 AWS 环境,识别多种潜在威胁,如暴力攻击、异常实例行为等。
信噪比:在安全监控场景中,指有效安全事件(信号)与误报(噪声)的比例。提高信噪比就是要降低误报率,同时确保真实的安全事件不被遗漏。
技巧:排除明显错误选项,在没有明显错误的选项中选择最合理的选项。
A. 不正确。在部署 FTP 服务器的区域中禁用 GuardDuty 的 FTP 相关规则。该方案禁用规则虽能阻止 GuardDuty 针对该 FTP 服务器连接发出误报,但也会使 GuardDuty 无法检测与该 FTP 服务器相关的其他潜在威胁,降低了对潜在异常行为的可见性,不符合要求。
B. 不正确。将 FTP 服务器添加到可信 IP 列表,并将该列表部署到 GuardDuty 以停止接收通知。该方案单纯将 IP 列为可信可能无法精准处理误报,还可能带来安全风险,因为不能保证这些 IP 的所有活动都是安全无威胁的。
C. 正确。在 GuardDuty 中创建抑制规则,通过自动归档符合指定标准的新发现来过滤发现结果。创建抑制规则可以根据特定的条件(如资源标识、事件类型等),自动将符合条件的误报发现归档。这样既能有效减少误报带来的干扰,又不会影响 GuardDuty 对其他潜在异常行为的检测,提高了信噪比,符合题目要求。
D. 不正确。创建一个具有适当权限的 AWS Lambda 函数,每当有新的发现报告时删除该发现。该方案使用 Lambda 函数直接删除发现是一种比较粗暴的处理方式。虽然可以阻止误报显示,但很可能会误删一些真实的安全事件,导致公司无法及时察觉潜在的异常行为。