過去のデータに対するルールの実行

新しいルールを作成して有効にすると、ルールはご使用の Chronicle アカウントでリアルタイムで受信されるイベントに基づいて検出の検索を開始します。RetroHunt を使用すると、選択したルールを使用して、既存の Chronicle データ全体で検出項目を検索できます。 利用可能なリソースが利用可能な場合、RetroHunt がスケジュールされます。RetroHunt の実行時間は変動することが予想されます。

RetroHunt を起動するには、次の手順を行います。

  1. ルール ダッシュボードに移動します。

  2. ルールの [Rules] オプション アイコンをクリックし、[Yara-L Retrohunt] を選択します。

    RetroHunt [YARA-L Retrohunt] オプション

  3. [YARA-L Retrohunt] ポップアップ ウィンドウで、検索の開始時間と終了時間を選択します。 デフォルトは 1 週間です。 ウィンドウに使用可能な日付と時間の範囲が示されます。 準備ができたら [RUN] をクリックします。

    [Retrohunt] ポップアップ ウィンドウ

    [Yara-L Retrohunt] ポップアップ ウィンドウ

  4. ルールのルール検出ビューから、RetroHunt 実行の進捗状況を確認できます。実行中の RetroHunt をキャンセルしても、実行中に実行可能だった検出はまだ表示できます。

  5. 複数の RetroHunt を完了した場合は、次の図のように期間のリンクをクリックして、過去の RetroHunt 実行の結果を表示できます。実行ごとの結果が、[Rule Detection] ビューの [Timeline and Detections] グラフに表示されます。

    Retrohunt 実行

    Yara-L RetroHunt 実行

  6. ルールで参照リストを使用し、RetroHunt を実行して、リストから項目を削除した場合、新しい結果を確認するには、ルールを新しいバージョンに変更する必要があります。Chronicle は参照リストから検出を削除しないため、ルールを更新しても結果は更新されません。