Exécuter une règle par rapport aux données de l'historique

Compatible avec:

Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google Security Operations. Les rétro-recherches sont planifiées lorsqu'il existe des ressources disponibles pour les exécuter. Attendez-vous à des écarts dans les durées d'exécution de Retrohunt.

Pour lancer une recherche rétro, procédez comme suit:

  1. Accédez au tableau de bord des règles.

  2. Cliquez sur l'icône d'option "Règles" d'une règle, puis sélectionnez Yara-L Retrohunt.

    Recherche RetroHunt Option Retrohunt YARA-L

  3. Dans la boîte de dialogue YARA-L Retrohunt, sélectionnez l'heure de début et de fin de votre recherche. La valeur par défaut est une semaine. La fenêtre indique la période et l'heure disponibles. Cliquez sur RUN lorsque vous êtes prêt.

    Boîte de dialogue Retrohunt

    Fenêtre de dialogue Yara-L Retrohunt

  4. Vous pouvez suivre la progression de l'exécution de la recherche RetroHunt dans la vue "Détections de règles" de la règle. Si vous annulez une recherche rétroactive en cours, vous pouvez toujours consulter les détections qu'elle a pu effectuer pendant son exécution.

  5. Si vous avez effectué plusieurs recherches rétro, vous pouvez consulter les résultats des recherches précédentes en cliquant sur le lien de la période, comme illustré dans l'image ci-dessous. Les résultats de chaque exécution s'affichent dans le graphique "Chronologie et détections" de la vue "Détections de règles".

    Retrohunt Running

    Exécutions de rétro-recherche Yara-L

  6. Si vous utilisez une liste de référence dans une règle, exécutez une recherche rétroactive, puis supprimez des éléments de cette liste, vous devez réviser cette règle en créant une nouvelle version pour voir les nouveaux résultats. Google Security Operations ne supprime pas les détections des listes de référence. Par conséquent, actualiser la règle ne met pas à jour les résultats.