CCFH-202 試験は、CCFH 認定資格の完了に向けた最終ステップです。 passexam
CrowdStrike Falcon Certification Program認定資格CCFH-202 試験問題集は、
CCFH-202試験分野で広範な知識と経験を持つ専門家によって設計されています。 試験内容の最新の変更と傾向を反映するために、ダンプを定期的に更新します。 passexam CrowdStrike Certified Falcon Hunter CCFH-202 ダンプには、CCFH-202 試験のすべてのトピックと目的をカバーする実際の有効な質問と回答が含まれています。 passexam CrowdStrike Certified Falcon Hunter CCFH-202 ダンプを使用して、知識をテストし、弱点を特定し、スキルを向上させ、自信を高めることができます。
CrowdStrike 認定 Falcon Hunter CCFH-202 問題集
CrowdStrike 認定ファルコン ハンター (CCFH)
CCFH 試験は、CrowdStrike University が提供する 3 つの認定資格のうちの 1 つである CCFH 認定資格の完了に向けた最終ステップです。 他の 2 つの認定資格は、CrowdStrike Certified Falcon Administrator (CCFA) と CrowdStrike Certified Falcon Responder (CCFR) です。 CCFH 試験の準備をするには、Falcon プラットフォームの実践経験があり、Splunk 検索処理言語 (SPL) に精通している必要があります。この試験では、受験者の知識、スキル、およびシステム内での検出に効果的に対応する能力を評価します。 CrowdStrike Falcon コンソールと Investigate アプリは、クエリと自動レポートを使用してマシンの監査と事前調査を支援し、Splunk 構文を使用して検索クエリを実行します。
CCFH 試験は、90 分間、60 問の評価です。 この試験は、技術専門家と非技術専門家の両方による数回の編集を経て、さまざまな受験者によってテストされてきました。
CCFH 試験の目的
1 攻撃フレームワーク
1.1 サイバーキルチェーン (7) 段階 (偵察、スキャン、列挙、アクセスの取得、権限の昇格、アクセスの維持、追跡のカバーなど) に関する知識を実証し、インテリジェンスのギャップを認識する
1.2 MITRE ATT&CK フレームワークを利用して脅威アクターの行動をモデル化する
1.3 MITRE ATT&CK フレームワークを運用して、研究脅威モデル、TTP、脅威アクターを探し、必要に応じて方向転換し、技術者以外の聴衆に伝える
2 検出分析
2.1 イベント検索を使用する場合の説明
2.2 プロセス タイムラインが提供するものを説明する
2.3 プロセス タイムラインを取得する方法をデモンストレーションする
2.4 ホスト タイムラインが提供するものについて説明する
3 検索ツール
3.1 Falcon プラットフォームに関連するファイルとプロセスのメタデータを抽出、分析、使用する方法を説明する
3.2 一括 (宛先) IP 検索で提供される情報の説明
3.3 結果に基づく (PID 対プロセス ID など)
3.4 ユーザー検索が提供する情報の説明
3.5 ホスト検索が提供する情報の説明
3.6 ソース IP 検索が提供する情報の説明
3.7 ハッシュ検索が提供する情報の説明
3.8 ハッシュ実行検索が提供する情報の説明
3.9 一括ドメイン検索が提供する情報の説明
3.10 効果的なカスタム アラート ルールを作成する
3.11 イベントアクションが何を行うかを説明する
4 イベント検索
4.1 イベント検索の一般的な使用例の説明
4.2 基本的なキーワード検索を実行する
4.3 Splunk 構文を使用して検索を絞り込む (ComputerName、event_simpleName などのフィールドを使用)
4.4 興味深いフィールドを使用して検索を絞り込む
4.5 [統計] タブで、左クリックのフィルターを使用して検索を絞り込みます。
4.6 (Target/Parent/Context)の処理関係を記述する
4.7 親/ターゲット/コンテキストの関係など、関連するイベント データに関連するクエリで名前変更コマンドがどのように使用されるかを説明する
4.8 「table」コマンドの機能を説明し、出力のフォーマットにどのように使用できるかを示します
4.9 「stats count by」コマンドの機能を説明し、統計分析にどのように使用できるかを示します。
4.10 「join」コマンドの機能と、それを使用して異なるクエリを結合する方法を説明する
4.11 主要なイベントのデータ型の説明
4.12 検索結果のエクスポート
4.13 Unix 時間を UTC で読み取り可能な時間に変換およびフォーマットする
5 レポート
5.1 Linux センサー レポートが提供する情報の説明
5.2 Mac センサー レポートが提供する情報の説明
5.3 組み込みのハンティング レポートを見つけて、そのレポートが提供する内容を説明する
5.4 PowerShell Hunt レポートが提供する情報を説明し、それをフィルタリングする方法を示す
5.5 組み込みの可視性レポートを検索し、そのレポートが提供するものを説明する機能を実証する
6 狩猟分析
6.1 疑わしい明白な悪意のある動作を分析して認識する
6.2 ターゲットシステムに関する知識を実証する (資産インベントリとそれらの資産を誰がターゲットにするか)
