Quando você cria e ativa uma nova regra, ela começa a procurar detecções
com base nos eventos recebidos pela sua conta de operações de segurança do Google em tempo real. Com uma retrohunt, você pode usar a regra selecionada para
procurar detecções nos dados atuais no
Google Security Operations. As retrohunts são programadas quando há
recursos disponíveis para execução. Espere uma variação nos tempos de execução da retrohunt.
Para iniciar uma retrohunt, siga estas etapas:
Acesse o Painel de regras.
Clique no ícone de opção "Regras" de uma regra e selecione Yara-L Retrohunt.
Opção YARA-L Retrohunt
Na janela de diálogo do YARA-L Retrohunt, selecione o horário de início e de término da pesquisa. O padrão é uma semana. A janela mostra a data e o período disponíveis. Clique em EXECUTAR quando estiver tudo pronto.
Janela de diálogo da YARA-L Retrohunt
É possível conferir o progresso da execução da RetroHunt na visualização de detecções de regras. Se você cancelar uma retrohunt em andamento, ainda poderá conferir as detecções que ela conseguiu fazer durante a execução.
Se você tiver concluído várias retrohunts, poderá conferir os resultados de execuções anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".
Execuções de retrohunt do YARA-L
Se você usar uma lista de referência em uma regra, executar uma retrohunt
e remover itens dessa lista, será necessário revisar
essa regra para uma nova versão para conferir os novos resultados. O Google Security Operations não exclui detecções das
listas de referência. Portanto, atualizar a regra não atualiza os resultados.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-03-06 UTC."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Opção YARA-L Retrohunt
