Ejecutar una regla con los datos históricos

Cuando creas y habilitas una regla nueva, esta comienza a buscar detecciones basadas en los eventos que recibe tu cuenta de Chronicle en tiempo real. Un retrohunt te permite usar la regla seleccionada para buscar detecciones en todos los datos existentes en Chronicle. Las retrospectivas se programan cuando hay recursos disponibles para ejecutarse. Se espera una variación en los tiempos de ejecución retrohunt.

Para iniciar un retrohunt, completa los siguientes pasos:

  1. Navega al panel de reglas.

  2. Haz clic en el ícono de opción Reglas de una regla y selecciona Yara-L Retrohunt.

    RetroHunt Opción RetroHunt de YARA-L

  3. En la ventana emergente de YARA-L Retrohunt, selecciona las horas de inicio y finalización de tu búsqueda. El valor predeterminado es una semana. Allí se indica el período y la fecha disponibles. Haz clic en EJECUTAR cuando tengas todo listo.

    Ventana emergente de Retrohunt

    Ventana emergente de Yara-L Retrohunt

  4. Puedes ver el progreso de la ejecución de retrospectiva desde la vista de detecciones de reglas de la regla. Si cancelas un retrohunt en curso, podrás seguir viendo las detecciones que pudo realizar mientras se ejecutaba.

  5. Si completaste varios retrohunts, puedes ver los resultados de las pasadas haciendo clic en el vínculo del período, como se muestra en la siguiente imagen. Los resultados de cada ejecución se muestran en el gráfico Cronograma y Detecciones en la vista Detecciones de reglas.

    Retrohunt para correr

    Yara-L retrohunt ejecuta

  6. Si usas una lista de referencia en una regla, ejecuta un retrohunt y, luego, quita elementos de esa lista, deberás revisar esa regla a una versión nueva para ver los resultados nuevos. Chronicle no borra las detecciones de las listas de referencia, por lo que actualizar la regla no actualizará los resultados.