依據歷來資料執行規則

本文說明 Google Security Operations 平台中的即時規則執行功能和回溯搜尋功能。新規則會立即開始監控傳入的事件，而回溯搜尋功能則可將相同的偵測邏輯套用至現有的歷來資料，找出先前未發現的威脅。系統會根據可用資源排定這些歷來搜尋作業，因此完成時間可能有所不同。

如要啟動回溯搜尋，請完成下列步驟：

1. 前往規則資訊主頁。

2. 按一下規則的「規則選項」圖示，然後選取「Yara-L Retrohunt」。

   YARA-L Retrohunt 選項

3. 在「YARA-L Retrohunt」視窗中，選取搜尋的開始和結束時間。預設值為一週。視窗會顯示可用的日期和時間範圍。如果是多事件規則，回溯搜尋範圍必須大於或等於比對時間範圍大小。

4. 按一下「執行」。

   

   Yara-L Retrohunt 對話方塊視窗

5. 您可以在規則的規則偵測檢視畫面中，查看 RetroHunt 執行進度。如果取消進行中的回溯搜尋，您仍可查看執行期間偵測到的任何項目。

6. 如果您已完成多項回溯搜尋，可以點選日期範圍連結 (如下圖所示)，查看過往回溯搜尋的結果。每次執行的結果都會顯示在「規則偵測項目」檢視畫面的「時間軸」和「偵測項目」圖表中。

   

   Yara-L RetroHunt 執行

7. 如果您在規則中使用參照清單，執行回溯搜尋，然後從該清單中移除項目，則必須將該規則修訂為新版本，才能查看新結果。Google SecOps 不會從參照清單中刪除偵測結果，因此重新整理規則不會更新結果。

還有其他問題嗎？向社群成員和 Google SecOps 專業人員尋求答案。