Como executar uma regra com base nos dados históricos
Quando você cria e ativa uma nova regra, ela começa a pesquisar detecções com base nos eventos recebidos pela sua conta de Operações de Segurança do Google em tempo real tempo de resposta. Com uma retrohunt, você pode usar a regra selecionada para e busca detecções nos dados atuais Operações de segurança do Google. As retrohunts são programadas quando há recursos disponíveis para execução. Espere uma variação nos tempos de execução das buscas retroativas.
Para iniciar uma retrohunt, siga estas etapas:
Acesse o painel de regras.
Clique no ícone de opção de Regras de uma regra e selecione Retrohunt Yara-L.
Opção YARA-L Retrohunt
Na janela pop-up da YARA-L Retrohunt, selecione o horário de início e de término da sua pesquisa. O padrão é uma semana. A janela mostra o período e a data disponíveis. Clique em EXECUTAR quando estiver tudo pronto.
Janela pop-up Yara-L Retrohunt (em inglês)
É possível visualizar o progresso da execução da busca retroativa na visualização de detecções de regras da regra. Se você cancelar uma retrohunt em andamento, ainda poderá conferir as detecções que ela conseguiu fazer durante a execução.
Caso tenha concluído várias pesquisas retroativas, é possível visualizar os resultados das caças anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".
Corridas retrô da Yara-L
Se você usar uma lista de referências em uma regra, faça uma retrohunt e, em seguida, remover os itens dessa lista, e depois revisar essa regra para uma nova versão para ver os novos resultados. As Operações de segurança do Google não excluem detecções dos listas de referência. Portanto, atualizar a regra não atualizará os resultados.