このページは Free Exams Dumps Materials [ http://exams.dumpsmaterials.com ] からエクスポートされました。 エクスポート日時:Thu Dec 12 16:44:36 2024 / +0000 GMT ___________________________________________________ タイトル: [フルバージョン] 2023 新しい CCFR-201 実際の試験のダンプ、CrowdStrike 練習問題 [Q12-Q32]. --------------------------------------------------- [フルバージョン] 2023の新しいCCFR-201実際の試験のダンプス、CrowdStrikeの練習試験 高品質CCFR-201無料勉強ガイドと試験のチュートリアルを勉強する Q12.イベントアクションとは何ですか? 関連するイベントと検索の間をピボットするために使用できる自動検索です。 ホスト検索で利用可能なピボット可能なハイパーリンク 現在サインインしているファルコンユーザによってブックマークされたカスタムイベントデータクエリ 生のファルコンのイベントデータ 説明『CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+』によると、イベントアクションとは、関連するイベントと検索の間でピボットするために使用できる自動検索である1。イベント検索、プロセスタイムライン、ホストタイムラインなど、さまざまなツールで利用できます1。1つまたは複数のイベントを選択し、プロセス・タイムラインの表示、ホスト・タイムラインの表示、関連するイベント・データの表示、イベントの±10分ウィンドウの表示など、様々なアクションを実行することができます1。これらのアクションは、イベントをより効率的かつ効果的に調査、分析するのに役立ちます1。IOA除外は何を達成するのに役立ちますか? 予防ポリシーの次世代アンチウイルス設定に基づく誤検知を減らす。 IOAベースの検出のみから、振る舞い検出の誤検出を減らす ファイルハッシュに基づくIOAベースの検出から動作検出の誤検出を減らす カスタムIOAおよびOverWatchの検出のみによる振る舞い検出の誤検出を減らす 説明CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guideによると、IOA除外により、CrowdStrikeのindicator of attack (IOAs)(悪意のある活動を特定する行動ルール)による検出やブロックからファイルやディレクトリを除外することができます2。これにより、誤検知を減らし、パフォーマンスを向上させることができます2。IOA除外はIOAに基づく検知にのみ適用され、機械学習、カスタムIOA、OverWatch2.Q14などの他のタイプの検知には適用されません。サードパーティから、あるプログラムがトラフィックを悪意のあるドメインにリダイレクトした可能性があることを通知されました。この通知に関連するドメインリクエスト情報を検索する際に、どのファルコンのページが役に立ちますか? ファルコンX 調査する 発見する スポットライト 説明[CrowdStrikeのウェブサイト]によると、Investigateページは、イベント、ホスト、プロセス、ハッシュ、ドメイン、IPなど、ファルコンプラットフォームによって収集された様々なタイプのデータを検索し、分析することができる場所です1。あなたは、Event Search、Host Search、Process Timeline、Hash Search、Bulk Domain Searchなどの様々なツールを使用して、異なるタイプの検索を実行し、異なる方法で結果を表示することができます1。サードパーティからの通知に関連するあらゆるドメインリクエスト情報を検索したい場合は、Investigateページを使用して検索することができます1。例えば、一括ドメイン検索ツールを使って悪意のあるドメインを検索し、どのホストとプロセスがそのドメインと通信したかを見ることができます1。また、イベント検索ツールを使って、悪意のあるドメインを含むDNSRequestイベントを検索し、クエリとレスポンスの詳細を見ることもできます1.Q15.検出からイベント検索にピボットした後、ProcessRollup2イベントを見つけました。プロセスが何をしていたかを判断できるように、プロセスタイムライン検索を実行するために取得する必要がある2つのフィールド値はどれですか? SHA256およびTargetProcessld_decimal SHA256およびParentProcessld_decimal 補助値と親プロセスld_decimal 援助とターゲットプロセスld_decimal 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、プロセスタイムライン検索には、aid(エージェントID)とTargetProcessId_decimal(プロセスIDの10進数)の2つのパラメータが必要です。これらのフィールドは、ホスト上で実行されたプロセスに関する情報を含む ProcessRollup2 イベントから取得できます。検出から、子プロセスや兄弟プロセス情報を確認する最も速い方法は何ですか? イベント検索オプションを選択します。次に、イベントアクションから、関連イベントデータの表示(TargetProcessld_decimalより)を選択します。 検出結果から[検出の詳細]を選択します。 プロセスを右クリックし、[プロセスチェーンをたどる]を選択する プロセスタイムライン機能を選択し、AIDを入力する。対象プロセスID、親プロセスID 説明CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guideによると、Full Detection Detailsツールでは、検知ID、重要度、戦術、テクニック、説明など、検知に関する詳細情報を表示することができます1。