Diese Seite wurde exportiert von Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] Exportdatum:Thu Dec 5 2:28:41 2024 / +0000 GMT ___________________________________________________ Titel: [Vollversion] 2023 New CCFR-201 Actual Exam Dumps, CrowdStrike Practice Test [Q12-Q32] --------------------------------------------------- [Vollversion] 2023 neue CCFR-201 Prüfungsunterlagen, CrowdStrike Praxistest Study HIGH Quality CCFR-201 Free Study Guides und Exams Tutorials Q12. Was sind Ereignis-Aktionen? Automatisierte Suchvorgänge, die verwendet werden können, um zwischen verwandten Ereignissen und Suchvorgängen zu wechseln Pivotierbare Hyperlinks, die in einer Host-Suche verfügbar sind Benutzerdefinierte Abfragen von Ereignisdaten, die vom aktuell angemeldeten Falcon-Benutzer mit Lesezeichen versehen wurden Rohe Falcon-Ereignisdaten ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ sind Event Actions automatisierte Suchvorgänge, mit denen zwischen verwandten Ereignissen und Suchvorgängen gewechselt werden kann1. Sie sind in verschiedenen Tools verfügbar, z. B. in der Ereignissuche, der Prozess-Zeitleiste, der Host-Zeitleiste usw.1. Sie können ein oder mehrere Ereignisse auswählen und verschiedene Aktionen durchführen, z. B. eine Prozess-Zeitleiste oder eine Host-Zeitleiste anzeigen, zugehörige Ereignisdaten anzeigen, ein +/- 10-Minuten-Fenster von Ereignissen anzeigen usw.1. Diese Aktionen können Ihnen dabei helfen, Ereignisse effizienter und effektiver zu untersuchen und zu analysieren1.Q13. Was können Sie mit IOA-Ausschlüssen erreichen? Verringerung von Fehlalarmen aufgrund von Next-Gen Antivirus-Einstellungen in der Präventionsrichtlinie Reduzierung von Fehlalarmen bei verhaltensbasierten Erkennungen nur auf der Grundlage von IOA-Erkennungen Verringerung von Fehlalarmen bei verhaltensbasierten Erkennungen von IOA-basierten Erkennungen auf der Grundlage eines Datei-Hashes Verringerung der Fehlalarme bei verhaltensbezogenen Erkennungen nur bei benutzerdefinierten IOA- und OverWatch-Erkennungen ErklärungNach dem CrowdStrike Falcon Data Replicator (FDR) Add-on für Splunk Guide können Sie mit IOA-Ausschlüssen Dateien oder Verzeichnisse von der Erkennung oder Blockierung durch CrowdStrikes Angriffsindikatoren (Indicators of Attack, IOAs) ausschließen, bei denen es sich um Verhaltensregeln handelt, die bösartige Aktivitäten identifizieren2. Dies kann Fehlalarme reduzieren und die Leistung verbessern2. IOA-Ausschlüsse gelten nur für IOA-basierte Erkennungen, nicht für andere Arten von Erkennungen wie maschinelles Lernen, benutzerdefinierte IOA oder OverWatch2.Q14. Sie werden von einem Drittanbieter benachrichtigt, dass ein Programm möglicherweise Datenverkehr zu einer bösartigen Domain umgeleitet hat. Welche Falcon-Seite hilft Ihnen bei der Suche nach Informationen zu Domain-Anfragen im Zusammenhang mit dieser Meldung? Falke X Untersuchen Sie Entdecken Spotlight ErklärungAuf der [CrowdStrike-Website] können Sie auf der Investigate-Seite nach verschiedenen Arten von Daten suchen, die von der Falcon-Plattform erfasst werden, wie z. B. Ereignisse, Hosts, Prozesse, Hashes, Domänen, IPs usw.1. Sie können verschiedene Tools wie Ereignissuche, Host-Suche, Prozess-Zeitleiste, Hash-Suche, Bulk-Domain-Suche usw. verwenden, um verschiedene Arten von Suchen durchzuführen und die Ergebnisse auf unterschiedliche Weise anzuzeigen1. Wenn Sie nach Informationen zu einem Domainantrag suchen möchten, der sich auf eine Benachrichtigung eines Dritten bezieht, können Sie dazu die Seite Investigate verwenden1. So können Sie beispielsweise mit dem Tool Bulk Domain Search nach der bösartigen Domain suchen und sehen, welche Hosts und Prozesse mit ihr kommuniziert haben1. Sie können auch das Tool Ereignissuche