GuardDuty가 "무언가 잘못됐다"고 알려주면, 그 다음 질문은 항상 같다: "정말 침해인가? 어디까지 번졌나? 어떻게 시작됐나?" 이 조사(investigation) 단계가 Amazon Detective의 영역이다. GuardDuty가 *탐지(detect)*라면 Detective는 *조사(investigate)*다 — 핀딩 하나를 받아 그 주변의 행위 전체를 시각화하고, 근본 원인(root cause)과 영향 범위(blast radius)를 추적한다.
Detective의 핵심은 "흩어진 로그를 분석가가 손으로 짜맞추는 SQL 노가다를, 자동으로 구축된 **동작 그래프(behavior graph)**로 대체한다"는 것이다. 인시던트 조사에서 가장 비싼 자원은 분석가의 시간이다. Detective는 평소(수십 일치)의 데이터를 미리 그래프로 연결·집계해두어, 핀딩이 나온 순간 분석가가 "이 IAM 역할이 평소와 다르게 행동했나?", "이 IP는 언제부터 우리 환경과 통신했나?"를 클릭 몇 번으로 답하게 한다.
Detective는 GuardDuty와 유사한 소스를 조사 목적으로 다시 수집·연결한다:
입력 소스
├─ VPC Flow Logs
├─ CloudTrail 관리 이벤트
├─ GuardDuty 핀딩
├─ EKS 감사 로그
└─ (Detective가 내부적으로 정규화·연결)