Menjalankan aturan terhadap data historis

Dokumen ini menjelaskan fungsi eksekusi aturan real-time dan fitur retrohunt dalam platform Google Security Operations. Meskipun aturan baru mulai memantau peristiwa masuk dengan segera, perburuan retro memungkinkan Anda menerapkan logika deteksi yang sama ke data historis yang ada untuk mengidentifikasi ancaman yang sebelumnya tidak terdeteksi. Penelusuran historis ini dijadwalkan berdasarkan resource sistem yang tersedia, sehingga waktu penyelesaiannya dapat bervariasi.

Untuk memulai retrohunt, selesaikan langkah-langkah berikut:

1. Buka Dasbor Aturan.

2. Klik ikon opsi Aturan untuk suatu aturan, lalu pilih Yara-L Retrohunt.

   Opsi Retrohunt YARA-L

3. Di jendela YARA-L Retrohunt, pilih waktu mulai dan akhir untuk penelusuran Anda. Defaultnya adalah satu minggu. Jendela ini menampilkan rentang tanggal dan waktu yang tersedia. Untuk aturan multi-peristiwa, rentang penelusuran retrohunt harus lebih besar dari atau sama dengan ukuran periode kecocokan.

4. Klik RUN.

   

   Jendela dialog Retrohunt Yara-L

5. Anda dapat melihat progres retrohunt yang dijalankan dari tampilan deteksi aturan untuk aturan tersebut. Jika membatalkan retrohunt yang sedang berlangsung, Anda tetap dapat melihat deteksi yang berhasil dilakukan saat dijalankan.

6. Jika Anda telah menyelesaikan beberapa retrohunt, Anda dapat melihat hasil retrohunt sebelumnya dengan mengklik link rentang tanggal seperti yang ditunjukkan pada gambar berikut. Hasil setiap proses ditampilkan dalam grafik Linimasa dan Deteksi di tampilan Deteksi Aturan.

   

   Retrohunt YARA-L berjalan

7. Jika Anda menggunakan daftar referensi dalam aturan, jalankan retrohunt, lalu hapus item dari daftar tersebut, Anda harus merevisi aturan tersebut ke versi baru untuk melihat hasil baru. Google SecOps tidak menghapus deteksi dari daftar referensi, sehingga memperbarui aturan tidak akan memperbarui hasilnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.