依據歷來資料執行規則

建立並啟用新規則後，系統會根據 Google Security Operations 帳戶即時收到的事件，開始搜尋偵測結果。您可以使用選取的規則，在 Google SecOps 的現有資料中搜尋偵測結果。系統會在有可用資源時安排回溯搜尋。回溯搜尋的執行時間可能會有所差異。

如要啟動回溯搜尋，請完成下列步驟：

1. 前往規則資訊主頁。

2. 按一下規則的「規則選項」圖示，然後選取「Yara-L Retrohunt」。

   YARA-L Retrohunt 選項

3. 在 YARA-L 搜尋對話方塊中，選取搜尋的開始時間和結束時間。預設為一週。視窗會顯示可用的日期和時間範圍。準備就緒後，按一下「執行」。

   

   Yara-L Retrohunt 對話方塊視窗

4. 您可以在規則的規則偵測檢視畫面中，查看 RetroHunt 執行進度。如果取消進行中的回溯搜尋，您仍可查看執行期間偵測到的任何項目。

5. 如果您已完成多項回溯搜尋，可以點選日期範圍連結 (如下圖所示)，查看過往回溯搜尋的結果。每次執行的結果都會顯示在「規則偵測項目」檢視畫面的「時間軸」和「偵測項目」圖表中。

   

   Yara-L 追溯搜尋執行作業

6. 如果在規則中使用參照清單，執行回溯搜尋，然後從該清單中移除項目，則必須將該規則修訂為新版本，才能查看新結果。Google SecOps 不會從參照清單中刪除偵測結果，因此重新整理規則不會更新結果。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。