Cuando creas y habilitas una regla nueva, esta comienza a buscar detecciones según los eventos que recibe tu cuenta de Google Security Operations en tiempo real. Una búsqueda retroactiva te permite usar la regla seleccionada para buscar detecciones en todos los datos existentes en Google SecOps. Las búsquedas retroactivas se programan cuando hay recursos disponibles para ejecutarlas. Se espera variabilidad en los tiempos de ejecución de la búsqueda retroactiva.
Para iniciar una búsqueda retroactiva, completa los siguientes pasos:
Navega al panel de reglas.
Haz clic en el ícono de opción de reglas para una regla y selecciona Yara-L Retrohunt.
Opción de Retrohunt de YARA-L
En la ventana de diálogo de Retrohunt de YARA-L, selecciona la hora de inicio y la hora de finalización de tu búsqueda. El valor predeterminado es una semana. La ventana proporciona el intervalo de fechas y horas disponibles. Cuando esté todo listo, haz clic en EJECUTAR.
Ventana de diálogo de Retrohunt de YARA-L
Puedes ver el progreso de la ejecución de la búsqueda RetroHunt en la vista de detecciones de la regla. Si cancelas una búsqueda retroactiva en curso, podrás ver las detecciones que se realizaron mientras se ejecutaba.
Si completaste varias búsquedas retroactivas, puedes ver los resultados de las ejecuciones anteriores haciendo clic en el vínculo del período, como se muestra en la siguiente figura. Los resultados de cada ejecución se muestran en el gráfico de cronograma y detecciones de la vista Detecciones de la regla.
Ejecuciones de Retrohunt de YARA-L
Si usas una lista de referencia en una regla, ejecutas una búsqueda retroactiva y, luego, quitas elementos de esa lista, deberás revisar esa regla y crear una nueva versión para ver los resultados nuevos. Google SecOps no borra las detecciones de las listas de referencia, por lo que actualizar la regla no actualizará los resultados.
[[["Fácil de comprender","easyToUnderstand","thumb-up"],["Resolvió mi problema","solvedMyProblem","thumb-up"],["Otro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Información o código de muestra incorrectos","incorrectInformationOrSampleCode","thumb-down"],["Faltan la información o los ejemplos que necesito","missingTheInformationSamplesINeed","thumb-down"],["Problema de traducción","translationIssue","thumb-down"],["Otro","otherDown","thumb-down"]],["Última actualización: 2025-07-16 (UTC)"],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Opción de Retrohunt de YARA-L
