Menjalankan aturan terhadap data historis

Dokumen ini menjelaskan fungsi eksekusi aturan real-time dan fitur retrohunt dalam platform Google Security Operations. Meskipun aturan baru mulai memantau peristiwa masuk secara langsung, retrohunt memungkinkan Anda menerapkan logika deteksi yang sama ke data historis yang ada untuk mengidentifikasi ancaman yang sebelumnya tidak terdeteksi. Penelusuran historis ini dijadwalkan berdasarkan resource sistem yang tersedia, sehingga waktu penyelesaian dapat bervariasi.

Untuk memulai retrohunt, selesaikan langkah-langkah berikut:

1. Buka Dasbor Aturan.

2. Klik ikon opsi Aturan untuk aturan, lalu pilih Retrohunt Yara-L.

   Opsi Retrohunt YARA-L

3. Di jendela Retrohunt YARA-L, pilih waktu mulai dan berakhir untuk penelusuran Anda. Setelan default-nya adalah satu minggu. Jendela ini menyediakan rentang tanggal dan waktu yang tersedia. Untuk aturan multi-peristiwa, rentang penelusuran retrohunt harus lebih besar dari atau sama dengan ukuran jendela kecocokan.

4. Klik RUN.

   

   Jendela dialog Retrohunt Yara-L

5. Anda dapat melihat progres retrohunt yang sedang berjalan dari tampilan deteksi aturan untuk aturan tersebut. Jika Anda membatalkan retrohunt yang sedang berlangsung, Anda masih dapat melihat deteksi yang dapat dilakukan saat berjalan.

6. Jika telah menyelesaikan beberapa retrohunt, Anda dapat melihat hasil retrohunt yang lalu dengan mengklik link rentang tanggal seperti yang ditunjukkan pada gambar berikut. Hasil setiap proses ditampilkan dalam grafik Linimasa dan Deteksi di tampilan Deteksi Aturan.

   

   Retrohunt Yara-L berjalan

7. Jika Anda menggunakan daftar referensi dalam aturan, menjalankan retrohunt, lalu menghapus item dari daftar tersebut, Anda harus merevisi aturan tersebut ke versi baru untuk melihat hasil baru. Google SecOps tidak menghapus deteksi dari daftar referensi, sehingga memperbarui aturan tidak akan memperbarui hasilnya.

Perlu bantuan lain? Dapatkan jawaban dari anggota Komunitas dan profesional Google SecOps.