Executar uma regra com base nos dados históricos

Compatível com:

Quando você cria e ativa uma nova regra, ela começa a procurar detecções com base nos eventos recebidos pela sua conta do Google Security Operations em tempo real. Com uma retrocaça, você usa a regra selecionada para pesquisar detecções em todos os dados do Google SecOps. As retrocaças são programadas quando há recursos disponíveis para execução. É esperado que haja variância nos tempos de execução da retrocaça.

Para iniciar uma retrocaça, siga estas etapas:

  1. Acesse o painel de regras.

  2. Clique no ícone de opção de regras e selecione Retrocaça do Yara-L.

    Retrohunt Opção YARA-L Retrohunt

  3. Na janela de diálogo da retrocaça YARA-L, selecione o horário de início e de término da pesquisa. O padrão é uma semana. A janela mostra o período disponível. Clique em EXECUTAR quando estiver tudo pronto.

    Janela da caixa de diálogo de retrohunt

    Janela de diálogo da YARA-L Retrohunt

  4. É possível conferir o progresso da execução da RetroHunt na visualização de detecções de regras. Se você cancelar uma retrocaça em andamento, ainda poderá conferir as detecções feitas durante a execução.

  5. Se você tiver concluído várias retrocaças, clique no link do período para ver os resultados das retrocaças anteriores, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico "Linha do tempo e detecções" na visualização "Detecções de regras".

    Retrohunt em execução

    Execuções de YARA-L RetroHunt

  6. Se você usar uma lista de referência em uma regra, executar uma retrocaça e remover itens dessa lista, revise a regra para uma nova versão e confira os novos resultados. O Google SecOps não exclui detecções das listas de referência. Portanto, atualizar a regra não atualiza os resultados.

Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.