困っていた内容
GuardDuty の検出結果を EventBridge 経由で通知しています。
通知状況を確認したところ、更新の通知に関して通知まで数時間のラグが発生する事象が高頻度で発生していました。
なぜ通知まで時間を要することがあるのでしょうか。ラグを減らす方法を教えてください。
どう対応すればいいの?
GuardDuty のエクスポート頻度を変更してください。
GuardDuty は検出結果のイベント通知を
- 新しい検出結果の場合:5分ごと
- 更新された検出結果の場合:6時間ごと(デフォルト)
の頻度で送信します。
そのため、更新された検出結果は GuardDuty から EventBridge へと送信されるまでに、最大で 6 時間の時間差が発生する場合があります。
更新された検出結果の通知頻度は次の値に変更することができます。より迅速に通知を受け取りたい場合は、通知頻度をより短い値に変更してください。
- 15分ごと
- 1時間ごと
- 6時間ごと
なお、新しい検出結果の更新頻度である5分は変更できません。
やってみた
GuardDuty コンソールを開き、「設定」の「検出結果のエクスポートオプション」から「編集」をクリック
任意の頻度を選択し「変更を保存」を選択します。
頻度が更新されたことを確認します。
参考資料
GuardDuty は、アクティブな検出結果を CloudWatch イベント、およびオプションで Amazon S3 バケットにエクスポートすることをサポートしています。が GuardDuty 生成する新しいアクティブな検出結果は、検出結果が生成されてから約 5 分以内に自動的にエクスポートされます。アクティブな検出結果の更新を CloudWatch イベントにエクスポートする頻度を設定できます。
- [小ネタ] 全リージョンの GuardDuty結果更新頻度を 15分にして Detective推奨設定にしよう | DevelopersIO
-
Amazon CloudWatch Events を使用した GuardDuty 結果へのカスタムレスポンスの作成 - Amazon GuardDuty
デフォルトでは、新しく生成された検出結果に関する通知の頻度は 5 分です。この頻度は更新できません。
すべての検出結果は動的です。これは、GuardDuty が同一のセキュリティ問題に関連する新しいアクティビティが検出されると、新しい検出結果が生成されるのではなく、元の検出結果が新しい情報で更新されることを意味します。この動作により、同様のレポートを複数確認しなくても現在の問題を識別することが可能となり、認識済みのセキュリティの問題が重複してノイズになることを減らせます。
0
