NÃO QUER PERDER NADA?

Dicas para passar no exame de certificação

Últimas notícias sobre exames e informações sobre descontos

Curadoria e atualizada por nossos especialistas

Sim, me envie o boletim informativo

Passe no seu exame SCS-C02 com testes práticos 2024 atualizados, AWS Certified Security - Specialty | SPOTO

Domine sua certificação AWS Certified Security - Specialty (SCS-C02) com os testes práticos atualizados do SPOTO para 2024. Estes testes são a sua porta de entrada para uma preparação abrangente para o exame, com perguntas e respostas do exame, testes práticos e perguntas de amostra. Os nossos testes de exame e testes gratuitos complementam os seus materiais de estudo, garantindo uma cobertura completa dos conceitos-chave. Prepare-se eficazmente com os materiais de exame e o simulador de exame da SPOTO, concebidos para imitar o ambiente real do exame. As nossas perguntas de exame online e os exames simulados ajudam-no a aperfeiçoar as suas capacidades de exame, aumentando a sua preparação para o sucesso. Com o SPOTO, pode praticar e aperfeiçoar as respostas do exame, garantindo um resultado bem-sucedido na sua jornada de certificação AWS Certified Security - Specialty.
Faça outros exames online
Pergunta #1
Uma empresa tem um caso de utilização de registo forense em que várias centenas de aplicações executadas no Docker no EC2 precisam de enviar registos para uma localização central. O Engenheiro de Segurança deve criar uma solução de registo que seja capaz de realizar análises em tempo real nos ficheiros de registo, conceda a capacidade de reproduzir eventos e persista os dados. Quais serviços de IAM, juntos, podem atender a esse caso de uso? (Seleccione dois.)
A. Amazon Elasticsearch
B. Amazon Kinesis
C. Amazon SQS
D. Amazon CloudWatch
E. Atena da Amazónia
Ver resposta
Resposta correta: C
Pergunta #2
Um Engenheiro de Segurança está a construir uma aplicação Java que está a ser executada no Amazon EC2. A aplicação comunica com uma instância Amazon RDS e autentica-se com um nome de utilizador e uma palavra-passe. Que combinação de passos pode o Engenheiro seguir para proteger as credenciais e minimizar o tempo de inatividade quando as credenciais são rodadas? (Escolha duas.)
A. Peça a um administrador da base de dados para encriptar as credenciais e armazenar o texto cifrado no Amazon S3
B. Configure um trabalho agendado que atualize a credencial no Armazenamento de Parâmetros do Gerenciador de Sistemas IAM e notifique o Engineer de que o aplicativo precisa ser reiniciado
C. Configurar a rotação automática de credenciais no Gestor de Segredos do IAM
D. Armazenar a credencial num parâmetro de cadeia encriptada no IAM Systems Manager Parameter Stor
E. Conceder permissão à função de instância associada à instância do EC2 para aceder ao parâmetro e à chave IAM KMS que é utilizada para o encriptar
F. Configure a aplicação Java para detetar uma falha de ligação e fazer uma chamada para o Gestor de Segredos do IAM para recuperar credenciais actualizadas quando a palavra-passe é rodada G
Ver resposta
Resposta correta: C
Pergunta #3
Um bucket do Amazon S3 é criptografado usando um CMK do IAM KMS. Um usuário do IAM não consegue baixar objetos do bucket do S3 usando o Console de gerenciamento do IAM; no entanto, outros usuários podem baixar objetos do bucket do S3. Quais políticas o Engenheiro de segurança deve revisar e modificar para resolver esse problema? (Selecione três.)
A. A política CMK
B. A política de ponto de extremidade da VPC
C. A política de balde do S3
D. A ACL S3
E. A política de IAM
Ver resposta
Resposta correta: B
Pergunta #4
