Ретропоиск

Ретропоиск — это аналитический инструмент DNS RADAR, предназначенный для выявления угроз по историческим данным. Он позволяет проводить повторный анализ уже собранных DNS-событий на предмет соответствия новым, недавно добавленным индикаторам компрометации (IoC)

Принцип работы:
Когда функция активирована, система автоматически проверяет архив ранее зарегистрированных событий (DNS-запросы) на совпадение с обновляемыми базами угроз. Это позволяет обнаруживать "тихие" атаки, следы которых могли остаться в логах, но не были распознаны на момент их возникновения из-за отсутствия информации об IoC. Все найденные совпадения фиксируются в отдельном журнале ретропоиска, обеспечивая возможность расследования инцидентов задним числом

Настройка ретропоиска

Для включения функции ретропоиска необходимо выполнить следующие действия:

1. Перейдите в раздел Компания 1
2. Перейдите на вкладку Правила 2
3. На вкладке Ретропоиск 3 управляйте включением / выключением функции при помощи переключателя 4

4. Переведите в активное состояние переключатель Ретроспективный поиск