탐지(detection)는 예방(prevention)이 뚫렸음을 전제로 한다. 방화벽·IAM·암호화로 아무리 막아도 자격증명 탈취, 내부자, 제로데이는 통과한다. 그래서 보안 운영의 두 번째 기둥은 "이미 일어난(또는 일어나는 중인) 악성 활동을 증거 기반으로 알아채는 것"이다. Amazon GuardDuty는 이 탐지 계층의 1차 진입점으로, 에이전트 없이(agentless) 계정 전역의 텔레메트리를 상시 분석해 위협을 핀딩(finding)으로 토해낸다.
GuardDuty의 본질은 "로그를 수집하는 서비스가 아니라, 로그를 읽어 의미를 부여하는 분석 엔진"이다. CloudTrail을 켜야 GuardDuty가 보는 것이 아니라, GuardDuty가 CloudTrail/VPC Flow/DNS 스트림을 직접 구독해서 분석한다. 사용자가 로그를 저장·전달하도록 구성할 필요가 없고, 활성화하는 순간 데이터 소스가 연결된다 — 이 "켜기만 하면 끝"이 시험의 단골 포인트다.
GuardDuty가 추가 비용·구성 없이 항상 소비하는 세 가지 기초(foundational) 소스: