Exécuter une règle concernant les données historiques

Compatible avec:

Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Google Security Operations en temps réel en temps réel. Une recherche rétroactive vous permet d'utiliser la règle sélectionnée pour rechercher des détections dans les données existantes de Google Security Operations. Les chasses rétro sont planifiées lorsqu'il y a de ressources disponibles. Attendez-vous à des variations dans les durées d'exécution de la recherche rétrohunt.

Pour lancer une rétrorecherche, procédez comme suit:

  1. Accédez au tableau de bord des règles.

  2. Cliquez sur l'icône d'option "Rules" (Règles) d'une règle et sélectionnez Yara-L Retrohunt.

    Retrohunt Option Retrohunt YARA-L

  3. Dans la fenêtre pop-up YARA-L Retrohunt, sélectionnez les heures de début et de fin de votre recherche. La valeur par défaut est d'une semaine. La période indique la plage de dates et d'heures disponibles. Cliquez sur EXÉCUTER lorsque vous êtes prêt.

    Fenêtre pop-up Retrohunt

    Fenêtre pop-up Yara-L Retrohunt

  4. Vous pouvez consulter la progression de l'exécution de la recherche rétroactive dans la vue des détections de règles de la règle. Si vous annulez une recherche rétroactive en cours, vous pouvez toujours consulter les détections qu'elle a pu effectuer pendant son exécution.

  5. Si vous avez effectué plusieurs recherches rétrospectives, vous pouvez consulter les résultats des exécutions de recherche rétro antérieures en cliquant sur le lien de la plage de dates, comme illustré dans la figure suivante. Les résultats de chaque exécution s'affichent dans le graphique "Chronologie et détections" de la vue "Détections de règles".

    Course à pied Retrohunt

    Yara-L Retrohunt exécute

  6. Si vous utilisez une liste de référence dans une règle, effectuez une recherche rétroactive, puis supprimez des articles de cette liste, cette règle vers une nouvelle version pour voir les nouveaux résultats. Google Security Operations ne supprime pas les détections des listes de référence. Par conséquent, actualiser la règle ne met pas à jour les résultats.