针对历史数据运行规则

支持的平台:

当您创建并启用新规则后,该规则会开始搜索检测 根据您的 Google Security Operations 账号实际收到的事件 。通过追溯,您可以使用所选规则 在现有数据中搜索检测, Google Security Operations,当有可用资源可供运行时,系统会安排回溯猎捕。预计回溯运行时间存在差异。

如需开始 Retrohunt,请完成以下步骤:

  1. 转到“规则信息中心”。

  2. 点击规则的“规则选项”图标,然后选择 Yara-L Retrohunt

    Retrohunt YARA-L Retrohunt 选项

  3. 在 YARA-L Retrohunt 弹出式窗口中,选择搜索的开始时间和结束时间。默认值为一周。此窗口提供了可用的日期和时间范围。准备就绪后点击运行

    “Retrohunt”弹出式窗口

    Yara-L Retrohunt 弹出式窗口

  4. 您可以通过“规则检测”视图来查看 Retrohunt 运行的进度。如果您取消正在进行的 Retrohunt,则仍可以查看其在运行时可用的检测结果。

  5. 如果您已完成多个 Retrohunt,则可以点击日期范围链接来查看过去的运行结果,如下图所示。每次运行的结果都会显示在“规则检测”视图的“时间轴”和“检测”图中。

    Retrohunt 运行

    Yara-L Retrohunt 运行

  6. 如果您在规则中使用参考列表,请进行回溯 然后从该列表中删除项目后, 将该规则应用到新版本,以查看新结果。Google 安全运营团队不会从参考列表中删除检测结果,因此刷新规则不会更新结果。