Exécuter une règle concernant les données historiques

Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour Rechercher des détections dans les données existantes Google Security Operations. Les chasses rétro sont planifiées lorsqu'il y a de ressources disponibles. Attendez-vous à des variations dans les durées d'exécution de la recherche rétrohunt.

Pour lancer une rétrorecherche, procédez comme suit:

  1. Accédez au tableau de bord des règles.

  2. Cliquez sur l'icône d'option "Rules" (Règles) d'une règle et sélectionnez Yara-L Retrohunt.

    RetroHunt Option Retrohunt YARA-L

  3. Dans la fenêtre pop-up YARA-L Retrohunt, sélectionnez les heures de début et de fin de votre recherche. La valeur par défaut est une semaine. La période indique la plage de dates et d'heures disponibles. Lorsque vous êtes prêt, cliquez sur RUN.

    Fenêtre pop-up Retrohunt

    Fenêtre pop-up Yara-L Retrohunt

  4. Vous pouvez consulter la progression de l'exécution de la recherche rétroactive dans la vue des détections de règles de la règle concernée. Si vous annulez une recherche rétroaction en cours, vous pouvez toujours consulter les détections qu'elle a pu effectuer pendant son exécution.

  5. Si vous avez effectué plusieurs recherches rétrospectives, vous pouvez consulter les résultats des exécutions de recherche rétro antérieures en cliquant sur le lien de la plage de dates, comme illustré dans la figure suivante. Les résultats de chaque exécution sont affichés dans le graphique Chronologie et détections de la vue Détections de règles.

    Course à pied Retrohunt

    Yara-L Retrohunt fonctionne

  6. Si vous utilisez une liste de référence dans une règle, effectuez une recherche rétroactive, puis supprimez des articles de cette liste, cette règle vers une nouvelle version pour voir les nouveaux résultats. Google Security Operations ne supprime pas les détections des listes de référence. Par conséquent, actualiser la règle ne mettra pas à jour les résultats.