Exécuter une règle sur des données historiques

Lorsque vous créez et activez une règle, celle-ci commence à rechercher des détections en fonction des événements reçus par votre compte Chronicle en temps réel. Une rétrorecherche de récurrence vous permet d'utiliser la règle sélectionnée pour rechercher des détections parmi les données existantes dans Chronicle. Les recherches RetroHunt sont planifiées lorsque des ressources sont disponibles. Attendez-vous à des variations dans les durées d'exécution de retrohunt.

Pour lancer une rétrorecherche, procédez comme suit:

1. Accédez au tableau de bord des règles.

2. Cliquez sur l'icône d'option "Règles" d'une règle, puis sélectionnez Yara-L Retrohunt.

   Option Retrohunt YARA-L

3. Dans la fenêtre pop-up YARA-L Retrohunt, sélectionnez les heures de début et de fin de votre recherche. La valeur par défaut est d'une semaine. La période indique la date et l'heure disponibles. Lorsque vous êtes prêt, cliquez sur EXÉCUTER.

   

   Fenêtre pop-up Yara-L Retrohunt

4. Vous pouvez afficher la progression de l'exécution de la recherche rétroactive dans la vue de détection des règles de la règle. Si vous annulez une recherche rétroactive, vous pouvez toujours consulter les détections qu'elle a effectuées pendant l'exécution.

5. Si vous avez effectué plusieurs recherches retrohunt, vous pouvez afficher les résultats des précédentes exécutions en cliquant sur le lien de la plage de dates, comme illustré ci-dessous. Les résultats de chaque exécution sont affichés dans le graphique Chronologie et Détections de la vue Détection de règles.

   

   Rétrochauffe Yara-L

6. Si vous utilisez une liste de référence dans une règle, exécutez une recherche rétroactive, puis supprimez des éléments de cette liste, puis vous devez réviser cette règle vers une nouvelle version pour voir les nouveaux résultats. Chronicle ne supprime pas les détections des listes de référence. Par conséquent, l'actualisation de la règle ne met pas à jour les résultats.