Ansichten:

Führen Sie Retro-Durchsuchungen auf den historischen Daten durch, die von bestehenden benutzerdefinierten Erkennungsmodellen erfasst wurden, um vergangene Ereignisse zu identifizieren, die Ihren definierten Erkennungskriterien entsprechen.

Wichtig
Wichtig
  • Retro-Durchsuchungen analysieren historische Daten bis zu 7 Tage in der Vergangenheit.
  • Die Anzahl gleichzeitiger Retro-Durchsuchungsaufträge ist pro Unternehmen begrenzt. Wenn Ihr Unternehmen das Limit erreicht hat, müssen Sie warten, bis ein laufender Auftrag abgeschlossen ist, bevor Sie einen neuen starten können.
  • Retro-Durchsuchung kann mehrere Workbench-Warnungen erzeugen, wenn übereinstimmende Ereignisse über verschiedene Zeitintervalle hinweg gefunden werden.

Prozedur

  1. Navigieren Sie zu Agentic SIEM & XDRDetection Model ManagementCustom Models.
  2. Suchen Sie das benutzerdefinierte Modell, für das Sie historische Daten durchsuchen möchten, und klicken Sie auf das Retro-Durchsuchensymbol (DMMretroScanIcon=6cdd066e-f1c2-4c91-a006-1319a57e5e4f.jpg).
  3. Wählen Sie den Zeitraum aus dem Listenfeld aus.
  4. Klicken Sie auf Run retro scan.
    Sobald der Retro-Durchlauf abgeschlossen ist, erzeugen alle übereinstimmenden Ereignisse Workbench-Warnungen gemäß den Konfigurationen Ihrer ausgewählten Modelle.