Ejecutar una regla en relación con los datos históricos

Compatible con:

En este documento, se explica la funcionalidad de la ejecución de reglas en tiempo real y la función de retrohunt en la plataforma de Google Security Operations. Si bien las reglas nuevas comienzan a supervisar los eventos entrantes de inmediato, una retrohunt te permite aplicar la misma lógica de detección a los datos históricos existentes para identificar amenazas que no se habían descubierto antes. Estas búsquedas históricas se programan en función de los recursos del sistema disponibles y, por lo tanto, los tiempos de finalización pueden variar.

Para iniciar una retrohunt, completa los siguientes pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción de reglas para una regla y selecciona Retrohunt de Yara-L.

    RetroHunt Opción de retrohunt de YARA-L

  3. En la ventana Retrohunt de YARA-L, selecciona las horas de inicio y finalización de la búsqueda. La opción predeterminada es una semana. La ventana proporciona el intervalo de fecha y hora disponible. Para las reglas de varios eventos, el intervalo de búsqueda de retrohunt debe ser mayor o igual que el tamaño de la ventana de coincidencias.

  4. Haz clic en RUN.

    Ventana de diálogo de Retrohunt

    Ventana de diálogo de retrohunt de YARA-L

  5. Puedes ver el progreso de la ejecución de retrohunt desde la vista de detecciones de reglas para la regla. Si cancelas una retrohunt en curso, puedes ver las detecciones que pudo realizar mientras se ejecutaba.

  6. Si completaste varias retrohunts, puedes ver los resultados de las ejecuciones anteriores haciendo clic en el vínculo del intervalo de fechas, como se muestra en la siguiente figura. Los resultados de cada ejecución se muestran en el gráfico de cronograma y detecciones en la vista de detecciones de reglas.

    Ejecución de RetroHunt

    Ejecuciones de retrohunt de YARA-L

  7. Si usas una lista de referencias en una regla, ejecutas una retrohunt y, luego, quitas elementos de esa lista, debes revisar esa regla a una versión nueva para ver los resultados nuevos. Google SecOps no borra las detecciones de las listas de referencias, por lo que actualizar la regla no actualizará los resultados.

¿Necesitas más ayuda? Obtén respuestas de miembros de la comunidad y profesionales de Google SecOps.