Executar uma regra com base nos dados históricos
Este documento explica a funcionalidade da execução de regras em tempo real e o recurso RetroHunt na plataforma Google Security Operations. Enquanto as novas regras começam a monitorar os eventos recebidos imediatamente, o RetroHunt permite aplicar a mesma lógica de detecção aos dados históricos existentes para identificar ameaças não descobertas anteriormente. Essas pesquisas históricas são programadas com base nos recursos disponíveis do sistema e, portanto, os tempos de conclusão podem variar.
Para iniciar um RetroHunt, siga estas etapas:
Acesse o painel de regras.
Clique no ícone de opção de regras e selecione Yara-L RetroHunt.
Opção Yara-L RetroHuntNa janela Yara-L RetroHunt, selecione os horários de início e término da pesquisa. O padrão é uma semana. A janela mostra o período de data e hora disponível. Para regras de vários eventos, o período de pesquisa do RetroHunt precisa ser maior ou igual ao tamanho da janela de correspondência.
Clique em RUN.
Janela de diálogo do Yara-L RetroHunt
É possível conferir o progresso da execução do RetroHunt na visualização de detecções da regra. Se você cancelar um RetroHunt em andamento, ainda poderá conferir as detecções que ele conseguiu fazer durante a execução.
Se você tiver concluído vários RetroHunts, poderá conferir os resultados das execuções anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são mostrados no gráfico de linha do tempo e de detecções na visualização de detecções de regras.
Execuções do Yara-L RetroHunt
Se você usar uma lista de referência em uma regra, executar um RetroHunt e remover itens dessa lista, será necessário revisar a regra para uma nova versão para conferir os novos resultados. O Google SecOps não exclui detecções de listas de referência. Portanto, atualizar a regra não vai atualizar os resultados.
Precisa de mais ajuda? Receba respostas de membros da comunidade e profissionais do Google SecOps.