Ejecutar una regla según el historial de datos

Disponible en:

Cuando creas y habilitas una regla, esta empieza a buscar detecciones en función de los eventos que recibe tu cuenta de Google Security Operations en tiempo real. Una búsqueda retrospectiva te permite usar la regla seleccionada para buscar detecciones en los datos de Google SecOps. Las retrobúsquedas se programan cuando hay recursos disponibles para ejecutarse. Es normal que haya variaciones en los tiempos de ejecución de las búsquedas retrospectivas.

Para iniciar una búsqueda retrospectiva, sigue estos pasos:

  1. Vaya al panel de control de reglas.

  2. Haga clic en el icono de opciones de la regla y seleccione Retrohunt de Yara-L.

    RetroHunt Opción RetroHunt de YARA-L

  3. En la ventana Retrohunt de YARA-L, selecciona las horas de inicio y finalización de la búsqueda. El valor predeterminado es una semana. En la ventana se muestra el intervalo de fechas y horas disponibles. En las reglas de varios eventos, el intervalo de búsqueda de retrohunt debe ser igual o superior al tamaño de la ventana de coincidencias.

  4. Haz clic en RUN.

    Ventana del cuadro de diálogo Retrohunt

    Ventana de diálogo de RetroHunt de YARA-L

  5. Puedes ver el progreso de la ejecución de RetroHunt en la vista Detecciones de la regla. Si cancelas una búsqueda retrospectiva en curso, podrás ver las detecciones que haya podido realizar mientras se ejecutaba.

  6. Si has completado varias cacerías retrospectivas, puedes ver los resultados de las cacerías anteriores haciendo clic en el enlace del intervalo de fechas, como se muestra en la siguiente imagen. Los resultados de cada ejecución se muestran en el gráfico Cronología y detecciones de la vista Reglas y detecciones.

    RetroHunt en ejecución

    Ejecuciones de RetroHunt de YARA-L

  7. Si usas una lista de referencias en una regla, ejecutas una búsqueda retrospectiva y, a continuación, eliminas elementos de esa lista, debes revisar la regla y crear una nueva versión para ver los nuevos resultados. Google SecOps no elimina las detecciones de las listas de referencia, por lo que actualizar la regla no modificará los resultados.

¿Necesitas más ayuda? Recibe respuestas de los miembros de la comunidad y de los profesionales de Google SecOps.