GuardDuty の検出結果が削除された原因と対処法を教えてください

GuardDuty の検出結果が削除された原因と対処法を教えてください

Clock Icon2023.06.19 06:54

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

困っていること

GuardDuty を有効化して、脅威検知を行っています。
以前に検知された通知を改めて確認しようとしましたが、削除されていました。削除された原因と対処法を教えてください。

どう対応すればいいの?

原因

GuardDuty の検出結果は、アーカイブされているかどうかに関わらず、検出されてから 90 日後に削除される仕様です。
なお、検出結果の保持期間を任意の期間に変更することはできません。

検出結果の保持期間 90 日間 検出結果を保持する最大日数。クォータの引き上げはリクエストできません。

対処法

参考情報 記載の通り、EventBridge を利用して、検出結果を S3 バケットに自動的に保存する方法がございます。

Q: GuardDuty では セキュリティの検出結果をどのくらいの間利用できますか?
セキュリティの検出結果を、GuardDuty コンソールおよび API を通じて 90 日間保持および利用できます。90 日経過した後、検出結果は破棄されます。検出結果を 90 日以上保持するには、EventBridge を有効にして、検出結果をアカウントや他のデータストア内の S3 バケットに自動的にプッシュします。

参考手順

検出結果を新しい S3 バケットへ保存する手順を紹介します。

  1. GuardDuty のマネジメントコンソール画面へ
  2. 左ペインの「設定」をクリック(検出結果のエクスポートオプションが表示されていることを確認する)

  3. 編集をクリック(S3 バケットへ保存する頻度を設定する)
    ● 6 時間 (デフォルト)
    ● 1 時間
    ● 15 分

  4. 「変更を保存」をクリックして設定を反映させる

  5. 「今すぐ設定する」をクリック

  6. 検出結果の保存先 S3 バケットを選択
    ● 既存のバケット お使いのアカウント内
    ● 既存のバケット 別のアカウント
    ● 新しいバケット 新しいバケットを作成

  7. S3 バケットに名前を付ける

  8. ログファイルのプレフィックスを指定
  9. KMS 暗号化を選択

最後に「保存」をクリックすれば設定終了です。

参考資料

この記事をシェアする

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.