Ansichten:

Führen Sie Retro-Durchsuchungen auf den historischen Daten durch, die von bestehenden benutzerdefinierten Erkennungsmodellen erfasst wurden, um vergangene Ereignisse zu identifizieren, die Ihren definierten Erkennungskriterien entsprechen.

Wichtig
Wichtig
  • Retro-Durchsuchungen analysieren historische Daten bis zu 7 Tage in der Vergangenheit.
  • Die Anzahl gleichzeitiger Retro-Durchsuchungsaufträge ist pro Unternehmen begrenzt. Wenn Ihr Unternehmen das Limit erreicht hat, müssen Sie warten, bis ein laufender Auftrag abgeschlossen ist, bevor Sie einen neuen starten können.
  • Retro-Durchsuchung kann mehrere Workbench-Warnungen erzeugen, wenn übereinstimmende Ereignisse über verschiedene Zeitintervalle hinweg gefunden werden.

Prozedur

  1. Navigieren Sie zu Agentic SIEM and XDRDetection Model ManagementCustom models.
  2. Suchen Sie das benutzerdefinierte Modell, für das Sie historische Daten durchsuchen möchten, und klicken Sie auf das Retro-Durchsuchensymbol (DMMretroScanIcon=6cdd066e-f1c2-4c91-a006-1319a57e5e4f.jpg).
  3. Wählen Sie den Zeitraum aus dem Listenfeld aus.
  4. Klicken Sie auf Run retro scan.
    Sobald der Retro-Durchlauf abgeschlossen ist, erzeugen alle übereinstimmenden Ereignisse Workbench-Warnungen gemäß den Konfigurationen Ihrer ausgewählten Modelle.