Como executar uma regra com base nos dados históricos

Quando você cria e ativa uma nova regra, ela começa a procurar detecções com base nos eventos recebidos pela sua conta de operações de segurança do Google em tempo real. Com uma retrohunt, você pode usar a regra selecionada para procurar detecções nos dados atuais no Google Security Operations. As retrohunts são programadas quando há recursos disponíveis para execução. Espere uma variação nos tempos de execução da retrohunt.

Para iniciar uma retrohunt, siga estas etapas:

1. Acesse o Painel de regras.

2. Clique no ícone de opção "Regras" de uma regra e selecione Yara-L Retrohunt.

   Opção YARA-L Retrohunt

3. Na janela de diálogo do YARA-L Retrohunt, selecione o horário de início e de término da pesquisa. O padrão é uma semana. A janela mostra a data e o período disponíveis. Clique em EXECUTAR quando estiver tudo pronto.

   

   Janela de diálogo da YARA-L Retrohunt

4. É possível conferir o progresso da execução da RetroHunt na visualização de detecções de regras. Se você cancelar uma retrohunt em andamento, ainda poderá conferir as detecções que ela conseguiu fazer durante a execução.

5. Se você tiver concluído várias retrohunts, poderá conferir os resultados de execuções anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".

   

   Execuções de retrohunt do YARA-L

6. Se você usar uma lista de referência em uma regra, executar uma retrohunt e remover itens dessa lista, será necessário revisar essa regra para uma nova versão para conferir os novos resultados. As operações de segurança do Google não excluem detecções de listas de referência. Portanto, atualizar a regra não atualiza os resultados.