# 检测
<a name="detection"></a>

 警报是检测阶段的主要组成部分。它会根据需要关注的 AWS 账户威胁活动生成通知，以启动事件响应流程。

 确保警报准确性颇具挑战性；因为通常无法完全确定事件是否已经发生、正在进行还是将在未来发生。原因如下：
+  检测机制基于基准偏差、已知模式以及来自内部或外部实体的通知。
+  由于技术和人员（分别指安全事件的*手段*和*行为者*）的不可预测性，基准会随着时间的推移而变化。新型或经过修改的威胁行为者*战术*、*技术*和*程序*（TTP）会导致新的恶意模式出现。
+  对人员、技术和流程的更改不会立即纳入事件响应流程。部分变更是在调查过程中发现的。