Uma organização deseja ser alertada quando uma instância não autorizada do Amazon EC2 em sua VPC executa uma varredura de porta de rede contra outras instâncias na VPC. Quando a equipe de segurança realiza seus próprios testes internos em uma conta separada usando scanners de terceiros pré-aprovados do IAM Marketplace, a equipe de segurança também recebe vários eventos do Amazon GuardDuty do Amazon CloudWatch alertando sobre suas atividades de teste. Como a equipe de segurança pode suprimir alertas sobre testes de segurança autorizados enquanto ainda r
A. Use um filtro no IAM CloudTrail para excluir os endereços IP das instâncias EC2 da equipe de segurança
B. Adicione os endereços IP elásticos das instâncias EC2 da equipe de segurança a uma lista de IPs confiáveis no Amazon GuardDuty
C. Instalar o agente Amazon Inspetor nas instâncias EC2 que a equipa de Segurança utiliza
D. Conceder às instâncias EC2 da equipa de Segurança uma função com permissões para chamar as operações da API do Amazon GuardDuty
Ver resposta
Resposta correta: BDE
Pergunta #5
Quais são as formas MAIS seguras de proteger o utilizador raiz da conta IAM de uma conta IAM aberta recentemente? (Escolha duas.)
A. Utilizar as chaves de acesso do utilizador raiz da conta IAM em vez da Consola de Gestão IAM
B. Ativar a autenticação multi-fator para os utilizadores IAM IAM com a política gerida AdministratorAccess associada
C. Ativar a autenticação multi-fator para o utilizador raiz da conta IAM
D. Utilizar o IAM KMS para encriptar todas as chaves de acesso do utilizador raiz da conta IAM e do IAM IAM e definir a rotação automática para 30 dias
E. Não crie chaves de acesso para o utilizador raiz da conta IAM; em vez disso, crie utilizadores IAM IAM
Ver resposta
Resposta correta: B
Pergunta #6
Uma grande organização governamental está a mudar para a nuvem e tem requisitos de encriptação específicos. A primeira carga de trabalho a ser transferida exige que os dados de um cliente sejam imediatamente destruídos quando o cliente fizer essa solicitação. A administração pediu à equipa de segurança que fornecesse uma solução que armazenasse os dados de forma segura, permitisse que apenas aplicações autorizadas executassem a encriptação e a desencriptação e permitisse a destruição imediata dos dados
A. Utilize o Gestor de Segredos do IAM e um SDK do IAM para criar um segredo exclusivo para os dados específicos do cliente
B. Utilize o IAM Key Management Service (IAM KMS) e o IAM Encryption SDK para gerar e armazenar uma chave de encriptação de dados para cada cliente
C. Utilizar o IAM Key Management Service (IAM KMS) com chaves geridas pelo serviço para gerar e armazenar chaves de encriptação de dados específicas do cliente
D. Use o IAM Key Management Service (IAM KMS) e crie um armazenamento de chaves personalizado do IAM CloudHSM Use o CloudHSM para gerar e armazenar uma nova CMK para cada cliente
Ver resposta
Resposta correta: C
Pergunta #7
A aplicação de uma empresa é executada no Amazon EC2 e armazena dados num bucket do Amazon S3. A empresa pretende que sejam implementados controlos de segurança adicionais para limitar a probabilidade de exposição acidental de dados a entidades externas (Seleccione TRÊS.)
A. Encriptar os dados no Amazon S3 utilizando a encriptação do lado do servidor com chaves de encriptação geridas pelo Amazon S3 (SSE-S3)
B. Encriptar os dados no Amazon S3 utilizando a encriptação do lado do servidor com chaves de encriptação geridas pelo IAM KMS (SSE-KMS)
C. Criar um novo ponto de extremidade Amazon S3 VPC e modificar as tabelas de encaminhamento da VPC para utilizar o novo ponto de extremidade
D. Utilizar a funcionalidade Amazon S3 Block Public Access
E. Configurar a política de compartimentos para permitir o acesso apenas a partir das instâncias de aplicação
F. Utilizar uma NACL para filtrar o tráfego para o Amazon S3
Ver resposta
Resposta correta: C
