Esecuzione di una regola sui dati storici

Supportato in:

Quando crei e attivi una nuova regola, questa inizia a cercare i rilevamenti in base agli eventi ricevuti in tempo reale dal tuo account Google Security Operations. Una ricerca retrospettiva ti consente di utilizzare la regola selezionata per cercare rilevamenti in tutti i dati esistenti in Google SecOps. Le ricerche retrospettive vengono pianificate quando sono disponibili risorse da eseguire. È prevista una varianza nei tempi di esecuzione della ricerca retrospettiva.

Per avviare una retrocaccia, completa i seguenti passaggi:

  1. Vai alla dashboard Regole.

  2. Fai clic sull'icona delle opzioni delle regole per una regola e seleziona Yara-L Retrohunt.

    RetroHunt Opzione YARA-L Retrohunt

  3. Nella finestra YARA-L Retrohunt, seleziona l'ora di inizio e di fine della ricerca. Il valore predefinito è una settimana. La finestra mostra l'intervallo di date e ore disponibile. Per le regole multi-evento, l'intervallo di ricerca retrohunt deve essere maggiore o uguale alla dimensione della finestra di corrispondenza.

  4. Fai clic su ESEGUI.

    Finestra di dialogo RetroHunt

    Finestra di dialogo YARA-L Retrohunt

  5. Puoi visualizzare l'avanzamento dell'esecuzione di RetroHunt dalla visualizzazione dei rilevamenti delle regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare i rilevamenti che è riuscita a effettuare durante l'esecuzione.

  6. Se hai completato più retrocacce, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link dell'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono visualizzati nel grafico Timeline e rilevamenti nella visualizzazione Rilevamenti delle regole.

    RetroHunt in esecuzione

    Esecuzioni di YARA-L Retrohunt

  7. Se utilizzi un elenco di riferimento in una regola, esegui una retrocaccia e poi rimuovi elementi da questo elenco, devi rivedere la regola in una nuova versione per visualizzare i nuovi risultati. Google SecOps non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiornerà i risultati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.