GuardDuty の検出結果が削除された原因と対処法を教えてください

困っていること

GuardDuty を有効化して、脅威検知を行っています。
以前に検知された通知を改めて確認しようとしましたが、削除されていました。削除された原因と対処法を教えてください。

どう対応すればいいの?

原因

GuardDuty の検出結果は、アーカイブされているかどうかに関わらず、検出されてから 90 日後に削除される仕様です。
なお、検出結果の保持期間を任意の期間に変更することはできません。

検出結果の保持期間　90 日間　検出結果を保持する最大日数。クォータの引き上げはリクエストできません。

対処法

参考情報 記載の通り、EventBridge を利用して、検出結果を S3 バケットに自動的に保存する方法がございます。

Q: GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?
セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の S3 バケットに自動的にプッシュします。

参考手順

検出結果を新しい S3 バケットへ保存する手順を紹介します。

1. GuardDuty のマネジメントコンソール画面へ
2. 左ペインの「設定」をクリック（検出結果のエクスポートオプションが表示されていることを確認する）

3. 編集をクリック（S3 バケットへ保存する頻度を設定する）
   ● 6 時間 (デフォルト)
   ● 1 時間
   ● 15 分

4. 「変更を保存」をクリックして設定を反映させる

5. 「今すぐ設定する」をクリック

6. 検出結果の保存先 S3 バケットを選択
   ● 既存のバケット お使いのアカウント内
   ● 既存のバケット 別のアカウント
   ● 新しいバケット 新しいバケットを作成

7. S3 バケットに名前を付ける

8. ログファイルのプレフィックスを指定
9. KMS 暗号化を選択

最後に「保存」をクリックすれば設定終了です。

参考資料

• Amazon GuardDuty のクォータ - Amazon GuardDuty
• よくある質問 - Amazon GuardDuty | AWS