Pergunta #8
Uma empresa decidiu utilizar a encriptação na sua conta IAM para proteger os objectos no Amazon S3 utilizando a encriptação do lado do servidor. Os tamanhos dos objectos variam entre 16.000 B e 5 MB. Os requisitos são os seguintes: ? O material de chave deve ser gerado e armazenado numa máquina certificada Federal Information Processing Standard (FIPS) 140-2 Nível 3. ? O material de chave deve estar disponível em várias regiões. Qual opção atende a esses requisitos?
A. Utilizar uma chave gerida pelo cliente IAM KMS e armazenar o material da chave no IAM com replicação entre regiões
B. Utilizar uma chave gerida pelo cliente do IAM, importar o material da chave para o IAM KMS utilizando o IAM CloudHS interno
C. e armazenar o material chave de forma segura no Amazon S3
D. Use um armazenamento de chaves personalizado do IAM KMS com o suporte de clusters do IAM CloudHSM e copie backups entre regiões
E. Use o IAM CloudHSM para gerar o material de chave e as chaves de backup em todas as regiões Use as bibliotecas de criptografia Java Cryptography Extension (JCE) e Public Key Cryptography Standards #11 (PKCS #11) para criptografar e descriptografar os dados
Ver resposta
Resposta correta: B
Pergunta #9
Uma aplicação está atualmente protegida utilizando listas de controlo de acesso à rede e grupos de segurança. Os servidores Web estão localizados em sub-redes públicas atrás de um Application Load Balancer (ALB); os servidores de aplicações estão localizados em sub-redes privadas. Como é que a segurança de borda pode ser melhorada para proteger as instâncias do Amazon EC2 contra ataques? (Escolha dois.)
A. Configure as instâncias EC2 do aplicativo para usar gateways NAT para todo o tráfego de entrada
B. Mover os servidores Web para sub-redes privadas sem endereços IP públicos
C. Configurar o IAM WAF para fornecer proteção contra ataques DDoS para o ALB
D. Exigir que todo o tráfego de rede de entrada seja encaminhado através de um host bastião na sub-rede privada
E. Exigir que todo o tráfego de rede de entrada e saída seja encaminhado através de uma ligação IAM Direct Connect
Ver resposta
Resposta correta: BC
Pergunta #10
Uma empresa exige que os comandos SSH utilizados para aceder à sua instância IAM sejam rastreáveis até ao utilizador que executou cada comando. Como um engenheiro de segurança deve fazer isso?
A. Permitir o acesso de entrada na porta 22 no grupo de segurança ligado à instância Utilizar o IAM Systems Manager Session Manager para acesso shell às instâncias do Amazon EC2 com a etiqueta de utilizador definida Ativar o togging do Amazon CloudWatch para sessões do Systems Manager
B. Utilizar o Amazon S3 para armazenar de forma segura um ficheiro Privacy Enhanced Mail Certificate (ficheiro PEM) para cada utilizador Permitir que o Amazon EC2 leia a partir do Amazon S3 e importe todos os utilizadores que pretendam utilizar o SSH para aceder a instâncias EC2 Permitir o acesso de entrada na porta 22 no grupo de segurança ligado à instância Instalar o agente Amazon CloudWatch na instância EC2 e configurá-lo para ingerir registos de auditoria para a instância
C. Negar o acesso de entrada na porta 22 no grupo de segurança anexado à instância Utilizar o IAM Systems Manager Session Manager para acesso shell às instâncias do Amazon EC2 com a etiqueta de utilizador definida Ativar o togging do Amazon CloudWatch para sessões do Systems Manager
D. Utilizar o Amazon S3 para armazenar de forma segura um certificado PEM (Privacy Enhanced Mall Certificate) para cada equipa ou grupo Permitir que o Amazon EC2 leia a partir do Amazon S3 e importe todos os utilizadores que pretendam utilizar o SSH para aceder a instâncias EC2 Permitir o acesso de entrada no pod 22 no grupo de segurança ligado à instância Instalar o agente Amazon CloudWatch na instância EC2 e configurá-lo para ingerir registos de auditoria para a instância
