이번 주는 "사후에 진실을 재구성하는 능력" — 감사 추적(audit trail)을 다뤘다. 네 개의 기둥을 세웠다: CloudTrail(활동: 누가 무엇을 했나), AWS Config(구성: 리소스가 각 시점에 어떤 상태였나), VPC Flow Logs·Resolver 쿼리 로그(네트워크: 어떤 트래픽·DNS가 흘렀나), 그리고 무결성·보존·중앙화(이 증거를 신뢰할 수 있게 보관하는 법). 오늘은 이 조각들이 하나의 침해 조사에서 어떻게 맞물리는지를 시나리오로 엮는다.
| 도구 | 답하는 질문 | 기본 활성화 | 핵심 함정 |
|---|---|---|---|
| CloudTrail 관리 이벤트 | 누가 제어 평면 API를 호출했나 | 예(Event history 90일) | 장기 보존은 trail 필요 |
| CloudTrail 데이터 이벤트 | 누가 객체/함수에 접근했나 | 아니오 | selector 추가·비용 |
| CloudTrail Lake | 코드 없이 SQL로 조사 | 아니오 | 최대 10년, 별도 비용 모델 |
| AWS Config | 리소스 상태·이력·관계 | 아니오(리전별) | 리전마다 recorder |
| VPC Flow Logs | IP 트래픽 메타데이터 | 아니오 | payload 없음, NAT 뒤 pkt-srcaddr |
| Resolver 쿼리 로그 | VPC 내 DNS 조회 | 아니오 |