Regel mit Verlaufsdaten ausführen

Unterstützt in:

In diesem Dokument werden die Funktionen der Echtzeit-Regelausführung und der Retrohunt-Funktion in der Google Security Operations-Plattform erläutert. Neue Regeln beginnen sofort mit der Überwachung eingehender Ereignisse. Mit einer Retrohunt können Sie dieselbe Erkennungslogik auf vorhandene Verlaufsdaten anwenden, um bisher unentdeckte Bedrohungen zu identifizieren. Diese historischen Suchanfragen werden basierend auf den verfügbaren Systemressourcen geplant. Die Abschlusszeiten können daher variieren.

So starten Sie eine Retrohunt:

  1. Rufen Sie das Dashboard für Regeln auf.

  2. Klicken Sie auf das Symbol für die Option „Regeln“ für eine Regel und wählen Sie Yara-L Retrohunt aus.

    Retrohunt YARA-L Retrohunt-Option

  3. Wählen Sie im Fenster YARA-L Retrohunt (YARA-L-Retrohunt) die Start- und Endzeit für Ihre Suche aus. Der Standardwert ist eine Woche. Im Fenster wird der verfügbare Datums- und Uhrzeitbereich angezeigt. Bei Regeln für mehrere Ereignisse muss der Retrohunt-Suchbereich größer oder gleich der Größe des Abgleichszeitfensters sein.

  4. Klicken Sie auf AUSFÜHREN.

    Dialogfeld „Retrohunt“

    Yara-L Retrohunt-Dialogfeld

  5. Sie können den Fortschritt des Retrohunt-Laufs in der Ansicht „Regelerkennungen“ für die Regel sehen. Wenn Sie eine laufende Retrohunt abbrechen, können Sie trotzdem alle erkannten Elemente sehen, die während der Ausführung gefunden wurden.

  6. Wenn Sie mehrere Retrohunts durchgeführt haben, können Sie die Ergebnisse vergangener Retrohunt-Läufe aufrufen, indem Sie auf den Link für den Zeitraum klicken, wie in der folgenden Abbildung dargestellt. Die Ergebnisse der einzelnen Ausführungen werden in der Ansicht „Regelerkennungen“ im Diagramm „Zeitachse und Erkennungen“ angezeigt.

    Retrohunt wird ausgeführt

    YARA-L-Retrohunt-Ausführungen

  7. Wenn Sie eine Referenzliste in einer Regel verwenden, eine Retrohunt ausführen und dann Elemente aus dieser Liste entfernen, müssen Sie die Regel in einer neuen Version überarbeiten, um die neuen Ergebnisse zu sehen. Google SecOps löscht keine erkannten Elemente aus Referenzlisten. Wenn Sie die Regel aktualisieren, werden die Ergebnisse also nicht aktualisiert.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten