[完整版] 2023 最新 CCFR-201 实际考试试卷，CrowdStrike 实践测试 [Q12-Q32]

10 月 13, 202310 月 13, 2023 考试[完整版] 2023 最新 CCFR-201 实际考试试卷，CrowdStrike 实践测试 [Q12-Q32] 0 条评论

4.7/5 - (12 选票)

[完整版] 2023 最新 CCFR-201 实际考试试卷，CrowdStrike 实践测试

学习高质量 CCFR-201 免费学习指南和考试教程

Q12. 什么是事件操作？

可用于在相关事件和搜索之间进行透视的自动搜索

主机搜索中的可透视超链接

由当前登录的 Falcon 用户书签的自定义事件数据查询

原始猎鹰事件数据

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，事件操作是一种自动搜索，可用于在相关事件和搜索之间切换1。它们可用于各种工具，如事件搜索、进程时间轴、主机时间轴等1。您可以选择一个或多个事件并执行各种操作，如显示流程时间线、显示主机时间线、显示相关事件数据、显示 +/- 10 分钟的事件窗口等1。这些操作可以帮助您更高效地调查和分析事件1。

Q13. IOA 免责声明能帮您实现什么？

根据预防策略中的新一代杀毒软件设置减少误报

从仅基于 IOA 的检测中减少行为检测的误报率

根据文件哈希值，从基于 IOA 的检测中减少行为检测的误报率

仅从自定义 IOA 和 OverWatch 检测中降低行为检测的误报率

说明
根据 CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南，IOA 排除项允许您排除文件或目录，使其不被 CrowdStrike 的攻击指标（IOA）检测或阻止，IOA 是识别恶意活动的行为规则2。这可以减少误报并提高性能2。IOA 排除仅适用于基于 IOA 的检测，不适用于其他类型的检测，如机器学习、自定义 IOA 或 OverWatch2。

Q14. 第三方通知您，某程序可能已将流量重定向至恶意域。哪个 Falcon 页面可以帮助您搜索与此通知相关的任何域名请求信息？

猎鹰 X

调查

发现

聚焦

说明
据[CrowdStrike 网站]介绍，在 "调查 "页面，您可以搜索和分析 Falcon 平台收集的各类数据，如事件、主机、进程、哈希值、域、IP 等1。您可以使用各种工具，如事件搜索、主机搜索、进程时间轴、哈希值搜索、批量域搜索等，执行不同类型的搜索，并以不同方式查看结果1。如果要搜索与第三方通知相关的任何域名请求信息，可以使用 "调查 "页面进行1。例如，您可以使用批量域搜索工具搜索恶意域，查看与之通信的主机和进程1。您还可以使用事件搜索工具搜索包含恶意域的 DNSRequest 事件，并查看有关查询和响应的更多详细信息1。

Q15. 从检测转到事件搜索后，您找到了 ProcessRollup2 事件。您需要获取哪两个字段值才能执行流程时间轴搜索，从而确定流程在做什么？

SHA256 和 TargetProcessld_decimal

SHA256 和 ParentProcessld_decimal

援助和 ParentProcessld_decimal

援助和 TargetProcessld_decimal

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，进程时间轴搜索需要两个参数：aid（代理 ID）和 TargetProcessId_decimal（进程 ID 的十进制值）。这些字段可从 ProcessRollup2 事件中获取，该事件包含在主机1 上执行的进程信息。

Q16. 从检测的角度看，孩子和兄弟姐妹处理信息的最快方式是什么？

选择事件搜索选项。然后从 "事件操作 "中选择 "显示相关事件数据（来自 TargetProcessld_decimal）"。

从检测程序中选择 "完整检测详情"。

右键单击进程，选择 "跟踪进程链"。

选择流程时间轴功能，输入 AID。目标进程 ID 和父进程 ID

说明
根据 CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南，完整检测详细信息工具允许您查看检测的详细信息，如检测 ID、严重性、策略、技术、描述等1。您还可以通过不同方式查看检测所涉及的流程生成的事件，如流程树、流程时间线或流程活动1。流程树视图以图形表示流程层次和活动1 。您可以通过展开或折叠树中的节点来查看子进程和同级进程信息1。

Q17. 流程时间表包含哪些信息？

给定时间范围内所有与云流程相关的事件

特定主机的所有可云事件

只检测给定时间范围内与流程相关的事件

查看 Mac 或 Linux 主机上的活动

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，"进程时间轴 "工具允许您查看与给定进程相关的所有云事件，如进程创建、网络连接、文件写入、注册表修改等1。您可以指定一个时间范围，将事件限制在某个时间段内1。该工具适用于任何主机平台，而不仅仅是 Mac 或 Linux1。

