[NEW] AWS Certified Security – Specialty

أهلا بك عزيزي المتابع لموقع (journey for learn) نقدم دورات بكوبونات متاحة لاول 1000 تسجيل مجاني فقط وكوبونات اخري لفترة محدودة فاذا كنت تريد ان تحصل علي كل الكورسات علي موقعنا وان تكون اول المسجلين في الكورسات المجانية قم بتسجيل الدخول أوقم بالدخول علي وسائل التواصل الاجتماعي وخصوصا التليجرام نوضح الوصف المختصر والطويل للدورات لكي تعرف الدروس التي سوف تتعلمها بسهولة ويسر :

تغطية تفصيلية لنطاق الاختبار تتوافق دورة الاختبار التدريبي هذه بشكل صارم مع مخطط اختبار التخصص المعتمد من AWS الرسمي. يتم توزيع الأسئلة عبر المجالات التالية لتعكس الأوزان الفعلية للاختبار:

• الاكتشاف (16%)
  • خدمات الكشف عن التهديدات (على سبيل المثال، GuardDuty)
  • اكتشاف الحالات الشاذة والتنبيه بها
  • تحقيقات AWS Detective
• الاستجابة للحوادث (14%)
  • تصميم خطط الاستجابة للحوادث وتنفيذها
  • تنسيق العثور على الأمان في AWS (ASFF) الإصدار 1.1
  • الأدوار والمسؤوليات في الاستجابة للحوادث
  الوصول
• تكوين AWS لتسجيل الدخول الموحد (SSO)
• الهوية الموحدة وبيانات الاعتماد المؤقتة

حماية البيانات (18%)

• التشفير غير المستقر باستخدام KMS
• تشفير مجموعة S3 وقفل الكائنات
• إدارة المفاتيح الآمنة والتدوير

أسس الأمان والحوكمة (14%)

• أطر الامتثال وAWS Artifact
• قواعد تكوين AWS والامتثال المستمر
• أسس أفضل ممارسات الأمان

وصف الدورة التدريبية اجتياز اختبار AWS Certified Security - يتطلب اختبار التخصص أكثر من مجرد فهم أساسي لمفاهيم السحابة. أنت بحاجة إلى فهم تشغيلي عميق لكيفية تأمين بيئات AWS المعقدة، واستكشاف مشكلات الوصول وإصلاحها، والاستجابة للحوادث تلقائيًا. لقد صممت هذه الاختبارات التدريبية لتعكس الصعوبة الدقيقة وتنسيق السيناريو ووزن المجال لامتحان الشهادة الحقيقي. بدلاً من مجرد اختبار الحفظ عن ظهر قلب، يتحداك بنك الأسئلة هذا بسيناريوهات من العالم الحقيقي. ستقوم بتقييم سياسات IAM للوصول عبر الحسابات، وتصميم تجزئة الشبكة باستخدام VPCs ومجموعات الأمان، وتحديد استراتيجيات حماية البيانات الأكثر فعالية من حيث التكلفة باستخدام AWS KMS وS3 Object Lock. لقد كتبت توضيحات مفصلة لكل خيار للتأكد من أنك تفهم بالضبط سبب أمان تكوين خدمة AWS معين، ولماذا تفشل عناصر التشتيت في تلبية أفضل ممارسات AWS. سواء كنت تواجه صعوبة في تفسير قواعد تكوين AWS أو تحتاج إلى تحسين سير عمل الاستجابة للحوادث باستخدام GuardDuty وAWS Detective، فإن هذه الاختبارات الوهمية ستسلط الضوء على نقاطك العمياء قبل الجلوس للاختبار الفعلي. معاينة أسئلة التدريب فيما يلي ثلاثة نماذج من الأسئلة لإعطائك فكرة عن عمق الممارسة وشكلها الاختبارات داخل الدورة التدريبية. السؤال 1: حماية البيانات يحتاج مهندس الأمان إلى فرض التشفير أثناء عدم النشاط لجميع وحدات تخزين Amazon EBS المنشأة حديثًا داخل حساب AWS. يجب أن يضمن الحل عدم تمكن أي مستخدم، بما في ذلك المسؤولين، من توفير وحدات تخزين غير مشفرة. ما هي الطريقة الأكثر كفاءة من الناحية التشغيلية لتحقيق ذلك؟