6.3 情報の信頼性、有効性、および消去プロセスで使用する関連性を評価する
6.4 誤検知を最小限に抑え、減らすための代替の分析解釈を特定します。
6.5 PowerShell/CMD アクティビティをデコードして理解する
6.6 企業全体のファイル感染プロセスなどのパターンを認識し、根本原因や感染源を特定しようとする
6.7 テスト、DevOps、または一般ユーザーのアクティビティと敵対者の行動を区別する
6.8 最初の攻撃ベクトルから悪用された脆弱性を特定する
7 狩猟方法
7.1 環境内で定期的にアクティブなハント操作を実行して、環境が侵害されているかどうかを確認する
7.2 Falcon ツールを使用して外れ値分析を実行する
7.3 Falcon ツールを使用して仮説とハンティングリード生成を実施し、仮説を証明する
7.4 Falcon での単純および複雑な EAM クエリの構築
7.5 プロセスツリーを調査する
8 文書化
8.1 イベント データ ディクショナリ (イベント インデックス) に含まれる情報の説明
8.2 狩猟および調査ガイドに含まれる情報の説明
下記はCrowdStrike CrowdStrike Falcon Certification Program CCFH-202最新試験問題集のデモをご参考ください。
1. Which field in a DNS Request event points to the responsible process?
A.ContextProcessld_readable
B.TargetProcessld_decimal
C.ContextProcessld_decimal
D.ParentProcessId_decimal
Answer: A
2. You are reviewing a list of domains recently banned by your organization's acceptable use policy. In particular, you are looking for the number of hosts that have visited each domain. Which tool should you use in Falcon?
A.Create a custom alert for each domain
B.Allowed Domain Summary Report
C.Bulk Domain Search
D.IP Addresses Search
Answer: C
3. What information is shown in Host Search?
A.Quarantined Files
B.Prevention Policies
C.Intel Reports
D.Processes and Services
Answer: D
4. When performing a raw event search via the Events search page, what are Event Actions?
A.Event Actions contains an audit information log of actions an analyst took in regards to a specific detection
B.Event Actions contains the summary of actions taken by the Falcon sensor such as quarantining a file, prevent a process from executing or taking no actions and creating a detection only
C.Event Actions are pivotable workflows including connecting to a host, pre-made event searches and pivots to other investigatory pages such as host search
D.Event Actions is the field name that contains the event name defined in the Events Data Dictionary such as ProcessRollup, SyntheticProcessRollup, DNS request, etc
Answer: C
5. What information is provided when using IP Search to look up an IP address?
A.Both internal and external IPs
B.Suspicious IP addresses
C.External IPs only
D.Internal IPs only
Answer: C
6. What kind of activity does a User Search help you investigate?
A.A history of Falcon Ul logon activity
B.A list of process activity executed by the specified user account
C.A count of failed user logon activity
D.A list of DNS queries by the specified user account
Answer: B