Quando crei e attivi una nuova regola, questa inizia a cercare i rilevamenti
in base agli eventi ricevuti in tempo reale dal tuo account Google Security Operations. Una ricerca retroattiva ti consente di utilizzare la regola selezionata per cercare rilevamenti in tutti i dati esistenti in Google SecOps. Le ricerche retrospettive vengono pianificate quando sono disponibili risorse da eseguire. È prevista una varianza nei tempi di esecuzione della ricerca retroattiva.
Per avviare una retrocaccia, completa i seguenti passaggi:
Vai alla dashboard Regole.
Fai clic sull'icona delle opzioni delle regole per una regola e seleziona Yara-L Retrohunt.
Opzione YARA-L Retrohunt
Nella finestra di dialogo YARA-L Retrohunt, seleziona l'ora di inizio e l'ora di fine della ricerca. Il valore predefinito è una settimana. La finestra mostra l'intervallo di date e ore disponibile. Quando è tutto pronto, fai clic su ESEGUI.
Finestra di dialogo YARA-L Retrohunt
Puoi visualizzare l'avanzamento dell'esecuzione di RetroHunt dalla visualizzazione dei rilevamenti delle regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare i rilevamenti che è riuscita a effettuare durante l'esecuzione.
Se hai completato più retrocacce, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link dell'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono visualizzati nel grafico Timeline e rilevamenti nella visualizzazione Rilevamenti delle regole.
Esecuzioni di YARA-L RetroHunt
Se utilizzi un elenco di riferimento in una regola, esegui una retrocaccia
e poi rimuovi elementi da questo elenco, devi rivedere
la regola in una nuova versione per visualizzare i nuovi risultati. Google SecOps non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiornerà i risultati.
[[["Facile da capire","easyToUnderstand","thumb-up"],["Il problema è stato risolto","solvedMyProblem","thumb-up"],["Altra","otherUp","thumb-up"]],[["Difficile da capire","hardToUnderstand","thumb-down"],["Informazioni o codice di esempio errati","incorrectInformationOrSampleCode","thumb-down"],["Mancano le informazioni o gli esempi di cui ho bisogno","missingTheInformationSamplesINeed","thumb-down"],["Problema di traduzione","translationIssue","thumb-down"],["Altra","otherDown","thumb-down"]],["Ultimo aggiornamento 2025-07-16 UTC."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Opzione YARA-L Retrohunt