• الخيارات:
  • أ) قم بإنشاء قاعدة تكوين AWS لحذف أي وحدات تخزين EBS غير مشفرة تلقائيًا بعد الإنشاء مباشرة.
  • ب) استخدم سياسة التحكم في خدمة مؤسسات AWS (SCP) لرفض إجراء ec2:CreateVolume إذا كان الشرط المشفر خاطئًا.
  • ج) قم بتمكين ميزة تشفير EBS افتراضيًا في الحساب المستوى لكل منطقة AWS مطلوبة.
  • د) إرفاق سياسة IAM لجميع المطورين والمسؤولين التي ترفض صراحة إنشاء وحدات تخزين غير مشفرة.
  • هـ) تشغيل وظيفة AWS Lambda عبر EventBridge الذي يقوم تلقائيًا بتشفير جميع وحدات تخزين EBS الجديدة بعد الإنشاء.
  • و) مراقبة AWS CloudTrail لاستدعاءات CreateVolume API وتشفير وحدات التخزين التي تنتهك الشركة يدويًا السياسة.
• الإجابة الصحيحة: C
• الشرح العام: يعد تمكين تشفير EBS افتراضيًا إعدادًا أصليًا على مستوى الحساب يقوم تلقائيًا بتشفير جميع وحدات تخزين EBS الجديدة ونسخ اللقطات. فهو لا يتطلب أي منطق مخصص أو سياسات أو معالجة تفاعلية، مما يجعله الحل الأكثر كفاءة من الناحية التشغيلية لفرض التشفير.
• تحليل الخيارات التفصيلي:
  • أ غير صحيح: يعد حذف وحدات التخزين بعد الإنشاء أسلوبًا تفاعليًا قد يعطل عمليات النشر والتطبيقات المستمرة. إنها ليست فعالة من الناحية التشغيلية.
  • B غير صحيحة: في حين أن SCP سيحظر إنشاء وحدات تخزين غير مشفرة، فإنه يجبر المستخدمين على التحقق يدويًا من مربع التشفير أو إضافة معلمات التشفير إلى استدعاءات API الخاصة بهم. إنه يمنع الإجراء ولكنه لا يحل المشكلة تلقائيًا بسلاسة مثل الخيار ج.
  • C صحيح: هذه ميزة مضمنة تضمن تشفير كل وحدة تخزين جديدة تلقائيًا دون بذل أي جهد إضافي من جانب المستخدم لتوفير وحدة التخزين.
  • D غير صحيح: تعد إدارة سياسات IAM عبر جميع المستخدمين مرهقة إداريًا. مثل SCP، فهو يحظر الإنشاء ولكنه لا يقوم بتشفير وحدات التخزين تلقائيًا بشكل افتراضي.
  • E غير صحيح: لا يمكنك تشفير وحدة تخزين EBS غير مشفرة موجودة في مكانها. سيتعين عليك التقاط لقطة ونسخها مع التشفير وإنشاء مجلد جديد، مما يجعل نهج Lambda هذا معقدًا للغاية وغير فعال.
  • F غير صحيح: المراقبة اليدوية والمعالجة هي الطريقة الأقل كفاءة وتترك نافذة من الوقت حيث يمكن كتابة البيانات إلى وحدة تخزين غير مشفرة.

