Wenn Sie eine neue Regel erstellen und aktivieren, wird anhand der Ereignisse, die in Ihrem Google Security Operations-Konto in Echtzeit empfangen werden, nach Erkennungen gesucht. Bei einer Retrohunt können Sie mit der ausgewählten Regel nach Erkennungen in den vorhandenen Daten in Google Security Operations suchen. Retrohunts werden geplant, wenn die Ausführung der entsprechenden Ressourcen möglich ist. Die Ausführungszeiten von Retrohunt können variieren.
So starten Sie eine Retro-Suche:
Rufen Sie das Dashboard für Regeln auf.
Klicken Sie auf das Symbol für die Option „Regeln“ für eine Regel und wählen Sie Yara-L Retrohunt aus.
YARA-L-Retrohunt-Option
Wählen Sie im YARA-L Retrohunt-Dialogfeld die Start- und Endzeit für die Suche aus. Die Standardeinstellung ist eine Woche. Im Fenster wird der verfügbare Zeitraum angezeigt. Klicken Sie auf AUSFÜHREN, wenn Sie bereit sind.
Yara-L Retrohunt-Dialogfeld
Sie können den Fortschritt des Retrohunt-Laufs in der Ansicht „Regelerkennungen“ für die Regel einsehen. Wenn Sie einen laufenden Retrohunt abbrechen, können Sie sich weiterhin alle erkannten Probleme ansehen, die während der Ausführung gefunden wurden.
Wenn Sie mehrere Retrohunts durchgeführt haben, können Sie sich die Ergebnisse früherer Retrohunt-Ausführungen ansehen, indem Sie auf den Link zum Zeitraum klicken, wie in der folgenden Abbildung dargestellt. Die Ergebnisse der einzelnen Ausführungen werden in der Zeitachse und im Diagramm „Erkannte Probleme“ in der Regelerkennungsansicht angezeigt.
Yara-L-Retrohunt-Ausführungen
Wenn Sie in einer Regel eine Referenzliste verwenden, eine Retro-Analyse ausführen und dann Elemente aus dieser Liste entfernen, müssen Sie diese Regel in einer neuen Version überarbeiten, um die neuen Ergebnisse zu sehen. Google Security Operations löscht keine erkannten Elemente aus Referenzlisten. Wenn Sie die Regel also aktualisieren, werden die Ergebnisse nicht aktualisiert.
[[["Leicht verständlich","easyToUnderstand","thumb-up"],["Mein Problem wurde gelöst","solvedMyProblem","thumb-up"],["Sonstiges","otherUp","thumb-up"]],[["Schwer verständlich","hardToUnderstand","thumb-down"],["Informationen oder Beispielcode falsch","incorrectInformationOrSampleCode","thumb-down"],["Benötigte Informationen/Beispiele nicht gefunden","missingTheInformationSamplesINeed","thumb-down"],["Problem mit der Übersetzung","translationIssue","thumb-down"],["Sonstiges","otherDown","thumb-down"]],["Zuletzt aktualisiert: 2025-04-02 (UTC)."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
YARA-L-Retrohunt-Option
