Lorsque vous créez et activez une règle, elle commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google SecOps. Les rétrochasses sont planifiées lorsqu'il y a des ressources disponibles pour les exécuter. Les durées d'exécution des analyses rétrospectives peuvent varier.
Pour lancer une rétrochasse, procédez comme suit :
Accédez au tableau de bord des règles.
Cliquez sur l'icône d'options d'une règle, puis sélectionnez Retrohunt Yara-L.
Option Retrohunt YARA-L
Dans la fenêtre de dialogue YARA-L Retrohunt, sélectionnez l'heure de début et l'heure de fin de votre recherche. La valeur par défaut est d'une semaine. La fenêtre indique la plage de dates et d'heures disponibles. Cliquez sur EXÉCUTER lorsque vous êtes prêt.
Fenêtre de boîte de dialogue Retrohunt Yara-L
Vous pouvez suivre la progression de l'exécution de Retro Hunt dans la vue des détections de règles. Si vous annulez une analyse rétroactive en cours, vous pouvez toujours afficher les détections qu'elle a pu effectuer pendant son exécution.
Si vous avez effectué plusieurs analyses rétrospectives, vous pouvez afficher les résultats des analyses précédentes en cliquant sur le lien de la plage de dates, comme illustré dans la figure ci-dessous. Les résultats de chaque exécution sont affichés dans le graphique "Chronologie et détections" de la vue "Détections de la règle".
Exécutions de recherches RetroHunt YARA-L
Si vous utilisez une liste de référence dans une règle, exécutez une analyse rétroactive, puis supprimez des éléments de cette liste, vous devez réviser cette règle pour obtenir une nouvelle version et voir les nouveaux résultats. Google SecOps ne supprime pas les détections des listes de référence. Par conséquent, l'actualisation de la règle ne met pas à jour les résultats.
Sauf indication contraire, le contenu de cette page est régi par une licence Creative Commons Attribution 4.0, et les échantillons de code sont régis par une licence Apache 2.0. Pour en savoir plus, consultez les Règles du site Google Developers. Java est une marque déposée d'Oracle et/ou de ses sociétés affiliées.
Dernière mise à jour le 2025/07/16 (UTC).
[[["Facile à comprendre","easyToUnderstand","thumb-up"],["J'ai pu résoudre mon problème","solvedMyProblem","thumb-up"],["Autre","otherUp","thumb-up"]],[["Difficile à comprendre","hardToUnderstand","thumb-down"],["Informations ou exemple de code incorrects","incorrectInformationOrSampleCode","thumb-down"],["Il n'y a pas l'information/les exemples dont j'ai besoin","missingTheInformationSamplesINeed","thumb-down"],["Problème de traduction","translationIssue","thumb-down"],["Autre","otherDown","thumb-down"]],["Dernière mise à jour le 2025/07/16 (UTC)."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Option Retrohunt YARA-L
