AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天

查看第 4 至第 121 页.
查看第 16-20 至第 605 道题

Disclaimers:

- ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
- Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #16 Topic 1

以下哪些是与触发AWS WAF规则的web访问控制列表相关联的有效事件源？（选择两个。）

A 亚马逊S3静态网络托管
B Amazon CloudFront分发
C 应用程序负载平衡器
D 亚马逊路线53
E 专有网络流量日志

正确答案: BC
解析: 正确答案是:B,C
解释:Amazon CloudFront分发和应用程序负载平衡器是与web访问控制列表相关联的有效事件源，可以触发AWS WAF规则。尽管Amazon S3静态web托管，Amazon Route 53和VPC流日志是AWS服务，但它们不用于触发WAF规则。

Question #17 Topic 1

出于合规性原因，安全工程师必须每周编制一份报告，列出未应用最新批准补丁的任何实例。这个工程师还必须确保任何系统在不应用最新批准的更新的情况下运行超过30天。实现这些目标最有效的方法是什么？

A 使用AmazonInspector来确定哪些系统没有应用最新的补丁，并在30天后使用最新的AMI版本重新部署这些实例。
B 配置AmazonEC2系统管理器以报告实例修补程序的合规性，并在定义的维护窗口期间强制执行更新。
C 检查AWS CloudTrail日志，以确定是否有任何实例在过去30天内没有重新启动，并重新部署这些实例。
D 使用最新批准的修补程序更新AMI，并在定义的维护窗口期间重新部署每个实例。

正确答案: B
解析: 正确答案是:B
解释:亚马逊EC2系统管理员不仅可以提供关于实例补丁符合性的报告，而且还可以在定义的维护窗口期间执行更新。因此，这将是确保符合最新更新的最有效的方式，并在30天内应用。其他选项要么劳动密集型，要么不能在30天内保证更新。

Question #18 Topic 1

一家公司的信息安全团队希望近实时地分析亚马逊EC2的性能和利用率数据，以发现异常情况。安全工程师负责日志聚合。工程师必须在一个集中的位置收集公司所有AWS账户的日志，以进行分析。安全工程师应该如何做到这一点？

A 每天登录每个帐户四次，过滤AWS CloudTrail日志数据，然后将日志复制并粘贴到目标帐户中的Amazon S3存储桶中。
B 设置AmazonCloudWatch以将数据流式传输到每个源帐户中的AmazonS3存储桶。将每个源帐户的存储桶复制设置为安全工程师拥有的集中存储桶。
C 设置一个AWS配置聚合器，从多个来源收集AWS配置数据。
D 设置Amazon CloudWatch跨帐户日志数据共享，并在每个帐户中进行订阅。将日志发送到安全工程师帐户中的Amazon Kinesis Data Firehose。

正确答案: D
解析: 正确答案是:D
解释:选项D代表最实用且最高效的解决方案。Amazon CloudWatch支持订阅过滤器，用于实时处理日志数据，而Kinesis Data Firehose则旨在将流数据近实时加载到数据存储中。这允许安全工程师几乎在数据生成后立即对其进行分析，这使该解决方案成为检测任何异常的理想选择。

Question #19 Topic 1

一家大公司的安全工程师正在管理1500家子公司使用的数据处理应用程序。母公司和子公司都使用AWS。该应用程序使用TCP端口443，并在网络负载均衡器（NLB）后面的AmazonEC2上运行。出于合规原因，该应用程序应仅可供子公司访问，而不应在公共互联网上提供。为了满足限制访问的合规要求，工程师已收到每个子公司的公共和私人CIDR区块范围。工程师应使用什么解决方案来实施应用程序的适当访问限制？

A 创建一个NACL，以允许从1500个子CIDR块范围访问TCP端口443。将NACL与NLB和EC2实例关联
B 创建一个AWS安全组，以允许从1500个子CIDR块范围访问TCP端口443。将安全组与NLB关联。为具有来自NLB安全组的TCP端口443访问权限的EC2实例创建第二个安全组。
C 在连接到NLB的母公司帐户中创建AWS PrivateLink端点服务。为实例创建一个AWS安全组，以允许从AWS PrivateLink端点访问TCP端口443。使用1500个子AWS帐户中的AWS PrivateLink接口端点连接到数据处理应用程序。
D 创建一个AWS安全组，以允许从1500个子CIDR块范围访问TCP端口443。将安全组与EC2实例关联。

正确答案: B
解析: 正确答案是:C
解释:使用 AWS PrivateLink 可以通过 AWS 网络访问数据处理应用程序，这比通过互联网访问它更安全、更可靠。这也是唯一不涉及管理来自 1500 个不同子公司的 CIDR 块范围的选项，这更简单和符合合规要求

Question #20 Topic 1

作为其安全监控战略的一部分，一家公司在所有地区启用了亚马逊GuardDuty。在其中一个VPC中，该公司托管了一个亚马逊EC2实例，该实例作为FTP服务器，来自多个位置的大量客户端都会与之联系。GuardDuty认为这是一种暴力攻击，因为每小时都会发生大量连接。这一发现被标记为假阳性。然而，GuardDuty不断提出这个问题。已要求一名安全工程师提高信噪比。工程师需要确保变更不会影响潜在异常行为的可见性。安全工程师如何解决这个问题？

A Disable the FTP rule in GuardDuty in the Region where the FTP server is deployed
B 将FTP服务器添加到受信任的IP列表中，并将其部署到GuardDuty以停止接收通知
C 使用启用了自动存档的GuardDuty筛选器关闭搜索结果
D 创建一个AWS Lambda函数，每当报告新的事件时关闭查找

正确答案: C
解析: 正确答案是:C
解释:GuardDuty具有启用自动归档的过滤器能够自动关闭发现。这将改进信噪比，因为合法活动不会被标记为威胁，从而减少误报。