Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google Security Operations. Les rétro-recherches sont planifiées lorsqu'il existe des ressources disponibles pour les exécuter. Attendez-vous à des écarts dans les durées d'exécution de Retrohunt.
Pour lancer une recherche rétroactive, procédez comme suit:
Accédez au tableau de bord des règles.
Cliquez sur l'icône d'option "Règles" d'une règle, puis sélectionnez Yara-L Retrohunt.
Option Retrohunt YARA-L
Dans la boîte de dialogue YARA-L Retrohunt, sélectionnez l'heure de début et de fin de votre recherche. La valeur par défaut est d'une semaine. La fenêtre indique la période et l'heure disponibles. Cliquez sur EXÉCUTER lorsque vous êtes prêt.
Fenêtre de dialogue Retrohunt Yara-L
Vous pouvez suivre la progression de l'exécution de la recherche RetroHunt dans la vue "Détections de règles" de la règle. Si vous annulez une recherche rétroactive en cours, vous pouvez toujours consulter les détections qu'elle a pu effectuer pendant son exécution.
Si vous avez effectué plusieurs recherches rétroactives, vous pouvez consulter les résultats des recherches précédentes en cliquant sur le lien de la période, comme illustré dans l'image ci-dessous. Les résultats de chaque exécution s'affichent dans le graphique "Chronologie et détections" de la vue "Détections de règles".
Exécutions de rétro-recherche Yara-L
Si vous utilisez une liste de référence dans une règle, exécutez une recherche rétroactive, puis supprimez des éléments de cette liste, vous devez réviser cette règle en créant une nouvelle version pour voir les nouveaux résultats. Google Security Operations ne supprime pas les détections des listes de référence. Par conséquent, actualiser la règle ne met pas à jour les résultats.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/03/06 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/03/06 (UTC)."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Option Retrohunt YARA-L
