# 警报源 您应考虑使用以下源来定义警报: + **调查发现**:AWS 服务,例如 [Amazon GuardDuty](https://aws.amazon.com/guardduty/)、[AWS Security Hub CSPM](https://aws.amazon.com/security-hub/)、[Amazon Macie](https://aws.amazon.com/macie/)、[Amazon Inspector](https://aws.amazon.com/inspector/)、[AWS Config](https://aws.amazon.com/config/)、[IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 和[网络访问分析器](https://docs.aws.amazon.com/vpc/latest/network-access-analyzer/what-is-vaa.html)等,可以生成用于制作警报的调查发现。 + **日志**:存储在 Amazon S3 存储桶和 CloudWatch 日志组中的 AWS 服务、基础设施和应用程序日志,在经过解析和关联之后,可以生成警报。 + **账单活动**:如果账单活动突然发生变化,则表示发生了安全事件。请按照文档[创建账单警报以监控 AWS 预估费用](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/monitor_estimated_charges_with_cloudwatch.html)进行监控。 + **网络威胁情报**:如果您订阅了第三方网络威胁情报源,则可将该信息与其他日志记录和监控工具关联起来,以确定事件的潜在指标。 + **合作伙伴工具**:AWS Partner Network(APN)中的合作伙伴可提供助您实现安全目标的顶级产品。对于事件响应,具备端点检测与响应(EDR)或 SIEM 的合作伙伴产品可助您实现事件响应目标。有关更多信息,请参阅[安全能力合作伙伴](https://aws.amazon.com/security/partner-solutions/)和[AWS Marketplace 中的安全解决方案](https://aws.amazon.com/marketplace/solutions/security)。 + **AWS 信任和安全**:如果我们发现滥用或恶意活动,支持 可能会联系客户。 + **一次性联系渠道**:由于注意到异常情况的可能是客户、开发人员或组织中的其他员工,因此确立一种广为人知的安全团队联系方式至关重要。常见选择包括工单系统、联系人电子邮件地址和网页表单。如果组织与公众协同合作,则可能还需要一个面向公众的安全联系机制。 有关调查阶段可以使用的云功能的更多信息,请参阅本文档中的[附录 A:云功能定义](appendix-a-cloud-capability-definitions.md)一节。