Ejecutar una regla en relación con los datos históricos

Se admite en los siguientes sistemas operativos:

En este documento, se explica la funcionalidad de la ejecución de reglas en tiempo real y la función de búsqueda retroactiva en la plataforma de Google Security Operations. Si bien las reglas nuevas comienzan a supervisar los eventos entrantes de inmediato, una búsqueda retroactiva te permite aplicar la misma lógica de detección a los datos históricos existentes para identificar amenazas que no se habían descubierto antes. Estas búsquedas históricas se programan según los recursos del sistema disponibles, por lo que los tiempos de finalización pueden variar.

Para iniciar una búsqueda retroactiva, completa los siguientes pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción de reglas para una regla y selecciona Yara-L Retrohunt.

    RetroHunt Opción de Retrohunt de YARA-L

  3. En la ventana YARA-L Retrohunt, selecciona las horas de inicio y finalización de tu búsqueda. El valor predeterminado es una semana. En la ventana, se proporciona el intervalo de fechas y horas disponibles. En el caso de las reglas de varios eventos, el rango de búsqueda de la retrocaza debe ser mayor o igual que el tamaño de la ventana de coincidencias.

  4. Haz clic en EJECUTAR.

    Ventana de diálogo de Retrohunt

    Ventana de diálogo de Retrohunt de Yara-L

  5. Puedes ver el progreso de la ejecución de la búsqueda RetroHunt en la vista de detecciones de la regla. Si cancelas una búsqueda retroactiva en curso, podrás ver las detecciones que se realizaron mientras se ejecutaba.

  6. Si completaste varias búsquedas retroactivas, puedes ver los resultados de las ejecuciones anteriores haciendo clic en el vínculo del período, como se muestra en la siguiente figura. Los resultados de cada ejecución se muestran en el gráfico de cronograma y detecciones en la vista Detecciones de la regla.

    Ejecución de RetroHunt

    Ejecuciones de Retrohunt de YARA-L

  7. Si usas una lista de referencia en una regla, ejecutas una búsqueda retroactiva y, luego, quitas elementos de esa lista, deberás revisar esa regla y crear una nueva versión para ver los resultados nuevos. Google SecOps no borra las detecciones de las listas de referencia, por lo que actualizar la regla no actualizará los resultados.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.