CrowdStrike - 最新培训试卷

2023 年 9 月 06 日更新经过验证的 CCFH-202 转储问答 - 100% 通行证

新 2023 最新问题 CCFH-202 Dumps - 使用更新的 CrowdStrike 考试

CrowdStrike CCFH-202 考试大纲主题：

主题	详细信息
主题 1	演示如何获取流程时间表分析并识别可疑的公开恶意行为
主题 2	解释源 IP 搜索提供哪些信息解释 "表格 "命令的作用，并演示如何使用该命令设置输出格式
主题 3	利用 MITRE ATT&CK 框架为威胁行为者行为建模解释批量（目的地）IP 搜索能提供哪些信息
主题 4	在 "统计 "选项卡中，使用左键单击筛选器缩小搜索范围解释 "连接 "命令的作用，以及如何使用它连接不同的查询
议题 5	解释《狩猎与调查指南》中有哪些信息将测试、DevOps 或一般用户活动与对手行为区分开来
主题 6	将 Unix 时间转换和格式化为 UTC 可读时间评估信息的可靠性、有效性和相关性，以便在淘汰过程中使用
主题 7	从初始攻击载体识别被利用的漏洞解释事件数据字典中包含哪些信息
主题 8	解释 Mac 传感器报告将提供哪些信息使用 Falcon 工具进行假设和狩猎线索生成，以证明其正确性

新问题 12
在 "网络杀人链 "的以下哪个阶段中，行为者不与受害端点互动？

剥削

武器化

指挥与控制

安装

新问题 13
在 Powershell Hunt 报告中，commandLine！="*badstring* " 有什么作用？

防止显示包含 "badstring "的命令行

只显示包含 "badstring "的命令行

高亮输出中所有命令行的 "badstring "字符串

只选中包含 "badstring "的命令行

新问题 14
要在 "主机搜索 "页面中查看指定时间内主机上写入可移动媒体的文件，请展开并参考 _______dashboard 面板。

命令行和管理工具

流程与服务

注册表、任务和防火墙

可疑文件活动

新问题 15
受害者环境中的横向移动属于网络杀伤链的哪个阶段？

指挥与控制

目标行动

剥削

送货

新问题 16
以下哪项是可疑的进程行为？

运行 RemoteSigned 执行策略的 PowerShell

互联网浏览器（如 Internet Explorer）执行多个 DNS 请求

PowerShell 启动 PowerShell 脚本

非网络进程（如 notepad exe）建立向外网络连接

新问题 17
狩猎和调查指南》包含以下哪些内容？

所有事件类型及其语法的列表

所有专门用于狩猎的事件类型及其语法列表

事件搜索查询示例

对 Falcon 平台配置有用的事件搜索查询示例

新问题 18
分析人员在哪里可以找到有关 root 启动的 shell、内核模块负载和 wget/curl 使用情况的信息？

传感器健康报告

Linux 传感器报告

传感器政策每日报告

Mac 传感器报告

新问题 19
DNS 请求事件中哪个字段指向负责进程？

ContextProcessld_readable

目标进程ld_十进制

ContextProcessld_decimal

父进程 ID_decimal

新问题 20
以下哪个查询会返回负责启动 badprogram exe 的父进程？

[search (ParentProcess) where name=badprogranrexe ] | table ParentProcessName _time

event_simpleName=processrollup2 [search event_simpleName=processrollup2 FileName=badprogram.exe | rename ParentProcessld_decimal AS TargetProcessld_decimal | fields aid TargetProcessld_decimal] | stats count by FileName _time _time| stats count by FileName _time

[搜索 (ProcessList) where Name=badprogram.exe ] | 搜索 ParentProcessName | 表 ParentProcessName _time

event_simpleName=processrollup2 [search event_simpleName=processrollup2 FileName=badprogram.exe | rename TargetProcessld_decimal AS ParentProcessld_decimal | fields aid TargetProcessld_decimal] | stats count by FileName _time _time| stats count by FileName _time

新问题 21
Falcon 文档中的事件数据字典对编写狩猎查询非常有用，因为

它提供了预定义查询，您可以对其进行定制，以满足您特定的威胁狩猎需求

它提供了猎鹰云中所有探测器名称和描述的列表

它提供了有关在 Falcon 控制台的 "调查">"事件搜索 "页面中发现的事件的信息参考

它提供了用于查询事件数据的兼容 splunk 命令列表

新问题 22
入侵者通常会执行 netexe、ipconfig.exe 和 whoami exe 等发现命令。您不希望逐个查询这些命令，而是希望使用包含所有命令的单一查询。完成以下查询需要哪些 Splunk 操作符？

或

不是

和

新问题 23
Mac 传感器报告的主要目的是什么？

识别处于功能减弱模式的端点

提供 Mac 主机上选定活动的摘要视图

为 Mac 操作系统提供漏洞评估

提供 Mac 相关检测的仪表板

新问题 24
以下哪项事件搜索查询只能找到域名：www randomdomain com 的 DNS 查询？

event_simpleName=DnsRequest DomainName=www randomdomain com

event_simpleName=DnsRequest DomainName=randomdomain com ComputerName=localhost

Dns=randomdomain com

ComputerName=localhost DnsRequest "randomdomain com"

新问题 25
SPL (Splunk) 评估语句可用于将 Unix 时间（Epoch）转换为 UTC 可读时间哪个评估函数是正确的^

strftime

相对时间

typeof

现在

新问题 26
在 "主机搜索 "页面查看 "未解决的检测 "时，您注意到 "用户名 "列中包含 "hostnameS"，这个 "用户名 "表示什么？

用户名是系统用户

用户名与仪表板无关

没有与事件相关联的用户名

Falcon 传感器无法确定用户名

新问题 27
通过 "事件 "搜索页面进行原始事件搜索时，什么是 "事件操作"？

事件操作包含审计信息日志，记录分析员针对特定检测所采取的操作

事件操作包含 Falcon 传感器采取的操作摘要，如隔离文件、阻止进程执行或不采取任何操作以及仅创建检测

事件操作是可透视的工作流程，包括连接到主机、预制事件搜索和透视到其他调查页面（如主机搜索）。

事件操作是字段名称，包含事件数据字典中定义的事件名称，如 ProcessRollup、SyntheticProcessRollup、DNS 请求等。

新问题 28
使用威胁猎取框架的一个好处是，它可以

自动生成事件报告

消除误报

提供高保真的威胁行为者属性

提供可操作、可重复的步骤来进行威胁猎取

新问题 29
事件搜索数据用哪个时区记录？

PST

格林威治标准时间

EST

协调世界时

新问题 30
在使用表格、图表和统计等转换命令时，如何重命名字段？

在转换命令后使用 "重命名 "命令重命名字段，例如 "stats count by ComputerName | rename count AS total_count"

不能重命名字段，否则会影响子查询和统计分析

在字段名后使用 "重命名 "关键字，例如："stats count renamed totalcount by ComputerName"。

在字段名后指定所需的名称，例如："stats count totalcount by ComputerName"。

新问题 31
要查找事件名称，以下哪个字段名称正确？

事件名称

事件简名

最新 CCFH-202 Exam Dumps CrowdStrike Exam from Training： https://www.trainingdump.com/CrowdStrike/CCFH-202-practice-exam-dumps.html

类别 CrowdStrike

2023 年 09 月 06 日更新经过验证的 CCFH-202 转储 Q&As - 100% 通过 [Q12-Q31]

CrowdStrike CCFH-202 考试大纲主题：