Executar uma regra com base nos dados históricos

Compatível com:

Quando você cria e ativa uma nova regra, ela começa a procurar detecções com base nos eventos recebidos pela sua conta do Google Security Operations em tempo real. Com uma retrocaça, você usa a regra selecionada para pesquisar detecções em todos os dados atuais do Google SecOps. As retrocaças são programadas quando há recursos disponíveis para execução. É esperado que haja variância nos tempos de execução da retrocaça.

Para iniciar uma retrocaça, siga estas etapas:

  1. Acesse o painel de regras.

  2. Clique no ícone de opção de regras e selecione Retrocaça do Yara-L.

    Retrohunt Opção YARA-L Retrohunt

  3. Na janela Retrocaça YARA-L, selecione os horários de início e término da pesquisa. O padrão é uma semana. A janela mostra o período disponível. Para regras de vários eventos, o intervalo de pesquisa de retrocaça precisa ser maior ou igual ao tamanho da janela de correspondência.

  4. Clique em EXECUTAR.

    Janela da caixa de diálogo de retrohunt

    Janela de diálogo da YARA-L Retrohunt

  5. É possível conferir o progresso da execução da RetroHunt na visualização de detecções de regras. Se você cancelar uma retrocaça em andamento, ainda poderá conferir as detecções feitas durante a execução.

  6. Se você tiver concluído várias retrocaças, clique no link do período para ver os resultados das retrocaças anteriores, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".

    Retrohunt em execução

    Execuções de retrohunt da YARA-L

  7. Se você usar uma lista de referência em uma regra, executar uma retrocaça e remover itens dessa lista, revise a regra para uma nova versão e confira os novos resultados. O Google SecOps não exclui detecções das listas de referência. Portanto, atualizar a regra não atualiza os resultados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.