Como executar uma regra em relação a dados históricos
Quando você cria e ativa uma nova regra, ela começa a pesquisar detecções com base nos eventos recebidos pela sua conta do Chronicle em tempo real. Uma retrocompatibilidade permite que você use a regra selecionada para pesquisar detecções nos dados existentes no Chronicle.
Para fazer isso, siga estas etapas:
Acesse o Painel de regras.
Clique no ícone de regras e selecione Yara-L Retrohunt.
Opção YARA-L RetrohuntNa janela pop-up YARA-L Retrohunt, selecione o horário de início e de término da sua pesquisa. O padrão é uma semana. A janela mostra o período e a data disponíveis. Clique em EXECUTAR quando estiver pronto.
Janela pop-up "Yara-L Retrohunt"
Na visualização de detecção de regras da regra, você pode ver o progresso da execução da busca retroativa. Se você cancelar uma retrospectiva em andamento, ainda será possível ver as detecções realizadas durante a execução.
Se você tiver concluído várias buscas retrô, poderá ver os resultados das execuções anteriores clicando no link do período, conforme mostrado na figura a seguir. Os resultados de cada execução são exibidos no gráfico "Linha do tempo" e "Detectações" na visualização "Detecção de regras".
Corridas retrô em Yara-L