AWS Certified Security Specialty (SCS)

AWS Certified Security Specialty (SCS) 更新于今天
  • 查看第 9 至第 121 页.
  • 查看第 41-45 至第 605 道题
Disclaimers:
  • - ExamTopics website is not related to, affiliated with, endorsed or authorized by Amazon.and Azure
  • - Trademarks, certification & product names are used for reference only and belong to Amazon.and Azure

Topic 1 - Exam A

Question #41 Topic 1

一家公司拥有多个AWS生产账户。每个帐户都配置了AWS CloudTrail,以登录到中央帐户中的单个亚马逊S3存储桶。其中两个生产帐户的跟踪没有将任何内容记录到S3存储桶中。应采取哪些步骤来解决问题?(选择三个。)

  • A 验证日志文件前缀是否设置为日志应该放在的S3存储桶的名称。
  • B 验证S3 bucket策略是否允许从生产AWS帐户ID访问CloudTrail。
  • C 在帐户中创建一个新的CloudTrail配置,并将其配置为登录到帐户的S3存储桶。
  • D 在CloudTrail控制台中确认每个跟踪都处于活动状态且正常。
  • E 在主帐户中打开全局CloudTrail配置,并验证存储位置是否设置为正确的S3存储桶。
  • F 在CloudTrail控制台中确认S3存储桶名称设置正确。
正确答案: BDF
解析: 正确答案是:B,D,E
解释:問題描述了CloudTrail没有将数据从两个生产AWS账户记录到S3 bucket。因此,第一步应该是确保bucket策略(B)允许这些账户的CloudTrail访问。然后,在CloudTrail控制台(D)中检查每个路径是否活动和健康。最后,由于存在一个用于记录的中央账户,我们需要检查主账户以验证存储位置是否设置正确(E)。
Question #42 Topic 1

最近进行的安全审计发现,AWS CloudTrail日志不足以保护免受篡改和未经授权的访问。安全工程师必须采取哪些操作才能访问这些审计发现?(选择三个。)

  • A 确保CloudTrail日志文件验证已打开。
  • B Configure an S3 lifecycle rule to periodically archive CloudTrail logs into Glacier for long-term storage.
  • C 使用存在于单独帐户中的具有严格访问控制的S3存储桶。
  • D 使用Amazon Inspector来监控CloudTrail日志文件的文件完整性。
  • E Request a certificate through ACM and use a generated certificate private key to encrypt CloudTrail log files.
  • F Encrypt the CloudTrail log files with server-side encryption AWS KMS-managed keys (SSE-KMS).
正确答案: ACD
解析: 正确答案是:A,C,F
解释:选项A正确,因为确保打开CloudTrail日志文件验证是保护日志免受未经授权的访问和篡改的推荐方法。 选项C正确,因为在单独的帐户中使用具有严格访问控制的S3存储桶可以进一步保护日志。 选项F正确,因为用服务器端加密AWS KMS管理的密钥(SSE-KMS)加密日志增添了额外的安全性。
Question #43 Topic 1

一名安全工程师收到了一份AWS滥用通知,其中列出了据称正在滥用其他主机的EC2实例ID。基于这种情况,工程师应采取哪些行动?(选择三个。)

  • A 使用AWS Artifact捕获每个实例状态的精确图像。
  • B 为连接到受损实例的每个卷创建EBS快照。
  • C 捕获内存转储。
  • D 使用管理凭据登录到每个实例以重新启动该实例。
  • E 撤销所有网络入口和出口,但到取证工作站的入口和出口除外。
  • F 为Amazon EC2运行自动恢复。
正确答案: ABE
解析: 正确答案是:B, C, E
解释:B:为被妨害实例附加的每个卷创建 EBS 快照可以帮助确保数据的完整性并促进分析。C:捕获内存转储有助于识别报告的滥用行为的原因。E:通过撤销除了来自/到取证工作站的所有网络进入和出口,工程师可以隔离这些实例并在调查时防止进一步可能的滥用。
Question #44 Topic 1

一份组织政策表示,所有加密密钥都必须每12个月自动轮换。要满足这个要求,应该使用哪种AWS Key Management Service(KMS)密钥类型?

  • A AWS管理的客户主密钥(CMK)
  • B 客户管理的CMK与AWS生成的关键材料
  • C 使用导入的关键材料进行客户管理的CMK
  • D AWS管理的数据密钥
正确答案: B
解析: 正确答案是:B
解释:选择'Customer managed CMK with AWS generated key material'是合适的,因为它允许钥匙旋转每年发生一次,符合组织的政策。
Question #45 Topic 1

全球公司必须在第3层、第4层和第7层缓解和应对DDoS攻击。该公司的所有AWS应用程序都是无服务器的,使用Amazon CloudFront和Amazon Route 53在Amazon S3上托管静态内容。哪种解决方案能够满足这些要求?

  • A 使用AWS WAF升级到AWS业务支持计划。
  • B 将AWS证书管理器与配置有原始访问标识的应用程序负载均衡器一起使用。
  • C Use AWS Shield Advanced.
  • D Use AWS WAF to protect AWS Lambda functions encrypted with AWS KMS, and a NACL restricting all ingress traffic.
正确答案: C
解析: 正确答案是:C
解释:AWS Shield Advanced 提供针对 EC2、ELB、CloudFront、Route 53 等的成本效益高且全天候的 DDoS 攻击保护。 A 或 D 也可能提供部分保护, 但它们不如 AWS Shield Advanced 有效。 B 不提供任何防御 DDoS 攻击的保护。
上一页 下一页