依據歷來資料執行規則

建立並啟用新規則後，系統會根據 Google Security Operations 帳戶即時收到的事件，開始搜尋偵測結果。您可以使用所選規則，在 Google SecOps 的現有資料中搜尋偵測結果。系統會在有可用資源時安排回溯搜尋。回溯搜尋的執行時間可能會有所差異。

如要啟動回溯搜尋，請完成下列步驟：

1. 前往規則資訊主頁。

2. 按一下規則的「規則選項」圖示，然後選取「Yara-L Retrohunt」。

   YARA-L Retrohunt 選項

3. 在「YARA-L Retrohunt」視窗中，選取搜尋的開始和結束時間。預設為一週。視窗會顯示可用的日期和時間範圍。如果是多事件規則，回溯搜尋範圍必須大於或等於比對時間範圍大小。

4. 按一下「執行」。

   

   Yara-L Retrohunt 對話方塊視窗

5. 您可以在規則的規則偵測檢視畫面中，查看 RetroHunt 執行進度。如果取消進行中的回溯搜尋，您仍可查看執行期間偵測到的任何項目。

6. 如果您已完成多項回溯搜尋，可以點選日期範圍連結 (如下圖所示)，查看過去回溯搜尋的結果。每次執行的結果都會顯示在「規則偵測項目」檢視畫面的時間軸和偵測項目圖表中。

   

   Yara-L RetroHunt 執行

7. 如果在規則中使用參照清單，請執行回溯搜尋，然後從該清單中移除項目，接著將該規則修訂為新版本，即可查看新結果。Google SecOps 不會從參照清單中刪除偵測結果，因此重新整理規則不會更新結果。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。