また、プロセスツリー、プロセスタイムライン、プロセスアクティビティなど、さまざまな方法で検出に関与するプロセスによって生成されたイベントを表示できます1。プロセス・ツリー・ビューは、プロセスの階層とアクティビティをグラフィカルに表示します1。ツリー内のノードを展開または折りたたむことで、子プロセスや兄弟プロセスの情報を確認することができます1.Q17.プロセスタイムラインにはどのような情報が含まれますか? 指定された時間枠内のすべてのクラウド可能なプロセス関連イベント 特定のホストのクラウド可能なすべてのイベント 指定された時間枠内の検出プロセス関連イベントのみ MacまたはLinuxホスト上のアクティビティ 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、プロセスタイムラインツールでは、プロセスの作成、ネットワーク接続、ファイルの書き込み、レジストリの変更など、指定したプロセスに関連するクラウド可能なすべてのイベントを表示することができます1。時間枠を指定して、イベントを特定の期間に限定することもできる1。このツールは、MacやLinuxだけでなく、あらゆるホスト・プラットフォームで動作する1.Q18.機械学習除外の機能は、____________。 特定のパターンIDのすべての検出を停止する 一致するパスのすべてのセンサーデータ収集を停止する。 すべての機械学習による防御を停止するが、検知は生成され、ファイルはCrowdStrike Cloudにアップロードされる。 マッチしたパス(複数可)の全てのMLベースの検知と防御を停止、および/またはファイルのCrowdStrike Cloudへのアップロードを停止します。 説明CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guideによると、機械学習除外により、CrowdStrikeの機械学習エンジンによるスキャンからファイルやディレクトリを除外することができ、誤検知を減らし、パフォーマンスを向上させることができます2。また、除外したファイルをCrowdStrikeクラウドにアップロードするかどうかも選択できます2.Q19.エグゼクティブサマリーのダッシュボードで、サポートされていないバージョンで稼働しているセンサーを示す項目はどれですか? 深刻度別検出数 非アクティブなセンサー RFM中のセンサー アクティブなセンサー 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、エグゼクティブサマリーダッシュボードはセンサーの健全性とアクティビティの概要を提供します1。アクティブなセンサー、非アクティブなセンサー、深刻度による検出など、さまざまな項目があります1。サポートされていないバージョンで動作しているセンサーを示す項目は、RFM(機能低下モード)のセンサーです1。RFM とは、ライセンスの期限切れ、ネットワークの問題、改ざんの試み、サポートされていないバージョンなど、さまざまな理由によりセンサーの機能が制限された状態のことです1。RFM にあるセンサーの数と割合、および RFM にある理由を確認できます1.Q20.プロセス・アクティビティ・ビューは、検出で生成されたイベントの行と列スタイルのビューを提供します。 プロセス・アクティビティ・ビューは、そのプロセスのすべての検出イベントの統合ビューを作成し、さらに分析するためにエクスポートすることができます。 プロセス・アクティビティ・ビューは、最初に影響を受けたマシンを示す可能性のある、最も早く記録されたアクティビティの検出時刻を表示します。 プロセス・アクティビティ・ビューは、プロセスによってロードされたダイナミック・リンク・ライブラリ(DLL)のサマリーのみを作成します。 プロセス・アクティビティ・ビューは、イベント・タイプのカウントのみを作成します。 説明『CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+』によると、プロセスアクティビティビューでは、検知に関与したプロセスによって生成されたすべてのイベントを、行と列のスタイルで表示することができます1。 これは、そのプロセスに関するすべての検知イベントの統合ビューを作成し、さらに分析するためにエクスポートすることができるので便利です1。また、イベント・タイプ、タイムスタンプ、ファイル名、レジストリ・キー、ネットワーク宛先など、さまざまなフィールドでイベントを並べ替えたり、フィルタリングしたり、ピボットしたりすることもできます1。プロセスタイムラインはどのような種類のイベントを返しますか? 検知イベントのみ すべてのクラウド可能なイベント プロセスイベントのみ ネットワークイベントのみ 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、プロセスタイムライン検索は、プロセスの作成、ネットワーク接続、ファイルの書き込み、レジストリの変更など、指定されたプロセスに関連するすべてのクラウド可能なイベントを返します1。これにより、プロセスがホスト上で何をしていたかを包括的に見ることができます1。検出からイベント検索にピボットすると、何ができるのですか? 他のエンドポイントの類似イベントをすばやく検索できます。 生のインサイト・イベント・データに移動し、多くのイベント・アクションを提供します。 その検出のプロセス・タイムラインに移動し、関連するすべてのイベントを確認できます。 DNS RequestやASEP writeなどのイベント・タイプを入力し、検出内のそれらのイベントを検索できます。 説明『CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+』によると、検知からイベント検索にピボットすると、生の Insight イベントデータが表示され、多くのイベントアクションが提供されます1。 Insight イベントは、プロセス実行、ファイル書き込み、レジストリ変更、ネットワーク接続など、様々なアクティビティに対してセンサーが生成する低レベルのイベントです1。