Quando você cria e ativa uma nova regra, ela começa a procurar detecções com base nos eventos recebidos pela sua conta do Google Security Operations em tempo real. Com uma retrocaça, você usa a regra selecionada para pesquisar detecções em todos os dados do Google SecOps. As retrocaças são programadas quando há recursos disponíveis para execução. É esperado que haja variância nos tempos de execução da retrocaça.
Para iniciar uma retrocaça, siga estas etapas:
Acesse o painel de regras.
Clique no ícone de opção de regras e selecione Retrocaça do Yara-L.
Opção YARA-L Retrohunt
Na janela de diálogo da retrocaça YARA-L, selecione o horário de início e de término da pesquisa. O padrão é uma semana. A janela mostra o período disponível. Clique em EXECUTAR quando estiver tudo pronto.
Janela de diálogo da YARA-L Retrohunt
É possível conferir o progresso da execução da RetroHunt na visualização de detecções de regras. Se você cancelar uma retrocaça em andamento, ainda poderá conferir as detecções feitas durante a execução.
Se você tiver concluído várias retrocaças, clique no link do período para ver os resultados das retrocaças anteriores, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".
Execuções de YARA-L RetroHunt
Se você usar uma lista de referência em uma regra, executar uma retrocaça e remover itens dessa lista, revise a regra para uma nova versão e confira os novos resultados. O Google SecOps não exclui detecções das listas de referência. Portanto, atualizar a regra não atualiza os resultados.
[[["Fácil de entender","easyToUnderstand","thumb-up"],["Meu problema foi resolvido","solvedMyProblem","thumb-up"],["Outro","otherUp","thumb-up"]],[["Difícil de entender","hardToUnderstand","thumb-down"],["Informações incorretas ou exemplo de código","incorrectInformationOrSampleCode","thumb-down"],["Não contém as informações/amostras de que eu preciso","missingTheInformationSamplesINeed","thumb-down"],["Problema na tradução","translationIssue","thumb-down"],["Outro","otherDown","thumb-down"]],["Última atualização 2025-07-16 UTC."],[[["Retrohunts allow you to apply a selected rule to search for detections within existing historical data in Google Security Operations."],["Retrohunts are scheduled based on resource availability, which results in variable run times."],["Alerting for detections found via retrohunt is disabled if the rule's alerting status is disabled; you need to create a new version of the rule with alerting enabled and rerun the retrohunt to enable it."],["You can initiate a retrohunt from the Rules Dashboard by selecting \"Yara-L Retrohunt\" for a specific rule, and then specifying the desired start and end time for the search."],["Past retrohunt results can be viewed in the Rule Detections view via a date range link, which displays the information in the Timeline and Detections graph."]]],[]]
Opção YARA-L Retrohunt
