탐지 서비스(Macie·GuardDuty·Inspector)를 다 켜고 나면 새로운 문제가 생긴다. "Finding이 하루에 수천 건씩 쏟아지는데, 이걸 누가 어떻게 보나?" 그리고 한 단계 더 — "보안 사고가 났을 때 무슨 일이 있었는지 어떻게 추적하나?", "감사관이 PCI DSS 증거를 요구하면 어떻게 모으나?" 이 세 가지 운영 질문에 답하는 게 Security Hub(통합·자세 평가), Detective(사건 조사), **Audit Manager(감사 증거)**다.
이 셋도 이름이 비슷해 헷갈리지만, 역할은 명확히 갈린다. Security Hub는 현재 상태를 본다(지금 우리 보안 자세가 어떤가, 표준을 지키나). Detective는 과거를 추적한다(이 사건이 어떻게 일어났나). Audit Manager는 증거를 모은다(규제 준수를 어떻게 증명하나). "현재 · 과거 · 증명"의 세 시제로 구분하면 시험의 통합 관제 문제가 풀린다. 오늘은 각 서비스의 내부 동작과, Config·CloudTrail이 이들의 데이터 근간이 되는 관계를 정리한다.
Security Hub의 역할은 두 가지다