السؤال 2: إدارة الهوية والوصول لقد قامت شركتك بتعيين شركة تدقيق خارجية لتحليل سجلات AWS CloudTrail. تتطلب الشركة الوصول عبر الحسابات إلى بيئة AWS الخاصة بك. لاتباع أفضل ممارسات الأمان، يمكنك إنشاء دور IAM ليتولىه الطرف الثالث. كيف يمكنك منع مشكلة "النائب المرتبك" في هذا السيناريو عبر الحسابات؟

• الخيارات:
  • أ) مطالبة الطرف الثالث باستخدام بيانات اعتماد مستخدم IAM بدلاً من تولي دور IAM.
  • ب) إرفاق قاعدة AWS WAF بدور IAM لتقييد عناوين IP الواردة لشركة التدقيق.
  • ج) تكوين سياسة الثقة الخاصة بدور IAM لطلب sts:شرط ExternalId محدد من قبل الطرف الثالث.
  • د) تمكين المصادقة متعددة العوامل (MFA) على المستخدم الجذر لحساب AWS الخاص بشركة التدقيق.
  • هـ) قم بتخزين دور ARN عبر الحسابات في AWS Secrets Manager وقم بتدويره كل 30 يومًا.
  • و) تقييد دور IAM للسماح فقط باستدعاءات AssumeRole API الناشئة من AWS Direct Connect الرابط.
• الإجابة الصحيحة: C
• الشرح العام: تحدث مشكلة "النائب المرتبك" عندما يتمكن كيان ليس لديه إذن بتنفيذ إجراء ما من إجبار كيان أكثر امتيازًا على تنفيذ الإجراء. في افتراض الدور عبر الحسابات، فإن أفضل ممارسة لمنع ذلك هي استخدام المعرف الخارجي الذي توفره الجهة الخارجية في سياسة الثقة الخاصة بدورك.
• تحليل الخيار التفصيلي:
  • أ غير صحيح: يعد إنشاء مستخدمي IAM لجهات خارجية بمثابة نمط مضاد. الأدوار عبر الحسابات هي أفضل ممارسات AWS الموصى بها لمنح الوصول إلى الكيانات الخارجية.
  • B غير صحيح: يتم استخدام AWS WAF لحماية تطبيقات الويب (مثل API Gateway أو ALB) من عمليات استغلال الويب. لا يمكن ربطه بدور IAM.
  • C صحيح: يضمن شرط ExternalId أن شركة التدقيق يجب أن تمرر معرفًا فريدًا محددًا عند تولي الدور، مما يمنع عميل آخر لشركة التدقيق من تخمين دور ARN الخاص بك واستخدام نظام الشركة للوصول إلى حسابك.
  • D غير صحيح: لا يوفر MFA على المستخدم الجذر لحساب الطرف الثالث أي حماية فيما يتعلق بالدور الذي يمكن أن يلعبه برنامج الطرف الثالث في حسابك.
  • E غير صحيح: برنامج Secrets Manager مخصص لتخزين بيانات الاعتماد مثل كلمات مرور قاعدة البيانات أو مفاتيح API. إن دور IAM ARN ليس بيانات اعتماد سرية، كما أن تدويره لا يمنع مشكلة النائب المشوش.
  • F غير صحيح: يؤدي طلب رابط اتصال مباشر إلى تقييد مسار الشبكة ولكنه لا يحل ثغرة المصادقة الأساسية لمشكلة النائب المشوش.

السؤال 3: الاستجابة للحوادث واكتشافها لقد توصلت Amazon GuardDuty إلى نتيجة عالية الخطورة تشير إلى أن مثيل EC2 في شبكتك الفرعية العامة يتصل بـ عنوان IP المعروف للتحكم والتحكم (C2). وفقًا لأفضل ممارسات الاستجابة للحوادث، ما هو الإجراء الأول الذي يجب عليك اتخاذه لاحتواء التهديد دون تدمير الأدلة الجنائية؟

• الخيارات:
  • أ) قم بإنهاء مثيل EC2 المخترق على الفور لإيقاف الاتصال الضار.
  • ب) قم بتعديل مجموعة الأمان المرتبطة بمثيل EC2 لعزله عن الإنترنت.
  • ج) احذف الشبكة الفرعية العامة التي تحتوي على مثيل EC2 المخترق.
  • د) إعادة التشغيل مثيل EC2 لإنهاء أي عمليات ضارة تعمل في الذاكرة.
  • هـ) قم بإلغاء تسجيل مثيل EC2 من AWS Systems Manager لمنع الحركة الجانبية.
  • و) قم بإيقاف حساب فواتير AWS مؤقتًا لمنع رسوم تعدين العملات المشفرة الضارة.
• الإجابة الصحيحة: ب
• الشرح العام: عند التعامل مع مثيل مخترق، فإن الهدف الأساسي لمرحلة الاحتواء هو إيقاف النشاط الضار أثناء الحفاظ على حالة الجهاز لتحليل الطب الشرعي (تحقيقات AWS Detective). يؤدي عزل حركة مرور الشبكة عبر مجموعات الأمان إلى تحقيق ذلك.
• تحليل الخيارات التفصيلي:
  • أ غير صحيح: يؤدي إنهاء المثيل إلى تدمير الذاكرة المتطايرة (RAM) وربما حجم الجذر، مما يؤدي إلى إزالة الأدلة الجنائية القيمة اللازمة لفهم كيفية حدوث الاختراق.
  • ب هو الصحيح: تغيير مجموعة الأمان لرفض كل حركة المرور الواردة والصادرة (أو تقييدها بشكل صارم على شبكة فرعية للطب الشرعي/IP) يؤدي إلى إيقاف اتصال C2 على الفور مع الحفاظ على تشغيل المثيل حتى تتمكن من التقاط عمليات تفريغ الذاكرة وتحليل السجلات.
  • C غير صحيح: سيؤثر حذف شبكة فرعية بأكملها على أي موارد سليمة أخرى موجودة في تلك الشبكة الفرعية وهو إجراء إداري مدمر للغاية.
  • D غير صحيح: تؤدي إعادة التشغيل إلى مسح الذاكرة المتطايرة (RAM)، التي تدمر الأدلة الجنائية للعمليات الضارة النشطة واتصالات الشبكة والبرامج الضارة المحملة.
  • E غير صحيح: يمنعك إلغاء تسجيل مدير الأنظمة (SSM) من الوصول بشكل آمن إلى المثيل لتشغيل أوامر الطب الشرعي. لا يفعل شيئًا لإيقاف الاتصال بخادم C2.
  • F غير صحيح: لا يمكنك "الإيقاف المؤقت" لحساب فواتير AWS لإيقاف المثيل. يجب عليك عزل المورد على مستوى البنية التحتية.

• مرحبًا بك في Mock Exam Practice Tests Academy لمساعدتك في الاستعداد للحصول على AWS Certified Security - Specialty.
• يمكنك إعادة إجراء الاختبارات عدة مرات كما تريد.
• هذا بنك أسئلة أصلي ضخم.
• يمكنك الحصول على الدعم من المدرسين إذا كانت لديك أسئلة.
• يحتوي كل سؤال على تفاصيل شرح.
• متوافق مع الجوال مع تطبيق Udemy.

آمل أن تكون مقتنعًا الآن! وهناك الكثير من الأسئلة داخل الدورة.

ما هي المتطلبات الأساسية لدخول الدورة والتسجيل فيها على موقعنا؟ رحلة التعلم:

(احصل على الدورة للدخول إلى الموقع والتسجيل)

يجب أن يكون لديك بريد إلكتروني (حساب بريد) تتذكره لنفسك وأيضًا يجب أن تتذكر كلمة مرور البريد الإلكتروني الذي ستسجل به ، وإذا لم يكن لديك حساب بريد إلكتروني ، فمن الأفضل إنشاء حساب (Gmail)