以下に結構まとまっています。
https://sysdig.jp/blog/26-aws-security-best-practices/

(1)Nortification service
 何かあったら、メールで通知するサービス。まずはメールアドレスを登録する

(2)AWS Config Rules
 設定内容を自動でチェックして修正する。準拠ルールに従うなどもできる。たとえば、ボリュームが暗号化されているか、パブリックから読み取りできるか、例は以下
https://docs.aws.amazon.com/ja_jp/config/latest/developerguide/managed-rules-by-aws-config.html
 費用はルールの数によって変わる
https://dev.classmethod.jp/articles/recommend-config-rules-for-all-user/

(3)CloudTrail 
アカウントのログを取る。しかし、インスタンスの中で起こっているログインなどイベントは残らない。OS側のログで確認。EC2インスタンスを、AWSのコンソールやCLIなどで操作した場合のログ。デフォルト無効。10万イベントあたり2ドルなどの費用がかかる。
外部の攻撃も内部による設定ミスも検知する。

(4)GuardDuty
VPC Flow Log、DNSログ、ClowdTrailEvent、S3Data Eventsを受け取り、怪しいと思うのを通知?(不正通信) これらは明示的にONにしなくてもいい。GuardDutyをONにすると、裏で自動で取得する。
たとえば、portScan 悪意のあるIPや、不正なポートへの、ブルートフォース攻撃
 ただ、検知だけでブロックはできないので、ClowdWatchなどを連携する必要がある。
※WAFとの違いは?
 WAFはインスタンスより外側で検知する。また、レイヤがレイヤ7のアプリケーションレベルが主。GuardDutyはインスタンスに届いたパケットなど。

(5)Macie
S3の中身をチェックする。S3のログを見て、チェックする(機密情報保護)。なので、S3を契約していないなら不要。

(6)AWS Security HUB
 複数のログの集約して、アラート(一元管理)ができるので、可視性が高まっている(マルチリージョンも対応)。別に、GuardDutyと比べて、画面が見やすいわけではないみたい。

(7)AWS Lambda

(8)CloudWatch
AWS Lambdaと連携して、攻撃を検知したらフィルタルールを書いて、通信をブロックすることもできる。

(9)VPC Flow Logs
 VPC内のトラフィックのログ(FlowLog)を取る。ENI単位で取得する。無料だが、取り込み先のS3の料金がかかる。おそらくサンプリングでログを取っているはず。

(10)別途
・AWS NetworkFirewall(IDSやWebフィルタ)
・AWS WAF
もあり、これらのログはSIEMを使って分析するのがいいだろう。