Q18. 机器学习排除的功能是___________。

停止对特定模式 ID 的所有检测

停止采集匹配路径的所有传感器数据

停止所有机器学习预防措施，但仍会生成检测，文件仍会上传到 CrowdStrike 云端

停止对匹配路径的所有基于 ML 的检测和预防，和/或停止向 CrowdStrike 云上传文件

说明
根据 CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南，机器学习排除项允许您排除 CrowdStrike 机器学习引擎扫描的文件或目录，从而减少误报并提高性能2。您还可以选择是否将排除的文件上传到 CrowdStrike 云2。

Q19. 哪个 "执行摘要 "仪表板项目显示传感器运行的版本不支持？

按严重程度分列的检测

非活动传感器

射频管理中的传感器

有源传感器

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，"执行摘要 "仪表板提供了传感器健康状况和活动的概览1。它包括各种项目，如 "活动传感器"、"非活动传感器"、"严重程度检测 "等1。表示传感器在不支持的版本下运行的项目是 RFM（功能降低模式）传感器1。RFM 是由于许可证过期、网络问题、篡改尝试或不支持版本等各种原因导致传感器功能受限的一种状态1。您可以查看处于 RFM 的传感器数量和百分比以及它们处于 RFM 的原因1。

Q20. 流程活动视图提供了检测中生成的事件的行列式视图。
为什么会有帮助？

流程活动视图可创建该流程所有检测事件的综合视图，并可导出以作进一步分析

流程活动视图将显示最早记录的活动的检测时间，这可能表示第一台受影响的机器

进程活动视图只创建进程加载的动态链接库 (DLL) 摘要

流程活动视图只创建事件类型的计数，这在确定事件范围时非常有用。

说明
根据《CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+》，"进程活动视图 "允许您以行列式视图1 的形式查看参与检测的进程所生成的所有事件。这很有帮助，因为它创建了该进程所有检测事件的综合视图，可导出以作进一步分析1。您还可以按事件类型、时间戳、文件名、注册表键值、网络目标等不同字段对事件进行排序、过滤和透视1。

Q21. 流程时间线会返回哪些类型的事件？

仅检测事件

所有可云事件

只处理事件

仅网络事件

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，进程时间轴搜索会返回与给定进程相关的所有云事件，如进程创建、网络连接、文件写入、注册表修改等1。这样，您就可以全面查看进程在主机上的操作1。

Q22. 从检测转到事件搜索有什么作用？

它使您能够快速搜索其他端点上的类似事件

它将带您访问原始 Insight 事件数据，并为您提供一系列事件操作

它会带您进入该检测的流程时间轴，以便您查看所有相关事件

通过它，您可以输入 DNS 请求或 ASEP 写入等事件类型，并在检测范围内搜索这些事件。

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，从检测转到事件搜索可查看原始 Insight 事件数据，并为您提供大量事件操作1。 Insight 事件是传感器为各种活动生成的低级别事件，如进程执行、文件写入、注册表修改、网络连接等1。您可以以表格格式查看这些事件，并使用各种筛选器和字段缩小结果范围1。您还可以选择一个或多个事件并执行各种操作，如显示进程时间线、显示主机时间线、显示相关事件数据、显示 +/- 10 分钟的事件窗口等1。这些操作可以帮助您更高效地调查和分析事件1。

Q23. 检测数据在 CrowdStrike 云中保留多长时间后才开始清除？

90 天

45 天

30 天

14 天

说明
根据 CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南，检测数据在开始清除前会在 CrowdStrike 云中存储 90 天2。这意味着您可以使用 Falcon 平台或 API2 访问和查看过去 90 天内的检测数据。如果您希望保留检测数据超过 90 天，可以使用 FDR 将其复制到自己的存储系统2。

Q24. 被隔离的文件在 CrowdStrike 云中存储多长时间？

45 天

90 天

天数

未删除被隔离的文件

说明
根据[CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南]，当您使用 IOC 管理或实时响应 (RTR) 隔离主机上的文件时，会将文件从其原始位置移动到主机上无法执行的安全位置。文件也会被加密，并用随机字符串重命名。文件的副本也会上载到 CrowdStrike 云供进一步分析。被隔离的文件在删除前会在 CrowdStrike 云中存储 90 天。

Q25. 查看主机时间线时，可以使用以下哪种筛选器？

严重性

活动类型

用户名

检测 ID

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，"主机时间线 "工具允许您按时间顺序查看传感器记录的指定主机的所有事件1。事件包括进程执行、文件写入、注册表修改、网络连接、用户登录等1。您可以使用各种筛选器，根据事件类型、时间戳范围、文件名、注册表键值、网络目标等标准缩小事件范围1。但是，没有针对严重性、用户名或检测 ID 的筛选器，因为这些不是事件的属性1。

