# 检测 检测由两个部分组成:意外或多余的配置更改检测,以及意外行为检测。第一部分检测可能出现在应用程序交付生命周期中的多个地方。利用基础设施即代码(例如 CloudFormation 模板),即可通过在 CI/CD 管道或源代码控制中实施检查,在部署工作负载之前检查是否存在多余配置。然后,在将工作负载部署到非生产和生产环境时,便可使用本机 AWS、开源或 AWS 合作伙伴工具来检查配置。这些检查可以针对不符合安全原则或最佳实践的配置,也可以针对在已测试和部署配置之间所做的更改。对于正在运行的应用程序,可以检查配置是否发生意外更改,包括在已知部署或自动扩展事件之外发生更改。 若要进行第二部分检测,即意外行为检测,您可以使用工具或在特定类型的 API 调用增加时发出警报。使用 Amazon GuardDuty 后,只要 AWS 账户内发生意外且可能未经授权的活动或恶意活动时,您就会收到提醒。您还应明确监控不希望在工作负载中使用的可变 API 调用以及会改变安全状况的 API 调用。 使用检测功能,您可以识别潜在安全配置错误、威胁或意外行为。检测是安全生命周期的重要组成部分,可用于支持质量流程、法律或合规义务,还可以用于威胁识别和响应工作。检测机制分为多种不同的类型。例如,可以分析来自工作负载的日志,找出正被利用的漏洞。您应定期审核与工作负载相关的检测机制,确保符合内外部的策略和要求。自动化警报和通知应基于所定义的条件,让团队或工具能够执行调查。这些机制都是重要的响应手段,可以帮助您的组织识别和了解异常活动的范围。 在 AWS 中,可以使用很多方法来解决检测性机制问题。以下各节旨在介绍如何使用这些方法: **Topics** + [SEC04-BP01 配置服务和应用程序日志记录](sec_detect_investigate_events_app_service_logging.md) + [SEC04-BP02 在标准化位置收集日志、调查发现和指标](sec_detect_investigate_events_logs.md) + [SEC04-BP03 关联和扩充安全警报](sec_detect_investigate_events_security_alerts.md) + [SEC04-BP04 启动对不合规资源的修复](sec_detect_investigate_events_noncompliant_resources.md)