이번 주는 위협 탐지(threat detection) 계층 전체를 다뤘다. GuardDuty(에이전트리스 위협 탐지), Detective(핀딩 조사·근본원인), Inspector(취약점 스캔), 그리고 Security Hub 중심의 통합 아키텍처. 오늘은 이들을 하나의 결정 체계로 묶는다. 시험은 개별 서비스 기능보다 *"이 상황에서 탐지의 어느 도구를, 어떤 역할로, 어디에 배치하는가"*를 묻는다. 핵심은 **목적(무엇을 알고 싶은가) × 통합(어떻게 한 파이프라인으로 묶는가)**의 2차원 사고다.
| 요구/상황 | 1차 도구 | 핵심 이유 |
|---|---|---|
| 자격증명 오남용·악성 통신을 실시간 탐지 | GuardDuty(기초) | 에이전트리스, CloudTrail/Flow/DNS 분석 |
| 호스트 내부 프로세스·파일 악성 행위 | GuardDuty Runtime Monitoring | 런타임 가시성(경량 에이전트) |
| EC2 멀웨어 감염 의심 스캔 | GuardDuty Malware Protection(EBS) | 스냅샷 기반, 에이전트 불필요 |
| EC2/ECR/Lambda의 CVE 취약점 발견 | Inspector | 지속 스캔 + 컨텍스트 우선순위 |
| 사후 공시 CVE까지 이미지 추적 | Inspector ECR continuous 스캔 | 푸시 후 재평가 |
| 핀딩의 근본원인·영향범위·횡적이동 조사 | Detective |