Ejecuta una regla en relación con los datos históricos

Cuando creas y habilitas una regla nueva, esta comienza a buscar detecciones según los eventos que recibe tu cuenta de Operaciones de seguridad de Google en tiempo real. Una retrocaza te permite usar la regla seleccionada para buscar detecciones en los datos existentes en Google Security Operations. Las cazas retrospectivas se programan cuando los recursos disponibles para ejecutar. Se espera que haya una variación en los tiempos de ejecución de retrohunt.

Para iniciar una búsqueda de vulnerabilidades heredadas, sigue estos pasos:

1. Navega al panel de reglas.

2. Haz clic en el ícono de la opción de reglas de una regla y selecciona Yara-L Retrohunt.

   Opción RetroHunt de YARA-L

3. En la ventana emergente de RetroHunt de YARA-L, selecciona las horas de inicio y finalización de tu búsqueda. El valor predeterminado es una semana. La ventana muestra la fecha y el intervalo de horas disponibles. Haz clic en EJECUTAR cuando termines.

   

   Ventana emergente de RetroHunt de Yara-L

4. Puedes ver el progreso de la ejecución de retroHunt desde la vista de detecciones de reglas de la regla. Si cancelas una retrocaza en curso, podrás ver las detecciones que pudo realizar mientras se ejecutaba.

5. Si completaste varias retrohunts, puedes ver los resultados de las ejecuciones anteriores haciendo clic en el vínculo del período, como se muestra en la siguiente imagen. Los resultados de cada ejecución se muestran en el gráfico de cronograma y detecciones en la vista Detecciones de reglas.

   

   Ejecuciones de retrohunt de YARA-L

6. Si usas una lista de referencia en una regla, ejecutas una búsqueda de contenido antiguo y, luego, quitas elementos de esa lista, debes revisar esa regla a una versión nueva para ver los resultados nuevos. Google Security Operations no borra las detecciones de las listas de referencia, por lo que actualizar la regla no actualizará los resultados.