verwenden, um nach DNSRequest-Ereignissen zu suchen, die die bösartige Domäne enthalten, und weitere Details zu Abfrage und Antwort anzeigen1.Q15. Nachdem Sie von einer Erkennung zu einer Ereignissuche gewechselt sind, finden Sie das Ereignis ProcessRollup2. Welche beiden Feldwerte müssen Sie erhalten, um eine Prozesszeitliniensuche durchzuführen, damit Sie feststellen können, was der Prozess getan hat? SHA256 und TargetProcessld_decimal SHA256 und ParentProcessld_decimal aid und ParentProcessld_decimal Hilfe und ZielProzessld_dezimal ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ benötigt die Process Timeline-Suche zwei Parameter: aid (Agent-ID) und TargetProcessId_decimal (der Dezimalwert der Prozess-ID). Diese Felder können dem Ereignis ProcessRollup2 entnommen werden, das Informationen über Prozesse enthält, die auf einem Host1 ausgeführt wurden.Q16. Was ist der schnellste Weg, um von einer Erkennung aus Informationen über untergeordnete Prozesse und Geschwisterprozesse zu erhalten? Wählen Sie die Option Ereignissuche. Wählen Sie dann aus den Ereignis-Aktionen die Option Zugehörige Ereignisdaten anzeigen (aus TargetProcessld_decimal) Wählen Sie "Full Detection Details" aus der Erkennung Klicken Sie mit der rechten Maustaste auf den Prozess und wählen Sie "Prozesskette verfolgen". Wählen Sie die Funktion "Process Timeline", geben Sie die AID. Zielprozess-ID und übergeordnete Prozess-ID ErläuterungNach dem CrowdStrike Falcon Data Replicator (FDR) Add-on für Splunk Guide können Sie mit dem Tool "Full Detection Details" detaillierte Informationen zu einer Erkennung anzeigen, z. B. Erkennungs-ID, Schweregrad, Taktik, Technik, Beschreibung usw.1. Außerdem können Sie die Ereignisse, die von den an der Erkennung beteiligten Prozessen erzeugt wurden, auf verschiedene Arten anzeigen, z. B. als Prozessbaum, Prozesszeitleiste oder Prozessaktivität1. Die Prozessbaumansicht bietet eine grafische Darstellung der Prozesshierarchie und -aktivität1. Sie können die Informationen zu Unter- und Geschwisterprozessen sehen, indem Sie die Knoten in der Baumstruktur aus- oder einklappen1. Welche Informationen sind in einer Prozess-Zeitleiste enthalten? Alle überwachbaren prozessbezogenen Ereignisse innerhalb eines bestimmten Zeitrahmens Alle Cloud-fähigen Ereignisse für einen bestimmten Host Nur die Erkennung prozessbezogener Ereignisse innerhalb eines bestimmten Zeitrahmens Eine Ansicht der Aktivitäten auf Mac- oder Linux-Hosts ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ können Sie mit dem Process Timeline-Tool alle Cloud-fähigen Ereignisse anzeigen, die mit einem bestimmten Prozess verbunden sind, wie z. B. die Erstellung von Prozessen, Netzwerkverbindungen, das Schreiben von Dateien, Änderungen der Registrierung usw.1. Sie können einen Zeitrahmen festlegen, um die Ereignisse auf einen bestimmten Zeitraum zu beschränken1. Das Tool funktioniert für jede Host-Plattform, nicht nur für Mac oder Linux1.Q18. Die Funktion von Machine Learning Exclusions ist___________. alle Erkennungen für eine bestimmte Muster-ID zu stoppen alle Sensordatenerfassungen für den/die entsprechenden Pfad/Pfade zu stoppen alle Machine Learning-Präventionsmaßnahmen zu stoppen, wobei jedoch weiterhin eine Erkennung generiert wird und Dateien in die CrowdStrike Cloud hochgeladen werden alle ML-basierten Erkennungen und Vorbeugungsmaßnahmen für den/die übereinstimmenden Pfad/Pfade stoppen und/oder verhindern, dass Dateien in die CrowdStrike Cloud hochgeladen werden ErläuterungNach dem CrowdStrike Falcon Data Replicator (FDR) Add-on für Splunk Guide können Sie mit Machine Learning Exclusions Dateien oder Verzeichnisse von der Überprüfung durch die Machine Learning Engine von CrowdStrike ausschließen, wodurch Fehlalarme reduziert