보안 사고는 거의 항상 "징후가 있었는데 아무도 못 봤다"로 끝난다. SSH 무차별 대입이 며칠간 로그에 찍혔지만 그 로그를 보는 사람이 없었고, 신용카드 번호가 평문으로 S3에 올라가 있었지만 그 버킷을 열어본 사람이 없었고, 패치 안 된 EC2가 6개월째 알려진 CVE를 안고 돌아갔지만 아무도 스캔하지 않았다. 침해의 본질은 "탐지 가능했지만 탐지하지 않은 시간"이다. 보안 업계에는 이걸 재는 지표가 있다 — MTTD(Mean Time To Detect), 평균 탐지 시간. 2023년 IBM의 데이터 침해 비용 보고서는 침해를 식별하고 봉쇄하는 데 평균 277일이 걸렸다고 보고했다. 9개월 동안 공격자가 집 안을 돌아다녔다는 뜻이다.
AWS의 보안 탐지 도구 네 종 — GuardDuty, Inspector, Macie, Security Hub — 은 이 "보지 못하는 시간"을 줄이기 위해 존재한다. 각각이 보는 곳이 다르다. GuardDuty는 네트워크와 API 행동을 보고, Inspector는 소프트웨어 취약점을 보고, Macie는 데이터 자체의 민감도를 보고, Security Hub는 이 셋이 본 것을 한 화면에 모은다. 이 글은 네 도구가 각각 무엇을 "어떻게" 보는지 — 에이전트 없이 어떻게 위협을 잡는지, CVE 데이터베이스를 어떻게 대조하는지, ML이 신용카드 번호를 어떻게 가려내는지 — 그 내부 동작을 따라간다.