過去のデータに対するルールの実行
新しいルールを作成して有効にすると、ルールは Google Security Operations アカウントでリアルタイムで受信されるイベントに基づいて検出の検索を開始します。RetroHunt を使用すると、選択したルールを使用して、Google Security Operations の既存のデータ全体で検出項目を検索できます。実行できるリソースがあるときに、RetroHunt がスケジュールされます。RetroHunt の実行時間は変動することが予想されます。
RetroHunt を起動するには、次の手順を行います。
ルール ダッシュボードに移動します。
ルールの [Rules] オプション アイコンをクリックし、[Yara-L Retrohunt] を選択します。
[YARA-L Retrohunt] オプション
[YARA-L Retrohunt] ポップアップ ウィンドウで、検索の開始時間と終了時間を選択します。 デフォルトは 1 週間です。 ウィンドウに使用可能な日付と時間の範囲が示されます。 準備ができたら [RUN] をクリックします。
[Yara-L Retrohunt] ポップアップ ウィンドウ
ルールのルール検出ビューから、RetroHunt 実行の進捗状況を確認できます。実行中の RetroHunt をキャンセルしても、実行中に実行可能だった検出はまだ表示できます。
複数の RetroHunt を完了した場合は、次の図のように期間のリンクをクリックして、過去の RetroHunt 実行の結果を表示できます。実行ごとの結果が、[Rule Detection] ビューの [Timeline and Detections] グラフに表示されます。
Yara-L RetroHunt 実行
ルールで参照リストを使用し、RetroHunt を実行し、そのリストから項目を削除した場合、新しい結果を表示するには、そのルールを新しいバージョンに変更する必要があります。Google Security Operations では参照リストから検出項目が削除されないため、ルールを更新しても結果は更新されません。