인시던트 대응의 성숙도는 "얼마나 빨리, 일관되게, 사람의 손을 거치지 않고" 위협을 봉쇄하느냐로 갈린다. GuardDuty가 EC2 인스턴스의 C2(command-and-control) 통신을 탐지하는 데 5분이 걸려도, 그 핀딩을 사람이 콘솔에서 읽고 격리 조치를 취하는 데 30분이 걸린다면 공격자는 이미 측면 이동(lateral movement)을 끝냈을 것이다. 자동 대응 파이프라인(automated remediation pipeline)의 본질은 탐지 신호를 결정론적 조치로 변환하는 이벤트 구동 자동화다. 시험 관점의 핵심은 "어떤 이벤트가, 어떤 라우팅을 거쳐, 어떤 실행 엔진으로, 어떤 권한으로 교정되는가"의 흐름을 정확히 그리는 것이다.
이 파이프라인의 표준 골격은 세 부분이다: 신호원(GuardDuty/Security Hub/Config/Inspector) → 라우터(EventBridge) → 실행기(SSM Automation 또는 Lambda). 각 단계의 책임과 함정이 시험에 반복 출제된다.
자동 대응의 트리거는 대부분 보안 서비스가 EventBridge로 내보내는 이벤트다. 신호원마다 이벤트 패턴(event pattern)의 source와 detail-type이 다르다.