Q26. 同一平面上的进程是如何排序的（从最下面的 "VMTOOLSD.EXE "到最上面的 "CMD.EXE"）？

进程 ID（降序，最高的在最下面）

开始时间（降序，最新时间在最下方）

开始时间（升序，最新时间在前）

进程 ID（升序，最高者在上）

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，进程树视图可提供程序祖先的可视化，显示进程间的父子和同级关系1。您还可以查看每个进程的事件类型和时间戳1。同一平面上的进程按开始时间降序排列，即最近的进程在底部，最老的进程在顶部1。例如，在您发给我的图片中，CMD.EXE 是最老的进程，而 VMTOOLSD.EXE 是该平面上最近的进程1。

Q27. 检查原始 DNS 请求事件时，会看到一个名为 ContextProcessld_decimal 的字段。这个字段有什么作用？

它包含其他相关事件的 TargetProcessld_decimal 值

它包含一个对调查无用的内部值

它包含发出 DNS 请求的父进程的 ContextProcessld_decimal 值

它包含发出 DNS 请求的进程的 TargetProcessld_decimal 值

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，ContextProcessld_decimal 字段包含生成事件的进程 ID 的十进制值1。此字段可用于跟踪进程的流程并识别恶意或可疑活动1。对于 DNS 请求事件，该字段表示哪个进程发出了 DNS 请求1。

Q28. 关于从隔离区释放的文件，哪项是正确的？

释放后 14 天内不得执行死刑

允许在所有主机上执行

已删除

它不会在相关主机上生成未来的机器学习检测

说明
根据《CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南》，当您从隔离区释放文件时，您会将其恢复到原始位置，并允许其在组织内的任何主机上执行2。此操作还会将文件从隔离区列表中删除，并从 CrowdStrike Cloud 中删除2。

Q29. 在哈希搜索工具中，以下哪项列在进程执行下？

操作系统

文件签名

命令行

传感器版本

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，哈希搜索工具允许您搜索一个或多个 SHA256 哈希值，并查看包含这些哈希值的 Falcon 事件的信息摘要1。摘要包括加载或执行这些哈希值1 的主机的主机名、传感器 ID、操作系统、国家、城市、ISP、ASN、地理位置、进程名称、命令行和组织单位。您还可以查看与这些哈希值1 相关的检测和事件计数。在进程执行下，您可以看到每个哈希值执行的进程名称和命令行1。

Q30. 进行哈希搜索的主要目的是

确定任何网络连接

审查与检测有关的过程

确定检测的起源

审查与哈希的相关活动有关的信息

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，哈希搜索工具允许您搜索一个或多个 SHA256 哈希值，并查看包含这些哈希值的 Falcon 事件的信息摘要1。摘要包括加载或执行这些哈希值1 的主机的主机名、传感器 ID、操作系统、国家、城市、ISP、ASN、地理位置、进程名称、命令行和组织单位。您还可以查看与这些哈希值1 相关的检测和事件计数。运行哈希值搜索的主要目的是查看哈希值相关活动的信息，如涉及哪些主机和进程、它们位于何处以及它们是否触发了任何警报1。

Q31. 除流程时间轴或事件搜索外，如何从检测中导出流程事件数据？
.CSV 格式？

您无法从检测中导出详细的事件数据，必须使用过程时间轴或事件搜索

在 "全面检测详情 "中，您可以展开希望展开的流程树节点，然后单击 "导出流程事件 "按钮

在 "全面检测详情 "中，您可以选择 "查看流程活动 "选项，然后从该视图中导出

在 "检测仪表板 "上右键单击要导出的事件类型，然后选择 CSV.JSON 或 XML

说明
根据 CrowdStrike Falcon Devices Add-on for Splunk 安装和配置指南 v3.1.5+，以 .CSV 格式从检测导出过程事件数据有三种方法1：
您可以使用流程时间轴工具，点击右上角的 "导出 CSV "按钮1。
您可以使用事件搜索工具，选择一个或多个事件，然后点击右上角的 "导出 CSV "按钮1。
您可以使用 "完整检测详情 "工具，并从流程树视图中的任意流程节点选择 "查看流程活动 "选项1。这将以行列式视图1 显示该流程生成的所有事件。然后，您可以单击右上角的 "导出 CSV "按钮1。

Q32. 当您想保存一个预防哈希值供以后使用时，会使用什么操作？

始终阻止

永不阻挡

始终允许

无行动

说明
根据 CrowdStrike Falcon Data Replicator (FDR) Add-on for Splunk 指南，"始终阻止 "操作允许您根据文件的哈希值2 阻止文件在组织内的任何主机上执行。该操作可用于防止已知恶意文件在端点上运行2。

加载中 …