Execução de uma regra em dados históricos

Quando você cria e ativa uma nova regra, ela começa a pesquisar detecções com base nos eventos recebidos pela sua conta de Operações de Segurança do Google em tempo real. Com uma retrohunt, você pode usar a regra selecionada para procurar detecções nos dados existentes nas Operações de segurança do Google. Elas são programadas quando há recursos disponíveis para execução. Espere uma variação nos tempos de execução das caças retroativas.

Para iniciar uma retrohunt, siga estas etapas:

  1. Acesse o painel de regras.

  2. Clique no ícone de opção de Regras de uma regra e selecione Retrohunt Yara-L.

    Caça retrô Opção Retrohunt da YARA-L

  3. Na janela pop-up da YARA-L Retrohunt, selecione o horário de início e de término da sua pesquisa. O padrão é uma semana. A janela mostra o período e a data disponíveis. Clique em EXECUTAR quando tudo estiver pronto.

    Janela pop-up RetroHunt

    Janela pop-up Yara-L Retrohunt (em inglês)

  4. É possível visualizar o progresso da execução da busca retroativa na visualização de detecções de regras da regra. Se você cancelar uma caça retroativa em andamento, ainda poderá acessar as detecções que ela conseguiu fazer durante a execução.

  5. Caso tenha concluído várias pesquisas retroativas, é possível visualizar os resultados das caças anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são exibidos no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".

    Corrida de Caça Retrospectiva

    Corridas retrô da Yara-L

  6. Se você usar uma lista de referência em uma regra, executar uma retrohunt e depois remover itens dessa lista, será necessário revisar essa regra para uma nova versão para ver os novos resultados. O Google Security Operations não exclui detecções das listas de referência. Portanto, atualizar a regra não vai atualizar os resultados.