Quando crei e attivi una nuova regola, questa inizia a cercare i rilevamenti in base agli eventi ricevuti dal tuo account Google Security Operations in tempo reale. Una ricerca a ritroso ti consente di utilizzare la regola selezionata per
trovare rilevamenti nei dati esistenti in
Google Security Operations. Le cacce al tesoro retro vengono pianificate quando sono disponibili risorse per l'esecuzione. Aspettati una varianza nei tempi di esecuzione della ricerca a ritroso.
Per avviare una caccia al retro, completa i seguenti passaggi:
Vai alla dashboard Regole.
Fai clic sull'icona delle opzioni delle regole per una regola e seleziona Yara-L Retrohunt.
Opzione di ricerca retroattiva YARA-L
Nella finestra di dialogo di YARA-L Retrohunt, seleziona l'ora di inizio e l'ora di fine della ricerca. Il valore predefinito è una settimana. La finestra fornisce l'intervallo di date e ore disponibile. Fai clic su ESEGUI quando è tutto pronto.
Finestra di dialogo di Retrohunt di Yara-L
Puoi visualizzare l'avanzamento dell'esecuzione della ricerca retroattiva dalla visualizzazione dei rilevamenti delle regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare tutti i rilevamenti che è riuscita a effettuare durante l'esecuzione.
Se hai completato più retrohunt, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link all'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono visualizzati nel grafico Sequenza temporale e rilevamenti nella visualizzazione Rilevamento regole.
Esecuzioni di retrohunt di Yara-L
Se utilizzi un elenco di riferimento in una regola, esegui una ricerca retroattiva e poi rimuovi gli elementi dall'elenco, devi rivedere la regola in una nuova versione per visualizzare i nuovi risultati. Google Security Operations non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiorna i risultati.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-03-06 UTC."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Opzione di ricerca retroattiva YARA-L
