检测

检测由两个部分组成：意外或多余的配置更改检测，以及意外行为检测。第一部分检测可能出现在应用程序交付生命周期中的多个地方。利用基础设施即代码（例如 CloudFormation 模板），即可通过在 CI/CD 管道或源代码控制中实施检查，在部署工作负载之前检查是否存在多余配置。然后，在将工作负载部署到非生产和生产环境时，便可使用本机 AWS、开源或 AWS 合作伙伴工具来检查配置。这些检查可以针对不符合安全原则或最佳实践的配置，也可以针对在已测试和部署配置之间所做的更改。对于正在运行的应用程序，可以检查配置是否发生意外更改，包括在已知部署或自动扩展事件之外发生更改。

若要进行第二部分检测，即意外行为检测，您可以使用工具或在特定类型的 API 调用增加时发出警报。使用 Amazon GuardDuty 后，只要 AWS 账户内发生意外且可能未经授权的活动或恶意活动时，您就会收到提醒。您还应明确监控不希望在工作负载中使用的可变 API 调用以及会改变安全状况的 API 调用。

使用检测功能，您可以识别潜在安全配置错误、威胁或意外行为。检测是安全生命周期的重要组成部分，可用于支持质量流程、法律或合规义务，还可以用于威胁识别和响应工作。检测机制分为多种不同的类型。例如，可以分析来自工作负载的日志，找出正被利用的漏洞。您应定期审核与工作负载相关的检测机制，确保符合内外部的策略和要求。自动化警报和通知应基于所定义的条件，让团队或工具能够执行调查。这些机制都是重要的响应手段，可以帮助您的组织识别和了解异常活动的范围。

在 AWS 中，可以使用很多方法来解决检测性机制问题。以下各节旨在介绍如何使用这些方法：