Quando você cria e ativa uma nova regra, a regra começa a pesquisar detecções com base nos eventos recebidos pela conta do Chronicle em tempo real. Um retrohunt permite que você use a regra selecionada para pesquisar detecções em todos os dados existentes no Chronicle.
Para iniciar um retrohunt, conclua as seguintes etapas:
Acesse o painel de regras.
Clique no ícone de opções Regras para selecionar uma regra e selecione Yara-L Retrohunt.
Opção YARA-L RetrohuntNa janela pop-up YARA-L Retrohunt, selecione o horário de início e de término da pesquisa. O padrão é uma semana. A janela fornece a data e a hora disponíveis. Clique em EXECUTAR quando estiver pronto.
Janela pop-up Yara-L Retrohunt
Você pode ver o progresso da execução de retrocesso na visualização de detecções da regra. Se você cancelar uma retrospectiva em andamento, ainda poderá ver as detecções que ela fez durante a execução.
Se você concluiu vários retrohunts, pode visualizar os resultados de execuções anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são exibidos no gráfico "Linha do tempo" e "Detecção" na visualização "Detectações de regras".
Corredores de Yara-L