Esecuzione di una regola sui dati storici

Supportato in:

Questo documento spiega la funzionalità di esecuzione delle regole in tempo reale e la funzionalità di retrocaccia all'interno della piattaforma Google Security Operations. Mentre le nuove regole iniziano immediatamente a monitorare gli eventi in entrata, una ricerca retroattiva ti consente di applicare la stessa logica di rilevamento ai dati storici esistenti per identificare minacce precedentemente non rilevate. Queste ricerche storiche vengono pianificate in base alle risorse di sistema disponibili e, pertanto, i tempi di completamento possono variare.

Per avviare una retrocaccia, completa i seguenti passaggi:

  1. Vai alla dashboard Regole.

  2. Fai clic sull'icona delle opzioni delle regole per una regola e seleziona Yara-L Retrohunt.

    RetroHunt Opzione YARA-L Retrohunt

  3. Nella finestra YARA-L Retrohunt, seleziona l'ora di inizio e di fine della ricerca. Il valore predefinito è una settimana. La finestra mostra l'intervallo di date e ore disponibile. Per le regole multi-evento, l'intervallo di ricerca retrohunt deve essere maggiore o uguale alla dimensione della finestra di corrispondenza.

  4. Fai clic su ESEGUI.

    Finestra di dialogo Retrohunt

    Finestra di dialogo YARA-L Retrohunt

  5. Puoi visualizzare l'avanzamento dell'esecuzione di RetroHunt dalla visualizzazione dei rilevamenti delle regole per la regola. Se annulli una retrocaccia in corso, puoi comunque visualizzare i rilevamenti che è riuscita a effettuare durante l'esecuzione.

  6. Se hai completato più retrocacce, puoi visualizzare i risultati delle esecuzioni precedenti facendo clic sul link dell'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono visualizzati nel grafico Timeline e rilevamenti nella visualizzazione Rilevamenti delle regole.

    RetroHunt in esecuzione

    Esecuzioni di YARA-L Retrohunt

  7. Se utilizzi un elenco di riferimento in una regola, esegui una retrocaccia e poi rimuovi elementi da questo elenco, devi rivedere la regola in una nuova versione per visualizzare i nuovi risultati. Google SecOps non elimina i rilevamenti dagli elenchi di riferimento, pertanto l'aggiornamento della regola non aggiornerà i risultati.

Hai bisogno di ulteriore assistenza? Ricevi risposte dai membri della community e dai professionisti di Google SecOps.