本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Amazon 检测威胁 GuardDuty
<a name="monitoring-guardduty"></a>

Amazon GuardDuty 是一项威胁检测服务，可帮助您保护您的账户、容器、工作负载和 AWS 环境中的数据。通过使用机器学习 (ML) 模型以及异常和威胁检测功能， GuardDuty 持续监控不同的日志源，以识别环境中的潜在安全风险和恶意活动并确定其优先级。例如， GuardDuty 如果它检测到通过 EC2 实例启动角色专为 Amazon 实例创建但正在从其中的其他账户使用的证书，则会检测到潜在威胁，例如对机密的异常或可疑访问以及凭证泄露。 AWS有关更多信息，请参阅 [Amazon GuardDuty 用户指南](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html)。

检测的另一个示例使用场景是异常行为。例如，如果 AWS Secrets Manager 通常使用 Java SDK 从实体`list-secrets`接收、、和调用，然后另一个实体开始 AWS CLI 从 VPN 外部调用`batch-get-secret-value`和`get-secret-value`使用，则 GuardDuty 可以报告发现第二个实体正在异常调用。`create-secret` `get-secret-value` `describe-secret` APIs有关更多信息，请参阅 [GuardDuty IAM 查找类型 CredentialAccess：IAMUser/AnomalousBehavior](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#credentialaccess-iam-anomalousbehavior)。