und die Leistung verbessert werden kann2. Sie können auch wählen, ob die ausgeschlossenen Dateien in die CrowdStrike-Cloud hochgeladen werden sollen oder nicht2.Q19. Welches Dashboard-Element der Executive Summary zeigt Sensoren an, die mit nicht unterstützten Versionen laufen? Erkennungen nach Schweregrad Inaktive Sensoren Sensoren im RFM Aktive Sensoren ErklärungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ bietet das Executive Summary Dashboard einen Überblick über den Zustand und die Aktivität Ihrer Sensoren1. Es enthält verschiedene Elemente, wie z. B. aktive Sensoren, inaktive Sensoren, Erkennungen nach Schweregrad usw.1. Das Element, das Sensoren anzeigt, die mit nicht unterstützten Versionen laufen, ist Sensoren im RFM (Reduced Functionality Mode)1. RFM ist ein Zustand, in dem ein Sensor aus verschiedenen Gründen eine eingeschränkte Funktionalität aufweist, z. B. bei Ablauf der Lizenz, bei Netzwerkproblemen, bei Manipulationsversuchen oder bei nicht unterstützten Versionen1. Sie können die Anzahl und den Prozentsatz der Sensoren im RFM und die Gründe für den RFM sehen1.Q20. Die Prozessaktivitätsansicht bietet eine zeilen- und spaltenartige Ansicht der Ereignisse, die bei einer Erkennung erzeugt werden. Die Prozessaktivitätsansicht erstellt eine konsolidierte Ansicht aller Erkennungsereignisse für diesen Prozess, die zur weiteren Analyse exportiert werden kann. Die Prozessaktivitätsansicht zeigt die Erkennungszeit der frühesten aufgezeichneten Aktivität an, die auf den ersten betroffenen Computer hinweisen könnte. Die Prozessaktivitätsansicht erstellt nur eine Zusammenfassung der von einem Prozess geladenen Dynamic Link Libraries (DLLs) Die Prozessaktivitätsansicht erstellt nur eine Zählung der Ereignistypen, was beim Scoping des Ereignisses nützlich sein kann. ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ können Sie mit der Prozessaktivitätsansicht alle Ereignisse, die von einem an einer Erkennung beteiligten Prozess erzeugt wurden, in einer zeilen- und spaltenartigen Ansicht anzeigen1. Dies kann hilfreich sein, da eine konsolidierte Ansicht aller Erkennungsereignisse für diesen Prozess erstellt wird, die zur weiteren Analyse exportiert werden kann1. Sie können die Ereignisse auch nach verschiedenen Feldern sortieren, filtern und ausrichten, z. B. nach Ereignistyp, Zeitstempel, Dateiname, Registrierungsschlüssel, Netzwerkziel usw.1. Welche Arten von Ereignissen werden von einer Prozess-Zeitleiste zurückgegeben? Nur Erkennungsereignisse Alle cloudfähigen Ereignisse Nur Prozessereignisse Nur Netzwerkereignisse ErläuterungNach dem CrowdStrike Falcon Devices Add-on für Splunk Installations- und Konfigurationshandbuch v3.1.5+ gibt die Prozess-Zeitleistensuche alle Cloud-fähigen Ereignisse zurück, die mit einem bestimmten Prozess verbunden sind, wie z. B. die Erstellung von Prozessen, Netzwerkverbindungen, das Schreiben von Dateien, Änderungen an der Registrierung usw.1. Auf diese Weise können Sie sich einen umfassenden Überblick darüber verschaffen, was ein Prozess auf einem Host getan hat1. F22. Was bewirkt das Umschalten von einer Erkennung auf eine Ereignissuche? Es gibt Ihnen die Möglichkeit, schnell nach ähnlichen Ereignissen auf anderen Endpunkten zu suchen Er führt Sie zu den rohen Insight-Ereignisdaten und bietet Ihnen eine Reihe von Ereignis-Aktionen Sie führt Sie zu einer Prozess-Zeitleiste für diese Erkennung, damit Sie alle zugehörigen Ereignisse sehen können. Es ermöglicht Ihnen die Eingabe eines Ereignistyps, wie z. B. DNS-Anfrage oder ASEP-Schreiben, und die Suche nach diesen Ereignissen innerhalb der Erkennung ErläuterungNach dem CrowdStrike Falcon Devices Add-on für Splunk Installations- und Konfigurationshandbuch v3.1.5+ gelangen Sie über eine