Exécuter une règle par rapport aux données historiques

Compatible avec :

Lorsque vous créez et activez une règle, elle commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google SecOps. Les rétrochasses sont planifiées lorsqu'il existe des ressources disponibles pour les exécuter. Les durées d'exécution des analyses rétroactives peuvent varier.

Pour lancer une rétrochasse, procédez comme suit :

  1. Accédez au tableau de bord des règles.

  2. Cliquez sur l'icône d'options d'une règle, puis sélectionnez Retrohunt Yara-L.

    Recherche RetroHunt Option Retrohunt YARA-L

  3. Dans la fenêtre YARA-L Retrohunt, sélectionnez les heures de début et de fin de votre recherche. La valeur par défaut est d'une semaine. La fenêtre indique la plage de dates et d'heures disponibles. Pour les règles multi-événements, la plage de recherche rétroactive doit être supérieure ou égale à la taille de la fenêtre de correspondance.

  4. Cliquez sur EXÉCUTER.

    Boîte de dialogue Retrohunt

    Fenêtre de boîte de dialogue Retrohunt Yara-L

  5. Vous pouvez suivre la progression de l'exécution de Retro Hunt dans la vue des détections de règles. Si vous annulez une rétrochasse en cours, vous pouvez toujours afficher les détections qu'elle a pu effectuer pendant son exécution.

  6. Si vous avez effectué plusieurs analyses rétrospectives, vous pouvez afficher les résultats des analyses précédentes en cliquant sur le lien de la plage de dates, comme illustré dans la figure ci-dessous. Les résultats de chaque exécution sont affichés dans le graphique "Chronologie et détections" de la vue "Détections de la règle".

    Exécution de la recherche RetroHunt

    Exécutions de recherches Retrohunt YARA-L

  7. Si vous utilisez une liste de référence dans une règle, exécutez une analyse rétroactive, puis supprimez des éléments de cette liste, vous devez réviser cette règle pour obtenir une nouvelle version et voir les nouveaux résultats. Google SecOps ne supprime pas les détections des listes de référence. Par conséquent, l'actualisation de la règle ne met pas à jour les résultats.

Vous avez encore besoin d'aide ? Obtenez des réponses de membres de la communauté et de professionnels Google SecOps.