Esecuzione di una regola in base a dati storici

Quando crei e attivi una nuova regola, la regola inizia a cercare rilevamenti in base agli eventi ricevuti dal tuo account Chronicle in tempo reale. Una ricerca retroattiva consente di utilizzare la regola selezionata per cercare rilevamenti nei dati esistenti in Chronicle. Le RetroHunt vengono pianificate quando sono disponibili risorse da eseguire. È prevista una variazione nei tempi di esecuzione della ricerca retroattiva.

Per avviare una ricerca retroattiva, procedi nel seguente modo:

1. Vai alla dashboard delle regole.

2. Fai clic sull'icona di opzione Regole per una regola e seleziona Yara-L RetroHunt.

   Opzione YARA-L RetroHunt

3. Nella finestra popup YARA-L Retrohunt, seleziona l'ora di inizio e l'ora di fine della ricerca. Il valore predefinito è una settimana. La finestra fornisce la data e l'intervallo di tempo disponibili. Quando è tutto pronto, fai clic su ESEGUI.

   

   Finestra popup Yara-L RetroHunt

4. Puoi visualizzare l'avanzamento dell'esecuzione retro caccia dalla visualizzazione Rilevamenti regole per la regola. Se annulli una ricerca retroattiva in corso, puoi comunque visualizzare i rilevamenti che è stato possibile effettuare durante l'esecuzione.

5. Se hai completato più retroHit, puoi visualizzare i risultati delle precedenti ricerche facendo clic sul link dell'intervallo di date, come mostrato nella figura seguente. I risultati di ogni esecuzione vengono mostrati nel grafico Timeline e Rilevamenti nella visualizzazione Rilevamenti regole.

   

   Yara-L - RetroHunt per la corsa

6. Se utilizzi un elenco di riferimento in una regola, esegui una ricerca retroattiva e rimuovi gli elementi dall'elenco, aggiorna la regola a una nuova versione per visualizzare i nuovi risultati. Chronicle non elimina i rilevamenti dagli elenchi di riferimento, quindi l'aggiornamento della regola non comporterà l'aggiornamento dei risultati.