Ereignissuche von einer Erkennung zu den rohen Insight-Ereignisdaten und erhalten eine Reihe von Ereignisaktionen1. Insight-Ereignisse sind Low-Level-Ereignisse, die vom Sensor für verschiedene Aktivitäten generiert werden, z. B. Prozessausführungen, Dateischreibvorgänge, Registrierungsänderungen, Netzwerkverbindungen usw.1. Sie können diese Ereignisse in einem Tabellenformat anzeigen und verschiedene Filter und Felder verwenden, um die Ergebnisse einzugrenzen1. Sie können auch ein oder mehrere Ereignisse auswählen und verschiedene Aktionen durchführen, z. B. eine Prozess-Zeitleiste oder eine Host-Zeitleiste anzeigen, zugehörige Ereignisdaten anzeigen, ein +/- 10-Minuten-Fenster von Ereignissen anzeigen usw.1. Diese Aktionen können Ihnen helfen, Ereignisse effizienter und effektiver zu untersuchen und zu analysieren1.Q23. Wie lange bleiben die Erkennungsdaten in der CrowdStrike Cloud, bevor die Löschung beginnt? 90 Tage 45 Tage 30 Tage 14 Tage ErläuterungNach dem CrowdStrike Falcon Data Replicator (FDR) Add-on für Splunk Guide werden Erkennungsdaten 90 Tage lang in der CrowdStrike Cloud gespeichert, bevor die Bereinigung beginnt2. Das bedeutet, dass Sie über die Falcon-Plattform oder die API2 auf die Erkennungsdaten der letzten 90 Tage zugreifen und diese anzeigen können. Wenn Sie Erkennungsdaten länger als 90 Tage aufbewahren möchten, können Sie FDR verwenden, um sie auf Ihr eigenes Speichersystem zu replizieren2.Q24. Wie lange werden unter Quarantäne gestellte Dateien in der CrowdStrike Cloud gespeichert? 45 Tage 90 Tage Tage In Quarantäne gestellte Dateien werden nicht gelöscht ErläuterungNach dem [CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guide] verschieben Sie eine Datei, die Sie mithilfe von IOC Management oder Real Time Response (RTR) von einem Host in Quarantäne stellen, von ihrem ursprünglichen Speicherort an einen sicheren Ort auf dem Host, an dem sie nicht ausgeführt werden kann. Die Datei wird außerdem verschlüsselt und mit einer zufälligen Zeichenfolge umbenannt. Eine Kopie der Datei wird außerdem zur weiteren Analyse in die CrowdStrike Cloud hochgeladen. In Quarantäne gestellte Dateien werden 90 Tage lang in der CrowdStrike Cloud gespeichert, bevor sie gelöscht werden.Q25. Welche der folgenden Filter sind bei der Überprüfung einer Host-Zeitleiste verfügbar? Schweregrad Ereignistypen Name des Benutzers Erkennungs-ID ErklärungNach dem CrowdStrike Falcon Devices Add-on für Splunk Installations- und Konfigurationshandbuch v3.1.5+ können Sie mit dem Host Timeline Tool alle vom Sensor aufgezeichneten Ereignisse für einen bestimmten Host in chronologischer Reihenfolge anzeigen1. Zu den Ereignissen gehören Prozessausführungen, Dateischreibvorgänge, Registrierungsänderungen, Netzwerkverbindungen, Benutzeranmeldungen usw.1. Sie können verschiedene Filter verwenden, um die Ereignisse anhand von Kriterien wie Ereignistyp, Zeitstempelbereich, Dateiname, Registrierungsschlüssel, Netzwerkziel usw. einzugrenzen1. Es gibt jedoch keinen Filter für den Schweregrad, den Benutzernamen oder die Erkennungs-ID, da dies keine Attribute der Ereignisse sind1.Q26. Wie werden Prozesse auf der gleichen Ebene geordnet (unten "VMTOOLSD.EXE" bis oben "CMD.EXE")? Prozess-ID (absteigend, höchster Wert unten) Uhrzeit des Starts (absteigend, jüngste unten) Startzeitpunkt (Aufsteigend, jüngste oben) Prozess-ID (Aufsteigend, höchster Wert oben) ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ bietet die Prozessstrukturansicht eine Visualisierung der Programmabstammung, die die Eltern-Kind- und Geschwisterbeziehungen zwischen den Prozessen anzeigt1. Sie können auch die Ereignistypen und Zeitstempel für jeden Prozess sehen1. Die Prozesse auf derselben Ebene sind nach der Startzeit in absteigender Reihenfolge