2025年AWS认证Outposts安全事件响应专题试卷及解析.pdfVIP

2025年AWS认证OUTPOSTS安全事件响应专题试卷及解析1

2025年AWS认证Outposts安全事件响应专题试卷及解

析

2025年AWS认证Outposts安全事件响应专题试卷及解析

第一部分：单项选择题（共10题，每题2分）

1、在AWSOutposts环境中，当检测到本地硬件可能被物理篡改时，安全团队应

首先采取的措施是什么？

A、立即断开Outpost与AWS区域的网络连接

B、启动AWSOutposts硬件更换流程

C、通过AWSSystemsManagerRunCommand收集取证数据

D、联系AWS支持团队进行硬件完整性验证

【答案】D

【解析】正确答案是D。物理安全事件应优先由AWS专业团队处理，因为Outposts

硬件属于AWS托管资产。A选项可能影响业务连续性；B选项需要先确认问题；C选

项在物理安全威胁下可能无法安全执行。知识点：Outposts物理安全响应流程。易错

点：忽视AWS对硬件的托管责任。

2、AWSOutposts的哪种服务特性最有助于实现本地安全事件的实时监控？

A、AWSCloudTrail日志记录

B、AmazonCloudWatchLogs代理

C、AWSConfig本地聚合

D、AmazonGuardDuty恶意软件检测

【答案】B

【解析】正确答案是B。CloudWatchLogs代理能实时收集本地系统日志，是事件

响应的关键。A选项记录API调用而非系统级事件；C选项配置变更监控非实时；D

选项需要额外配置且不覆盖所有威胁类型。知识点：Outposts监控工具选择。易错点：

混淆API监控与系统监控的区别。

3、在Outposts环境中处理数据泄露事件时，以下哪个AWS服务最适合用于快速

隔离受影响的EC2实例？

A、AWSNetworkFirewall

B、安全组规则修改

C、VPC端点策略更新

D、AWSWAF规则调整

【答案】B

【解析】正确答案是B。安全组是EC2实例级别的网络隔离措施，响应速度最快。

A选项适用于子网级控制；C选项控制服务访问而非实例间通信；D选项用于Web应

2025年AWS认证OUTPOSTS安全事件响应专题试卷及解析2

用防护。知识点：Outposts网络隔离机制。易错点：忽视安全组在本地环境中的即时生

效特性。

4、当Outposts上的AmazonS3onOutposts存储桶检测到异常访问时，应优先检

查哪个配置项？

A、S3访问点策略

B、存储桶版本控制状态

C、VPC端点连接

D、IAM角色权限

【答案】D

【解析】正确答案是D。异常访问通常源于权限配置错误，IAM角色是权限管理的

核心。A选项控制访问点而非存储桶本身；B选项防止数据覆盖；C选项检查网络连通

性。知识点：S3onOutposts权限模型。易错点：忽略IAM在本地存储中的作用。

5、AWSOutposts安全事件响应计划中，“恢复”阶段的关键目标是什么？

A、完全还原事件前的系统状态

B、验证所有安全控制措施有效性

C、最小化业务中断时间

D、生成详细的事件报告

【答案】C

【解析】正确答案是C。恢复阶段的核心是快速恢复业务连续性。A选项可能不现

实；B选项属于验证阶段；D选项是事后分析。知识点：NIST事件响应生命周期。易

错点：混淆恢复与验证阶段的优先级。

6、在Outposts环境中部署AWSSecurityHub时，其安全发现的主要数据来源是？

A、本地硬件传感器

B、集成AWS安全服务

C、第三方SIEM系统

D、操作系统审计日志

【答案】B

【解析】正确答案是B。SecurityHub聚合AWS原生安全服务的发现结果。A选项

需要