Ver resposta
Resposta correta: AB
Pergunta #11
Um engenheiro de segurança está a conceber um plano de resposta a incidentes para lidar com o risco de uma instância do Amazon EC2 comprometida. O plano deve recomendar uma solução para atender aos seguintes requisitos: ? Um ambiente forense confiável deve ser provisionado ? Os processos de resposta automatizados devem ser orquestrados Que serviços IAM devem ser incluídos no plano? {Seleccione DOIS)
A. IAM CloudFormation
B. Amazon GuardDuty
C. Inspetor da Amazon
D. Amazon Macie
E. Funções da etapa IAM
Ver resposta
Resposta correta: C
Pergunta #12
Uma empresa está a utilizar o CloudTrail para registar toda a atividade da API IAM para todas as regiões em todas as suas contas. O CISO pediu que fossem tomadas medidas adicionais para proteger a integridade dos ficheiros de registo. Que combinação de passos protegerá os ficheiros de registo contra alterações intencionais ou não intencionais? Escolha 2 respostas entre as opções apresentadas abaixo Seleccione:
A. Crie um bucket S3 numa conta de registo dedicada e conceda às outras contas acesso apenas para escrita
B. Entregar todos os ficheiros de registo de todas as contas a este bucket S3
C. Escreva uma função Lambda que consulte a verificação do Trusted Advisor Cloud Trail
D. Executar a função de 10 em 10 minutos
E. Ativar a validação da integridade do arquivo de log do CloudTrail
F. Use o Systems Manager Configuration Compliance para monitorar continuamente as políticas de acesso dos buckets S3 que contêm os logs do Cloud Trail
Ver resposta
Resposta correta: D
Pergunta #13
Um Engenheiro de Segurança recebeu um Aviso de Abuso de IAM que lista IDs de instâncias EC2 que alegadamente estão a abusar de outros anfitriões. Que ação deve o Engenheiro tomar com base nesta situação? (Escolha três.)
A. Utilize o Artefacto IAM para capturar uma imagem exacta do estado de cada instância
B. Crie instantâneos do EBS de cada um dos volumes anexados às instâncias comprometidas
C. Capturar um despejo de memória
D. Inicie sessão em cada instância com credenciais administrativas para reiniciar a instância
E. Revogar todas as entradas e saídas da rede, exceto para/de uma estação de trabalho forense
F. Executar a recuperação automática para o Amazon EC2
Ver resposta
Resposta correta: A
Pergunta #14
Uma empresa tem várias contas de IAM de produção. Cada conta tem o IAM CloudTrail configurado para fazer logon em um único bucket do Amazon S3 em uma conta central. Duas das contas de produção têm trilhas que não estão registrando nada no bucket do S3. Quais etapas devem ser executadas para solucionar o problema? (Escolha três.)
A. Verifique se o prefixo do arquivo de log está definido como o nome do bucket S3 para onde os logs devem ir
B. Verifique se a política de bucket S3 permite o acesso ao CloudTrail a partir das IDs de conta do IAM de produção
C. Crie uma nova configuração do CloudTrail na conta e configure-a para fazer logon no bucket S3 da conta
D. Confirme no Console do CloudTrail que cada trilha está ativa e íntegra
E. Abra a configuração global do CloudTrail na conta principal e verifique se o local de armazenamento está definido para o bucket S3 correto
F. Confirme no Console do CloudTrail que o nome do bucket S3 está definido corretamente
Ver resposta
Resposta correta: BCE
Pergunta #15
A equipa de segurança de uma empresa definiu um conjunto de regras de configuração do IAM que devem ser aplicadas globalmente em todas as contas do IAM que a empresa possui. O que deve ser feito para fornecer uma visão geral consolidada da conformidade para a equipa de segurança?
