Execução de uma regra em dados históricos

Quando você cria e ativa uma nova regra, ela começa a pesquisar detecções com base nos eventos recebidos pela conta do Chronicle em tempo real. Uma retrohunt permite usar a regra selecionada para procurar detecções nos dados atuais no Chronicle. Elas são programadas quando há recursos disponíveis para execução. Espere variação nos tempos de execução da retrohunt.

Para iniciar uma Retrohunt, conclua as seguintes etapas:

1. Acesse o painel de regras.

2. Clique no ícone de opções "Regras" de uma regra e selecione Yara-L Retrohunt.

   Opção "YARA-L Retrohunt"

3. Na janela pop-up Retrohunt da YARA-L, selecione o horário de início e de término da pesquisa. O padrão é uma semana. Essa janela mostra a data e o período disponíveis. Clique em EXECUTAR quando estiver tudo pronto.

   

   Janela pop-up da Yaara-L Retrohunt

4. É possível ver o progresso da execução da retrohunt na visualização de detecções da regra. Se você cancelar uma retrohunt em andamento, ainda poderá ver as detecções que ela fez durante a execução.

5. Se você concluiu várias retrocaças, é possível ver os resultados de execuções anteriores clicando no link do período, como mostrado na figura a seguir. Os resultados de cada execução são exibidos no gráfico "Linha do tempo" e "Detecção" na visualização "Detecção de regras".

   

   Execuções da Retrohunt da Yara-L

6. Se você usar uma lista de referência em uma regra, executar uma retrohunt e, em seguida, remover itens dessa lista, será necessário revisar essa regra para uma nova versão para ver os novos resultados. O Chronicle não exclui detecções de listas de referência. Portanto, atualizar a regra não vai atualizar os resultados.