Menjalankan aturan terhadap data historis

Didukung di:

Saat Anda membuat dan mengaktifkan aturan baru, aturan tersebut akan mulai menelusuri deteksi berdasarkan peristiwa yang diterima oleh akun Google Security Operations Anda secara real time. Retrohunt memungkinkan Anda menggunakan aturan yang dipilih untuk menelusuri deteksi di seluruh data yang ada di Google Security Operations. Retrohunt dijadwalkan saat ada resource yang tersedia untuk dijalankan. Perhatikan varians dalam waktu proses retrohunt.

Untuk memulai retrohunt, selesaikan langkah-langkah berikut:

  1. Buka Dasbor Aturan.

  2. Klik ikon opsi Aturan untuk aturan, lalu pilih Yara-L Retrohunt.

    Retrohunt Opsi Retrohunt YARA-L

  3. Di jendela dialog YARA-L Retrohunt, pilih waktu mulai dan waktu berakhir untuk penelusuran Anda. Defaultnya adalah satu minggu. Jendela ini menampilkan rentang tanggal dan waktu yang tersedia. Klik JALANKAN jika sudah siap.

    Jendela dialog Retrohunt

    Jendela dialog Retrohunt Yara-L

  4. Anda dapat melihat progres retrohunt yang dijalankan dari tampilan deteksi aturan untuk aturan tersebut. Jika membatalkan retrohunt yang sedang berlangsung, Anda masih dapat melihat deteksi yang dapat dilakukannya saat berjalan.

  5. Jika telah menyelesaikan beberapa retrohunt, Anda dapat melihat hasil retrohunt yang dijalankan sebelumnya dengan mengklik link rentang tanggal seperti yang ditunjukkan pada gambar berikut. Hasil setiap operasi ditampilkan dalam grafik Linimasa dan Deteksi di tampilan Deteksi Aturan.

    Retrohunt Running

    Retrohunt Yara-L berjalan

  6. Jika Anda menggunakan daftar referensi dalam aturan, jalankan retrohunt, lalu hapus item dari daftar tersebut, Anda harus merevisi aturan tersebut ke versi baru untuk melihat hasil baru. Google Security Operations tidak menghapus deteksi dari daftar referensi, sehingga memuat ulang aturan tidak akan memperbarui hasilnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.