Esecuzione di una regola sui dati storici
Quando crei e attivi una nuova regola, questa inizia a cercare rilevamenti in base agli eventi ricevuti dal tuo account Google Security Operations in tempo reale. Una ricerca a ritroso ti consente di utilizzare la regola selezionata per trovare rilevamenti nei dati esistenti in Google Security Operations. Le cacce al retrovirus vengono pianificate quando sono disponibili risorse per l'esecuzione. Aspettati una varianza nei tempi di esecuzione della ricerca a ritroso.
Per avviare una caccia al retro, completa i seguenti passaggi:
Vai alla dashboard Regole.
Fai clic sull'icona delle opzioni delle regole per una regola e seleziona Yara-L Retrohunt.
Opzione di ricerca retroattiva YARA-LNella finestra di dialogo di YARA-L Retrohunt, seleziona l'ora di inizio e l'ora di fine della ricerca. Il valore predefinito è una settimana. La finestra fornisce l'intervallo di date e ore disponibile. Quando è tutto pronto, fai clic su ESEGUI.
Finestra di dialogo di Retrohunt di Yara-L
Puoi visualizzare l'avanzamento dell'esecuzione della ricerca retroattiva dalla visualizzazione dei rilevamenti delle regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare tutti i rilevamenti che è riuscita a effettuare durante l'esecuzione.
Se hai completato più retrohunt, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link all'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono visualizzati nel grafico Timeline e rilevamenti nella visualizzazione Rilevamento regole.
Esecuzioni di retrohunt Yara-L
Se utilizzi un elenco di riferimento in una regola, esegui una ricerca retroattiva e poi rimuovi gli elementi dall'elenco, devi rivedere la regola in una nuova versione per visualizzare i nuovi risultati. Google Security Operations non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiorna i risultati.