이번 주는 "로깅 그 자체"가 아니라 쌓인 로그를 어떻게 신호로, 신호를 어떻게 대응으로 바꾸는가를 다뤘다. 오늘은 네 날의 도구들 — CloudWatch(임계 탐지), Security Hub(집계·정규화·점수), Athena/OpenSearch/Logs Insights(분석), EventBridge/Security Lake(자동화·통합) — 을 하나의 흐름으로 꿰고, 시험에서 도구를 헷갈리게 만드는 경계들을 정리한다. 핵심은 개별 기능 암기가 아니라 "이 요구에는 왜 이 도구가 정답이고 저 도구는 왜 아닌가"를 즉답하는 것이다.
[수집] [탐지] [집계·정규화] [분석] [자동화·대응]
CloudTrail ─┐ CloudWatch ─┐
VPC Flow ───┼─▶ Metric Filter│ Security Hub ─┐ Athena(S3,사후)
ELB/R53 ────┤ + Alarm ├──핀딩──▶ (ASFF 정규화) ├──▶ Logs Insights ──┐
앱 로그 ─────┘ GuardDuty ───┤ 보안점수/표준 │ OpenSearch │
Inspector ───┤ (CIS/FSBP) │ (준실시간) │
M