Executar uma regra em dados do histórico

Compatível com:

Quando cria e ativa uma nova regra, a regra começa a procurar deteções com base nos eventos recebidos pela sua conta do Google Security Operations em tempo real. Uma retrocaça permite-lhe usar a regra selecionada para pesquisar deteções em todos os dados existentes no Google SecOps. As retrocaças são agendadas quando existem recursos disponíveis para execução. Conte com variações nos tempos de execução da retrocaça.

Para iniciar uma retrohunt, conclua os seguintes passos:

  1. Navegue para o painel de controlo de regras.

  2. Clique no ícone de opção Regras de uma regra e selecione Yara-L Retrohunt.

    Retrohunt Opção de retrocaça YARA-L

  3. Na janela de diálogo de retrocaça YARA-L, selecione a hora de início e a hora de fim da sua pesquisa. A predefinição é uma semana. A janela indica o intervalo de data e hora disponível. Clique em EXECUTAR quando estiver tudo pronto.

    Janela de diálogo de retrohunt

    Janela de diálogo de retrocaça do Yara-L

  4. Pode ver o progresso da execução da retrocaça na vista de deteções de regras da regra. Se cancelar uma retrocaça em curso, ainda pode ver as deteções que conseguiu fazer durante a execução.

  5. Se tiver concluído várias análises retrospetivas, pode ver os resultados das execuções de análises retrospetivas anteriores clicando no link do intervalo de datas, conforme mostrado na figura seguinte. Os resultados de cada execução são apresentados no gráfico Linha cronológica e deteções na vista Deteções de regras.

    Retrohunt em execução

    Execuções de retrohunt do Yara-L

  6. Se usar uma lista de referência numa regra, executar uma retrocaça e, em seguida, remover itens dessa lista, tem de rever essa regra para uma nova versão para ver os novos resultados. O Google SecOps não elimina deteções de listas de referência, pelo que a atualização da regra não atualiza os resultados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais da Google SecOps.