Regel für Verlaufsdaten ausführen

Unterstützt in:

Wenn Sie eine neue Regel erstellen und aktivieren, beginnt die Regel mit der Suche nach Erkennungen basierend auf den Ereignissen, die in Ihrem Google Security Operations-Konto eingegangen sind, . Bei einem RetroHunt können Sie mit der ausgewählten Regel in den vorhandenen Daten in Google Security Operations RetroHunts werden geplant, wenn Ressourcen verfügbar sind. Rechnen Sie mit Abweichungen bei den RetroHunt-Laufzeiten.

So starten Sie eine Retro-Suche:

  1. Rufen Sie das Dashboard für Regeln auf.

  2. Klicken Sie auf das Optionssymbol für Regeln für eine Regel und wählen Sie Yara-L RetroHunt aus.

    Retrohunt YARA-L-Retrohunt-Option

  3. Wählen Sie im Popup-Fenster YARA-L RetroHunt die Start- und Endzeit für Ihre Suche aus. Die Standardeinstellung ist eine Woche. Im Fenster wird der verfügbare Zeitraum angezeigt. Klicken Sie auf AUSFÜHREN, wenn Sie bereit sind.

    Pop-up-Fenster von Retrohunt

    Yara-L Retrohunt-Pop-up-Fenster

  4. Sie können den Fortschritt der RetroHunt-Ausführung in der Ansicht „Regelerkennung“ für die Regel sehen. Wenn Sie einen laufenden Retrohunt abbrechen, können Sie sich weiterhin alle erkannten Probleme ansehen, die während der Ausführung gefunden wurden.

  5. Wenn Sie mehrere RetroHunts durchgeführt haben, können Sie die Ergebnisse vergangener RetroHunt-Ausführungen anzeigen, indem Sie auf den Zeitraum-Link klicken, wie in der folgenden Abbildung dargestellt. Die Ergebnisse der einzelnen Ausführungen werden in der Zeitachse und im Diagramm „Erkannte Probleme“ in der Regelerkennungsansicht angezeigt.

    Retrohunt Running

    RetroHunt-Runden von Yara-L

  6. Wenn Sie in einer Regel eine Referenzliste verwenden, eine Retro-Suche ausführen und dann Elemente aus dieser Liste entfernen, müssen Sie diese Regel in eine neue Version ändern, um die neuen Ergebnisse zu sehen. Google Security Operations löscht Erkennungen nicht aus Referenzlisten, sodass sich die Ergebnisse nicht ändern, wenn Sie die Regel aktualisieren.