CrowdStrike - Neueste Schulungsdumps

Aktualisiert Sep 06, 2023 Verifizierte CCFH-202 Dumps Q&As - 100% Pass

Neue 2023 neueste Fragen CCFH-202 Dumps - Verwenden Sie aktualisiert CrowdStrike Prüfung

CrowdStrike CCFH-202 Prüfung Syllabus Themen:

Thema	Einzelheiten
Thema 1	Demonstrieren, wie man eine Prozess-Zeitleiste erhält Analysieren und erkennen Sie verdächtige, offenkundig bösartige Verhaltensweisen
Thema 2	Erklären Sie, welche Informationen eine Source-IP-Suche liefert Erläutern Sie, was der Befehl "table" bewirkt, und zeigen Sie, wie er zur Formatierung der Ausgabe verwendet werden kann.
Thema 3	Verwendung des MITRE ATT&CK Framework zur Modellierung des Verhaltens von Bedrohungsakteuren Erklären Sie, welche Informationen eine Massen-(Ziel-)IP-Suche liefert
Thema 4	Verwenden Sie auf der Registerkarte Statistik die Filter auf der linken Seite, um Ihre Suche zu verfeinern Erläutern Sie, was der Befehl "join" bewirkt und wie er verwendet werden kann, um unterschiedliche Abfragen zu verbinden.
Thema 5	Erklären Sie, welche Informationen im Jagd- und Ermittlungsleitfaden enthalten sind Unterscheiden Sie Tests, DevOps oder allgemeine Benutzeraktivitäten von gegnerischem Verhalten
Thema 6	Konvertierung und Formatierung von Unix-Zeiten in UTC-lesbare Zeit Bewertung von Informationen hinsichtlich ihrer Zuverlässigkeit, Gültigkeit und Relevanz für die Verwendung im Eliminierungsprozess
Thema 7	Identifizierung der ausgenutzten Schwachstelle anhand eines ursprünglichen Angriffsvektors Erläutern Sie, welche Informationen das Ereignisdatenlexikon enthält.
Thema 8	Erklären Sie, welche Informationen ein Mac Sensor Report liefert Durchführung von Hypothesen und Lead-Generierung für die Jagd, um sie mit Hilfe von Falcon-Tools zu überprüfen

NEUE FRAGE 12
In welcher der folgenden Phasen der Cyber Kill Chain interagiert der Akteur nicht mit dem/den Opfer-Endpunkt(en)?

Ausbeutung

Bewaffnung

Befehl und Kontrolle

Einrichtung

NEUE FRAGE 13
Was bewirkt im Powershell Hunt-Bericht die Filterungsbedingung commandLine! ="*badstring* " aus?

Verhindert, dass Befehlszeilen, die "badstring" enthalten, angezeigt werden

Zeigt nur die Befehlszeilen an, die "badstring" enthalten

Hebt "badstring" in allen Befehlszeilen in der Ausgabe hervor

Hebt nur die Befehlszeilen hervor, die "badstring" enthalten

NEUE FRAGE 14
Um Dateien anzuzeigen, die innerhalb eines bestimmten Zeitrahmens auf einem Host auf der Seite Hostsuche geschrieben wurden, erweitern Sie das _______dashboard-Panel.

Befehlszeile und Verwaltungstools

Prozesse und Dienstleistungen

Registrierung, Aufgaben und Firewall

Verdächtige Datei-Aktivität

NEUE FRAGE 15
Die seitliche Bewegung durch eine Opferumgebung ist ein Beispiel für welche Stufe der Cyber Kill Chain?

Befehl und Kontrolle

Maßnahmen zur Erreichung der Ziele

Ausbeutung

Lieferung

NEUE FRAGE 16
Was ist ein verdächtiges Prozessverhalten?

PowerShell mit einer Ausführungsrichtlinie von RemoteSigned

Ein Internet-Browser (z. B. Internet Explorer), der mehrere DNS-Anfragen stellt

PowerShell-Starten eines PowerShell-Skripts

Prozesse außerhalb des Netzwerks (z. B. notepad exe), die eine ausgehende Netzwerkverbindung herstellen

NEUE FRAGE 17
Welche der folgenden Informationen enthält der Jagd- und Ermittlungsleitfaden?

Eine Liste aller Ereignistypen und ihrer Syntax

Eine Liste aller speziell für die Jagd verwendeten Ereignistypen und deren Syntax

Beispielhafte Abfragen der Ereignissuche für die Bedrohungssuche

Beispiel für Abfragen der Ereignissuche, die für die Konfiguration der Falcon-Plattform nützlich sind

NEUE FRAGE 18
Wo findet ein Analyst Informationen über Shells, die von root gestartet werden, über Kernel-Modul-Ladungen und über die Verwendung von wget/curl?

Sensorzustandsbericht

Linux Sensor Bericht

Sensorpolitik Täglicher Bericht

Mac Sensor-Bericht

NEUE FRAGE 19
Welches Feld in einem DNS-Anfrage-Ereignis verweist auf den zuständigen Prozess?

ContextProcessld_readable

ZielProzessld_dezimal

ContextProcessld_decimal

ParentProcessId_decimal

NEUE FRAGE 20
Welche der folgenden Abfragen gibt die übergeordneten Prozesse zurück, die für den Start von badprogram exe verantwortlich sind?

[search (ParentProcess) where name=badprogranrexe ] | table ParentProcessName _time

event_simpleName=processrollup2 [search event_simpleName=processrollup2 FileName=badprogram.exe | rename ParentProcessld_decimal AS TargetProcessld_decimal | fields aid TargetProcessld_decimal] | stats count by Dateiname _time

[Suche (ProcessList) wo Name=badprogram.exe ] | Suche ParentProcessName | Tabelle ParentProcessName _time

event_simpleName=processrollup2 [search event_simpleName=processrollup2 FileName=badprogram.exe | rename TargetProcessld_decimal AS ParentProcessld_decimal | fields aid TargetProcessld_decimal] | stats count by Dateiname _time

NEUE FRAGE 21
Das Ereignisdatenlexikon in der Falcon-Dokumentation ist für die Erstellung von Jagdabfragen nützlich, weil:

Es bietet vordefinierte Abfragen, die Sie an Ihre speziellen Bedürfnisse bei der Bedrohungsjagd anpassen können.

Sie enthält eine Liste aller Detektornamen und -beschreibungen, die in der Falcon Cloud

Sie enthält Informationen zu den Ereignissen, die auf der Seite Untersuchen > Ereignissuche in der Falcon-Konsole gefunden wurden.

Sie enthält eine Liste kompatibler Splunk-Befehle, die zur Abfrage von Ereignisdaten verwendet werden

NEUE FRAGE 22
Angreifer führen in der Regel Erkennungsbefehle wie netexe, ipconfig.exe und whoami exe aus. Anstatt jeden dieser Befehle einzeln abzufragen, möchten Sie eine einzige Abfrage für alle diese Befehle verwenden. Welcher Splunk-Operator wird benötigt, um die folgende Abfrage auszuführen?

NICHT

UND

NEUE FRAGE 23
Was ist der Hauptzweck des Mac Sensor Berichts?

So identifizieren Sie Endpunkte, die sich im Modus "Eingeschränkte Funktionalität" befinden

So erhalten Sie eine Übersicht über ausgewählte Aktivitäten auf Mac-Hosts

Schwachstellenbewertung für Mac-Betriebssysteme

Bereitstellung eines Dashboards für Mac-bezogene Erkennungen

NEUE FRAGE 24
Welche der folgenden Abfragen der Ereignissuche würde nur die DNS-Lookups für die Domain www randomdomain com finden?