これらのイベントを表形式で表示し、様々なフィルターやフィールドを使用して結果を絞り込むことができます1。また、1つまたは複数のイベントを選択し、プロセス・タイムラインの表示、ホスト・タイムラインの表示、関連するイベント・データの表示、イベントの±10分ウィンドウの表示など、様々なアクションを実行することができます1。これらのアクションは、より効率的かつ効果的にイベントを調査、分析するのに役立ちます1.Q23.CrowdStrike Cloudに検知データが残っている期間は? 90日 45日 30日 14日間 説明CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guideによると、検知データはパージが開始されるまで90日間CrowdStrike Cloudに保存されます2。これは、Falcon プラットフォームまたは API2 を使用して、過去 90 日間の検知データにアクセスし、表示できることを意味します。90日以上の期間、検知データを保持したい場合は、FDRを使用して独自のストレージシステムに複製することができます2.Q24.隔離されたファイルはCrowdStrike Cloudにどのくらいの期間保存されますか? 45日 90日 日 隔離されたファイルは削除されません。 説明[CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guide]によると、IOC管理またはリアルタイムレスポンス(RTR)を使用してホストからファイルを隔離する場合、ファイルは元の場所から実行できないホスト上の安全な場所に移動されます。ファイルは暗号化され、ランダムな文字列でリネームされます。ファイルのコピーは、さらなる分析のためにCrowdStrike Cloudにもアップロードされます。隔離されたファイルは、削除されるまで90日間CrowdStrike Cloudに保存されます。ホストタイムラインを確認する際、以下のどのフィルタが利用できますか? 深刻度 イベントタイプ ユーザー名 検出ID 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、ホストタイムラインツールでは、指定したホストに対してセンサーが記録したすべてのイベントを時系列で表示することができます1。イベントには、プロセスの実行、ファイルの書き込み、レジストリの変更、ネットワーク接続、ユーザーログインなどが含まれます1。様々なフィルターを使用して、イベントタイプ、タイムスタンプ範囲、ファイル名、レジストリキー、ネットワーク接続先などの基準に基づいてイベントを絞り込むことができます1。しかし、重大度、ユーザー名、検出IDはイベントの属性ではないため、フィルターはありません1.Q26.同一プレーン上のプロセスはどのように並べられますか(一番下の「VMTOOLSD.EXE」から一番上の「CMD.EXE」まで)? プロセスID(降順、一番下) 開始時刻(降順、一番下が最新) 開始時刻 (昇順、一番上が最新) プロセス ID (昇順、一番上) 説明『CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+』によると、プロセスツリービューは、プロセスの親子関係や兄弟関係を示す、プログラムの祖先関係を可視化するものです1。各プロセスのイベント・タイプとタイムスタンプも確認できます1。同じ平面にあるプロセスは、開始時刻の降順に並べられます。つまり、最も新しいプロセスが一番下にあり、最も古いプロセスが一番上にあります1。たとえば、お送りいただいた画像では、CMD.EXEが最も古いプロセスで、VMTOOLSD.EXEがそのプレーン上の最も新しいプロセスです1.Q27。生のDNSリクエスト・イベントを調べると、ContextProcessld_decimalというフィールドがあります。このフィールドの目的は何ですか? 他の関連イベントのTargetProcessld_decimal値が含まれています。 調査には役に立たない内部値が含まれています。 DNSリクエストを行った親プロセスのContextProcessld_decimal値が格納されています。 DNSリクエストを行ったプロセスのTargetProcessld_decimal値が含まれています。 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+ によると、ContextProcessld_decimal フィールドには、イベントを発生させたプロセスのプロセス ID の 10 進値が含まれている1。このフィールドは、プロセス・リネージをトレースし、悪意のある、または疑わしいアクティビティ1 を識別するために使用できます。DNS リクエスト・イベントの場合、このフィールドは、どのプロセスが DNS リクエストを行ったかを示します1.Q28.隔離から解放されたファイルに関して正しいものはどれですか? リリース後14日間は実行できません。 すべてのホストでの実行が許可される 削除される 関連するホスト上で今後機械学習による検出を生成しない 説明CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk Guideによると、隔離からファイルを解放すると、そのファイルは元の場所に復元され、組織内のどのホストでも実行できるようになります2。また、この操作により、隔離リストからファイルが削除され、CrowdStrike Cloud から削除されます2.Q29.ハッシュ検索ツールで、プロセス実行の下に表示されているのはどれですか? オペレーティングシステム ファイル署名 コマンドライン センサーバージョン 説明CrowdStrike Falcon Devices Add-on for Splunk Installation and Configuration Guide v3.1.5+によると、ハッシュ検索ツールでは、1つ以上のSHA256