# 了解威胁形势
<a name="understand-threat-landscape"></a>

## 开发威胁模型
<a name="develop-threat-models"></a>

 通过开发威胁模型，组织能够先于未经授权的用户识别威胁并制定缓解措施。有多种威胁建模策略和方法可供选择；请参阅博客文章《[How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/)》。对于事件响应，威胁模型有助于识别威胁行为者在事件发生期间可能使用的攻击向量。理解您需要防御的对象对于及时响应至关重要。您也可以使用 AWS Partner 进行威胁建模。要查找 AWS 合作伙伴，请使用 [AWS Partner Network](https://partners.amazonaws.com/)。

## 整合和利用网络威胁情报
<a name="integrate-and-use-cyber-threat-intelligence"></a>

 网络威胁情报是指关于威胁行为者意图、机会及能力的数据和分析。获取和利用威胁情报有助于尽早检测到事件并更好地了解威胁行为者的行为。网络威胁情报包括静态指标，例如 IP 地址或恶意软件的文件哈希值。它还包括高级别信息，例如行为模式和意图。您可以从多家网络安全供应商和开源存储库收集威胁情报。

 要为 AWS 环境整合并最大限度地利用威胁情报，您可以使用一些开箱即用功能，并整合自己的威胁情报列表。Amazon GuardDuty 使用 AWS 内部及第三方威胁情报源。其他 AWS 服务，例如 DNS 防火墙和 AWS WAF 规则，也接收来自 AWS 高级威胁情报组的输入。部分 GuardDuty 调查发现映射到 [MITRE ATT&CK 框架](https://attack.mitre.org/)，该框架可提供有关攻击者策略和技术的实际观察信息。