A. Use as Organizações do IAM para limitar as regras de configuração do IAM às Regiões apropriadas e, em seguida, consolide o painel do Amazon CloudWatch em uma conta do IAM
B. Utilizar a agregação de configuração do IAM para consolidar as vistas numa conta IAM e fornecer acesso por função à equipa de segurança
C. Consolidar os resultados da regra IAM Config com uma função IAM Lambda e enviar os dados para o Amazon SQ
D. Utilizar o Amazon SNS para consolidar e alertar quando algumas métricas são accionadas
E. Utilizar o Amazon GuardDuty para carregar os resultados dos dados do estado de conformidade das regras de configuração do IAM, agregar as conclusões do GuardDuty de todas as contas do IAM numa única conta do IAM e fornecer acesso por função à equipa de segurança
Ver resposta
Resposta correta: A
Pergunta #16
Foi escrita uma aplicação que publica métricas personalizadas no Amazon CloudWatch. Recentemente, foram feitas alterações no IAM da conta e as métricas não estão mais sendo relatadas. Qual das seguintes opções é a solução MENOS permissiva que permitirá que as métricas sejam entregues?
A. Adicione uma declaração à política de IAM utilizada pela aplicação para permitir logs:putLogEvents e logs:createLogStream
B. Modifique a função IAM usada pelo aplicativo adicionando a política gerenciada CloudWatchFullAccess
C. Adicione uma declaração à política de IAM usada pelo aplicativo para permitir cloudwatch:putMetricData
D. Adicione uma relação de confiança à função de IAM utilizada pela aplicação para cloudwatch
Ver resposta
Resposta correta: B
Pergunta #17
Um Administrador de Segurança tem um sítio Web alojado no Amazon S3. O Administrador recebeu os seguintes requisitos: Os utilizadores podem aceder ao sítio Web utilizando uma distribuição do Amazon CloudFront. Os utilizadores não podem aceder ao Web site diretamente através de um URL do Amazon S3. Quais configurações suportarão esses requisitos? (Escolha duas.)
A. Associe uma identidade de acesso de origem à distribuição do CloudFront
B. Implemente uma condição "Principal": "cloudfront
C. Modifique as permissões do bucket S3 para que apenas a identidade de acesso de origem possa aceder ao conteúdo do bucket
D. Implemente grupos de segurança para que o bucket S3 possa ser acessado apenas usando a distribuição do CloudFront pretendida
E. Configure a política de bucket S3 para que ela seja acessível apenas por meio de pontos de extremidade de VPC e coloque a distribuição do CloudFront na VPC especificada
Ver resposta
Resposta correta: AC
Pergunta #18
Uma organização está a mover aplicações não críticas para o negócio para o IAM, mantendo uma aplicação de missão crítica num centro de dados no local. Uma aplicação no local tem de partilhar informações confidenciais limitadas com as aplicações no IAM. O desempenho da Internet é imprevisível. Que configuração garantirá a conetividade contínua entre os locais de forma MAIS segura?
A. VPN e um gateway de armazenamento em cache
B. Bola de neve do IAM
C. Gateway VPN sobre Ligação Direta IAM
D. Ligação Direta IAM
Ver resposta
Resposta correta: C
Pergunta #19
Um Engenheiro de Segurança gere as Organizações IAM de uma empresa. O Engenheiro gostaria de restringir o uso do IAM para permitir o Amazon S3 apenas em uma das unidades organizacionais (OUs). O Engenheiro adiciona o seguinte SCP à UO: No dia seguinte. As chamadas de API para o IAM IAM aparecem nos logs do IAM CloudTrail em uma conta nessa UO. Como o engenheiro de segurança deve resolver esse problema?
A. Mova a conta para uma nova UO e negue as permissões IAM:*
B. Adicione uma política Negar para todos os serviços não-S3 no nível da conta
C. Alterar a política para:{"Versão": “2012-10-17”,“Statement”: [{"Sid": "AllowS3", "Effect": "Allow", "Action": "s3:*", "Resource": "*/*?}]}
