시험의 6개 도메인 중 가장 무겁게 출제되는 두 축이 도메인 1(위협 탐지·인시던트 대응, ~14%)과 도메인 2(보안 로깅·모니터링, ~18%)다. 둘은 시험에서 거의 항상 한 흐름으로 묻는다. "로그가 있어야 탐지하고, 탐지가 있어야 대응한다." 오늘은 이 파이프라인 — 수집(로그) → 분석·탐지(GuardDuty/Detective/Macie) → 집약(Security Hub) → 자동 대응(EventBridge→Lambda/SSM) — 을 하나의 신경계로 묶어 복습한다.
탐지의 원천은 로그다. 시험은 "이 증거를 보려면 어떤 로그를 켜야 하는가"를 끊임없이 묻는다.
| 무엇을 알고 싶은가 | 로그 소스 | 위치/특이점 |
|---|---|---|
| 누가 어떤 API를 호출했나 | CloudTrail (관리 이벤트) | 기본 ON, 멱 90일 콘솔. 영구 보존은 S3 |
| S3 객체·Lambda 데이터 접근 | CloudTrail 데이터 이벤트 | 명시적 활성화·과금. 객체 GET/PUT 추적 |
| VPC 내 IP 흐름(허용/거부) | VPC Flow Logs | ENI/Subnet/VPC 단위 |