Exécuter une règle par rapport aux données de l'historique
Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google Security Operations. Les chasses rétro sont planifiées lorsqu'il y a de ressources disponibles. Attendez-vous à des écarts dans les durées d'exécution de Retrohunt.
Pour lancer une recherche rétroactive, procédez comme suit :
Accédez au tableau de bord des règles.
Cliquez sur l'icône d'option "Règles" d'une règle, puis sélectionnez Yara-L Retrohunt.
Option Retrohunt YARA-LDans la fenêtre pop-up YARA-L Retrohunt, sélectionnez l'heure de début et de fin de votre recherche. La valeur par défaut est une semaine. La période indique la plage de dates et d'heures disponibles. Lorsque vous êtes prêt, cliquez sur EXÉCUTER.
Fenêtre pop-up Yara-L Retrohunt
Vous pouvez suivre la progression de l'exécution de la recherche RetroHunt dans la vue "Détections de règles" de la règle. Si vous annulez une rétrorecherche en cours, vous pouvez toujours consulter les détections qu'elle a pu effectuer pendant son exécution.
Si vous avez effectué plusieurs recherches rétro, vous pouvez consulter les résultats des recherches précédentes en cliquant sur le lien de la période, comme illustré dans l'image ci-dessous. Les résultats de chaque exécution sont affichés dans le graphique "Chronologie et détections" de la vue "Détections de règles".
Exécutions de rétro-recherche Yara-L
Si vous utilisez une liste de référence dans une règle, exécutez une recherche rétroactive, puis supprimez des éléments de cette liste, vous devez réviser cette règle en créant une nouvelle version pour voir les nouveaux résultats. Google Security Operations ne supprime pas les détections des listes de référence. Par conséquent, actualiser la règle ne met pas à jour les résultats.