geordnet, d. h. der jüngste Prozess steht unten und der älteste Prozess oben1. In dem Bild, das Sie mir geschickt haben, ist CMD.EXE beispielsweise der älteste Prozess und VMTOOLSD.EXE ist der jüngste Prozess auf dieser Ebene1.Q27. Bei der Untersuchung eines rohen DNS-Anfrageereignisses sehen Sie ein Feld namens ContextProcessld_decimal. Was ist der Zweck dieses Feldes? Es enthält den Wert TargetProcessld_decimal für andere verwandte Ereignisse Es enthält einen internen Wert, der für eine Untersuchung nicht nützlich ist Es enthält den ContextProcessld_decimal-Wert für den übergeordneten Prozess, der die DNS-Anfrage gestellt hat Er enthält den TargetProcessld_decimal-Wert für den Prozess, der die DNS-Anfrage gestellt hat ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ enthält das Feld ContextProcessld_decimal den Dezimalwert der Prozess-ID des Prozesses, der das Ereignis erzeugt hat1. Dieses Feld kann verwendet werden, um den Prozessverlauf zu verfolgen und bösartige oder verdächtige Aktivitäten zu identifizieren1. Bei einem DNS-Anfrage-Ereignis gibt dieses Feld an, welcher Prozess die DNS-Anfrage gestellt hat1.Q28. Welche Aussage in Bezug auf eine aus der Quarantäne freigegebene Datei ist WAHR? Nach der Freigabe ist 14 Tage lang keine Ausführung erlaubt. Sie darf auf allen Hosts ausgeführt werden Sie wird gelöscht Sie wird keine zukünftigen Erkennungen durch maschinelles Lernen auf dem zugehörigen Host erzeugen ErläuterungNach dem CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guide stellen Sie eine Datei, die Sie aus der Quarantäne freigeben, an ihrem ursprünglichen Speicherort wieder her und erlauben die Ausführung auf allen Hosts in Ihrer Organisation2. Diese Aktion entfernt die Datei auch aus der Quarantäneliste und löscht sie aus der CrowdStrike Cloud2. Q29. Welcher der folgenden Punkte wird im Tool "Hash Search" unter "Process Executions" aufgeführt? Betriebssystem Dateisignatur Befehlszeile Sensor-Version ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ können Sie mit dem Tool Hash Search nach einem oder mehreren SHA256-Hashes suchen und eine Zusammenfassung der Informationen von Falcon-Ereignissen anzeigen, die diese Hashes enthalten1. Die Zusammenfassung enthält den Hostnamen, die Sensor-ID, das Betriebssystem, das Land, die Stadt, den ISP, die ASN, die Geolocation, den Prozessnamen, die Befehlszeile und die Organisationseinheit des Hosts, der diese Hashes geladen oder ausgeführt hat1. Sie können auch die Anzahl der Erkennungen und Vorfälle im Zusammenhang mit diesen Hashes1 sehen. Unter Prozessausführungen sehen Sie den Prozessnamen und die Befehlszeile für jede Hash-Ausführung1.Q30. Der Hauptzweck einer Hash-Suche besteht darin,: alle Netzwerkverbindungen zu ermitteln die an einer Erkennung beteiligten Prozesse zu überprüfen den Ursprung der Erkennung zu bestimmen Informationen über die mit einem Hash verbundenen Aktivitäten zu überprüfen ErläuterungNach dem CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ können Sie mit dem Tool Hash Search nach einem oder mehreren SHA256-Hashes suchen und eine Zusammenfassung der Informationen von Falcon-Ereignissen anzeigen, die diese Hashes enthalten1. Die Zusammenfassung enthält den Hostnamen, die Sensor-ID, das Betriebssystem, das Land, die Stadt, den ISP, die ASN, die Geolocation, den Prozessnamen, die Befehlszeile und die Organisationseinheit des Hosts, der diese Hashes geladen oder ausgeführt hat1. Sie können auch die Anzahl der Erkennungen und Vorfälle im Zusammenhang mit diesen Hashes1 sehen. Der Hauptzweck einer Hash-Suche besteht darin, Informationen über die mit einem Hash verbundenen Aktivitäten zu überprüfen, z. B. welche Hosts und Prozesse beteiligt waren, wo sie sich befanden und ob sie Alarme aus