event_simpleName=DnsRequest DomainName=www randomdomain com

event_simpleName=DnsRequest DomainName=randomdomain com ComputerName=localhost

Dns=randomdomain com

ComputerName=localhost DnsRequest "randomdomain com"

NEUE FRAGE 25
SPL (Splunk) eval-Anweisungen können verwendet werden, um Unix-Zeiten (Epoch) in UTC-lesbare Zeit umzuwandeln Welche eval-Funktion ist richtig?

strftime

relative Zeit

typeof

jetzt

NEUE FRAGE 26
Bei der Überprüfung der ungelösten Erkennungen auf der Seite Hostsuche fällt Ihnen auf, dass in der Spalte Benutzername "hostnameS " steht.

Der Benutzername ist ein Systembenutzer

Der Nutzername ist für das Dashboard nicht relevant

Es gibt keinen Benutzernamen für das Ereignis

Der Falcon-Sensor konnte den Benutzernamen nicht ermitteln

NEUE FRAGE 27
Was sind Ereignis-Aktionen, wenn man eine Rohereignissuche über die Seite Ereignissuche durchführt?

Event Actions enthält ein Audit-Informationsprotokoll der Aktionen, die ein Analyst in Bezug auf eine bestimmte Erkennung durchgeführt hat

Ereignis-Aktionen enthält eine Zusammenfassung der vom Falcon-Sensor durchgeführten Aktionen, wie z. B. das Isolieren einer Datei, das Verhindern der Ausführung eines Prozesses oder das Ergreifen keiner Maßnahmen und das Erstellen einer Erkennung.

Ereignis-Aktionen sind drehbare Workflows, die eine Verbindung zu einem Host, vorgefertigte Ereignissuchen und Drehpunkte zu anderen Untersuchungsseiten wie der Host-Suche umfassen.

Ereignis-Aktionen ist der Feldname, der den im Ereignis-Datenlexikon definierten Ereignisnamen enthält, z. B. ProcessRollup, SyntheticProcessRollup, DNS-Anfrage usw.

NEUE FRAGE 28
Ein Vorteil der Verwendung eines Frameworks für die Bedrohungsjagd ist, dass es:

Automatische Erstellung von Ereignisberichten

Eliminiert falsch-positive Ergebnisse

Ermöglicht die zuverlässige Zuordnung von Bedrohungsakteuren

Bietet umsetzbare, wiederholbare Schritte für die Bedrohungsjagd

NEUE FRAGE 29
Die Daten der Ereignissuche werden mit welcher Zeitzone aufgezeichnet?

PST

GMT

EST

UTC

NEUE FRAGE 30
Wie benennt man Felder um, wenn man Transformationsbefehle wie Tabelle, Diagramm und Statistik verwendet?

Durch Umbenennen der Felder mit dem Befehl "umbenennen" nach dem Umwandlungsbefehl, z. B. "stats count by ComputerName | umbenennen count AS total_count".

Sie können Felder nicht umbenennen, da dies Auswirkungen auf Unterabfragen und statistische Analysen haben würde.

Durch Verwendung des Schlüsselworts "umbenannt" nach dem Feldnamen, z. B. "stats count umbenannt totalcount nach Computername".

Durch Angabe des gewünschten Namens nach dem Feldnamen, z. B. "stats count totalcount by ComputerName".

NEUE FRAGE 31
Welcher der folgenden Feldnamen wäre der richtige, um den Namen eines Ereignisses zu finden?

Ereignis_einfacherName

Ereignis_einfacher_Name

EREIGNIS_EINFACH_NAME

ereignis_einfachName

Neueste CCFH-202 Exam Dumps CrowdStrike Prüfung von Training: https://www.trainingdump.com/CrowdStrike/CCFH-202-practice-exam-dumps.html

Kategorie CrowdStrike

Aktualisiert Sep 06, 2023 Verifizierte CCFH-202 Dumps Q&As - 100% Pass [Q12-Q31]

CrowdStrike CCFH-202 Prüfung Syllabus Themen: