Ejecutar una regla para datos históricos

Compatible con:

Cuando crea y habilita una regla nueva, esta comienza a buscar detecciones en función de los eventos reales que recibió tu cuenta de Google Security Operations tiempo. Una caza retro te permite usar la regla seleccionada para buscar detecciones en todos los datos existentes Google Security Operations. Las cazas retrospectivas se programan cuando los recursos disponibles para ejecutar. Se esperan variaciones en los tiempos de ejecución de retrospectiva.

Para iniciar una búsqueda retro, completa los siguientes pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción "Reglas" de una regla y selecciona Yara-L Retrohunt.

    RetroHunt Opción RetroHunt de YARA-L

  3. En la ventana emergente de RetroHunt de YARA-L, selecciona las horas de inicio y finalización de tu búsqueda. El valor predeterminado es una semana. La ventana proporciona el período disponible de fecha y hora. Haz clic en EJECUTAR cuando termines.

    Ventana emergente RetroHunt

    Ventana emergente de RetroHunt de Yara-L

  4. Puedes ver el progreso de la ejecución de retrohunt desde la vista de detecciones de reglas de la regla. Si cancelas una búsqueda retro en curso, podrás ver las detecciones que pudo realizar mientras se ejecutaba.

  5. Si completaste varias búsquedas retro, puedes ver los resultados haciendo clic en el vínculo del período, como se muestra en la siguiente imagen. Los resultados de cada ejecución se muestran en el gráfico Cronograma y Detecciones, en la vista Detecciones de reglas.

    RetroHunt corriendo

    Carreras de retrohunt de YARA-L

  6. Si usas una lista de referencia en una regla, ejecuta una búsqueda retro y, luego, quites los elementos de esa lista, deberás revisar esa regla a una versión nueva para ver los nuevos resultados. Google Security Operations no borra las detecciones de listas de referencia, por lo que actualizar la regla no actualizará los resultados.