Esecuzione di una regola sui dati storici

Quando crei e attivi una nuova regola, questa inizia a cercare rilevamenti in base agli eventi ricevuti dal tuo account Google Security Operations in tempo reale. Una ricerca retroattiva ti consente di utilizzare la regola selezionata per trovare rilevamenti nei dati esistenti in Google Security Operations. Le cacce al retrovirus vengono pianificate quando sono disponibili risorse per l'esecuzione. Aspettati una varianza nei tempi di esecuzione di Retrohunt.

Per avviare una caccia al retro, completa i seguenti passaggi:

1. Vai alla Dashboard regole.

2. Fai clic sull'icona di opzione Regole per una regola e seleziona Yara-L RetroHunt.

   Opzione di ricerca retroattiva YARA-L

3. Nella finestra popup di YARA-L Retrohunt, seleziona l'ora di inizio e l'ora di fine della ricerca. Il valore predefinito è una settimana. La finestra fornisce l'intervallo di date e ore disponibile. Quando è tutto pronto, fai clic su ESEGUI.

   

   Finestra popup di Yara-L Retrohunt

4. Puoi visualizzare l'avanzamento dell'esecuzione della ricerca retroattiva dalla visualizzazione Rilevamenti delle regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare tutti i rilevamenti che è riuscito a effettuare durante l'esecuzione.

5. Se hai completato più ricerche precedenti, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link dell'intervallo di date, come mostrato nella figura che segue. I risultati di ogni esecuzione vengono visualizzati nel grafico Sequenza temporale e rilevamenti nella visualizzazione Rilevamento regole.

   

   Esecuzioni di retrohunt Yara-L

6. Se usi un elenco di riferimento in una regola, esegui una ricerca retroattiva, per poi rimuovere gli articoli dall'elenco, poi devi rivedere quella regola a una nuova versione per vedere i nuovi risultati. Google Security Operations non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiorna i risultati.