D. Desanexar o SCP FullIAMAccess predefinido
Ver resposta
Resposta correta: A
Pergunta #20
Por motivos de conformidade, uma organização limita o uso de recursos a três regiões específicas do IAM. Ela deseja ser alertada quando algum recurso for iniciado em regiões não aprovadas. Qual das seguintes abordagens fornecerá alertas sobre quaisquer recursos lançados numa região não aprovada?
A. Desenvolver um mecanismo de alerta baseado no processamento dos registos do IAM CloudTrail
B. Monitorar as notificações de eventos do Amazon S3 para objetos armazenados em buckets em regiões não aprovadas
C. Analisar os registos do Amazon CloudWatch para detetar actividades em regiões não aprovadas
D. Use o IAM Trusted Advisor para alertar sobre todos os recursos que estão sendo criados
Ver resposta
Resposta correta: B
Pergunta #21
Uma empresa necessita que os seus volumes do Amazon Elastic Block Store (Amazon EBS) estejam sempre encriptados. Durante um incidente de segurança. Os instantâneos EBS de instâncias suspeitas são partilhados com uma conta forense para análise Um engenheiro de segurança que tenta partilhar um instantâneo EBS suspeito com a conta forense recebe o seguinte erro "Não é possível partilhar o instantâneo: Ocorreu um erro (OperationNotPermitted) ao chamar a operação ModifySnapshotAttribute: Os instantâneos encriptados com a chave predefinida do EBS não podem ser partilhados. W
A. Crie um CMK gerenciado pelo cliente Copie o snapshot do EBS criptografando o snapshot de destino usando o novo CMK
B. Permitir que os responsáveis pela contabilidade forense utilizem o CMK, modificando a sua política
C. Criar uma instância do Amazon EC2
D. Anexar o volume EBS encriptado e suspeito
E. Copiar os dados do volume suspeito para um volume não encriptado
F. Criar um instantâneo do volume não encriptado G
Ver resposta
Resposta correta: D
Pergunta #22
Devido a novos requisitos de conformidade, um engenheiro de segurança deve ativar a criptografia com chaves fornecidas pelo cliente em dados corporativos armazenados no DynamoDB. A empresa pretende manter o controlo total das chaves de encriptação. Qual recurso do DynamoDB o engenheiro deve usar para atingir a conformidade'?
A. Utilize o Gestor de Certificados IAM para solicitar um certificado
B. Utilizar esse certificado para encriptar os dados antes de os carregar para o DynamoDB
C. Ativar a encriptação do lado do servidor S3 com a chave fornecida pelo cliente
D. Carregar os dados para o Amazon S3 e, em seguida, usar o S3Copy para mover todos os dados para o DynamoDB
E. Criar uma chave mestra KMS
F. Gerar chaves de dados por registo e utilizá-las para encriptar os dados antes de os carregar para o DynamoDB
Ver resposta
Resposta correta: A
Pergunta #23
Uma empresa está a configurar produtos para implementar no Catálogo de Serviços do IAM. A administração está preocupada com o facto de, quando os utilizadores lançarem produtos, serem necessários privilégios elevados de IAM para criar recursos. Como é que a empresa deve mitigar esta preocupação?
A. Adicione uma restrição de modelo a cada produto do portfólio
B. Adicionar uma restrição de lançamento a cada produto do portefólio
C. Definir restrições de atualização de recursos para cada produto da carteira
D. Atualize o modelo do IAM CloudFormalion que faz o backup do produto para incluir uma configuração de função de serviço
Ver resposta
Resposta correta: BDF

Ver as respostas após o envio

Por favor, envie seu e-mail e WhatsApp para obter respostas às perguntas.

Observação: certifique-se de que seu ID de e-mail e Whatsapp sejam válidos para que você possa obter os resultados corretos do exame.

E-mail:
WhatsApp/número de telefone:


Copyright © 2024. Designer by SPOTO Official Website. All Rights Reserved.