依據歷來資料執行規則

支援的國家/地區:

建立並啟用新規則後,系統會根據 Google Security Operations 帳戶即時收到的事件,開始搜尋偵測結果。您可以使用所選規則,在 Google SecOps 的現有資料中搜尋偵測結果。系統會在有可用資源時安排回溯搜尋。回溯搜尋的執行時間可能會有所差異。

如要啟動回溯搜尋,請完成下列步驟:

  1. 前往規則資訊主頁。

  2. 按一下規則的「規則選項」圖示,然後選取「Yara-L Retrohunt」

    RetroHunt YARA-L Retrohunt 選項

  3. 在「YARA-L Retrohunt」視窗中,選取搜尋的開始和結束時間。預設為一週。視窗會顯示可用的日期和時間範圍。如果是多事件規則,回溯搜尋範圍必須大於或等於比對時間範圍大小。

  4. 按一下「執行」

    Retrohunt 對話方塊視窗

    Yara-L Retrohunt 對話方塊視窗

  5. 您可以在規則的規則偵測檢視畫面中,查看 RetroHunt 執行進度。如果取消進行中的回溯搜尋,您仍可查看執行期間偵測到的任何項目。

  6. 如果您已完成多項回溯搜尋,可以點選日期範圍連結 (如下圖所示),查看過去回溯搜尋的結果。每次執行的結果都會顯示在「規則偵測項目」檢視畫面的時間軸和偵測項目圖表中。

    RetroHunt 執行中

    Yara-L RetroHunt 執行

  7. 如果在規則中使用參照清單,請執行回溯搜尋,然後從該清單中移除項目,接著將該規則修訂為新版本,即可查看新結果。Google SecOps 不會從參照清單中刪除偵測結果,因此重新整理規則不會更新結果。

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。