과거 데이터에 대한 규칙 실행

새 규칙을 만들고 사용 설정하면 이 규칙은 Google Security Operations 계정에서 실시간으로 수신하는 이벤트를 기준으로 감지를 검색합니다. RetroHunt를 사용하면 선택한 규칙을 사용하여 Google Security Operations의 기존 데이터 전체에서 감지를 검색할 수 있습니다. RetroHunt는 실행 가능한 리소스가 있을 때 예약됩니다. RetroHunt 실행 시간에 변동이 발생할 수 있습니다.

RetroHunt를 시작하려면 다음 단계를 완료하세요.

  1. 규칙 대시보드로 이동합니다.

  2. 규칙에 대한 규칙 옵션 아이콘을 클릭하고 Yara-L RetroHunt를 선택합니다.

    RetroHunt YARA-L RetroHunt 옵션

  3. YARA-L Retrohunt 팝업 창에서 검색의 시작 시간과 종료 시간을 선택하세요. 기본값은 1주일입니다. 이 창에는 사용 가능한 날짜 및 기간이 제공됩니다. 준비가 되면 실행을 클릭합니다.

    RetroHunt 팝업 창

    Yara-L RetroHunt 팝업 창

  4. 규칙의 규칙 감지 뷰에서 RetroHunt 실행 진행률을 확인할 수 있습니다. 진행 중인 RetroHunt를 취소하더라도, 실행 중에 감지했던 모든 항목을 계속 볼 수 있습니다.

  5. RetroHunt를 여러 번 완료하면 다음 그림과 같이 기간 링크를 클릭하여 이전 RetroHunt 실행의 결과를 확인할 수 있습니다. 각 실행 결과가 규칙 감지 뷰에 타임라인 및 감지 그래프로 표시됩니다.

    RetroHunt 실행

    Yara-L RetroHunt 실행

  6. 규칙에서 참조 목록을 사용하고, RetroHunt를 실행한 다음 해당 목록에서 항목을 제거한 경우 새 결과를 보려면 해당 규칙을 새 버전으로 수정해야 합니다. Google Security Operations는 참조 목록에서 감지 항목을 삭제하지 않으므로 규칙을 새로고침해도 결과가 업데이트되지 않습니다.