2023 CrowdStrike Falcon Certification Program CCFH-202학습자료-killtest

CCFH-202 학습자료CCFH 인증 완료를 향한 마지막 단계입니다. CrowdStrike Falcon Certification Program 인증인기덤프CCFH-202인증시험을 패스하려면 아주 현병한 선택입니다. 그들은 시험 내용의 최신 변경 사항과 추세를 반영하기 위해 정기적으로 덤프를 업데이트합니다. CCFH-202인증시험을 패스하려면 아주 현병한 선택입니다. killtest의 CrowdStrike Certified Falcon Hunter CCFH-202 Dump덤프는 PDF버전과 소프트웨어버전 두가지 버전으로 되어있는데 소프트웨어버전은 시뮬레이션버전입니다.
CrowdStrike Certified Falcon Hunter CCFH-202 덤프
CrowdStrike 공인 매 사냥꾼(CCFH)
CCFH 시험은 CrowdStrike University에서 제공하는 세 가지 인증 중 하나인 CCFH 인증을 완료하기 위한 마지막 단계입니다. 다른 두 인증은 CCFA(CrowdStrike Certified Falcon Administrator)와 CCFR(CrowdStrike Certified Falcon Responder)입니다. CCFH 시험을 준비하려면 Falcon 플랫폼에 대한 실무 경험이 있어야 하고 Splunk 검색 처리 언어(SPL)에 익숙해야 합니다. 이 시험은 응시자의 지식, 기술 및 능력을 평가하여 CrowdStrike Falcon 콘솔 및 Investigate 앱은 쿼리 및 자동화된 보고서를 사용하여 머신 감사 및 사전 조사를 지원하고 Splunk 구문을 사용하여 검색 쿼리를 수행합니다.

CCFH 시험은 90분, 60문항 평가입니다. 이 시험은 기술 전문가와 비기술 전문가 모두에 의해 여러 차례의 편집을 통과했으며 다양한 응시자가 테스트했습니다.

CCFH 시험 목표
1 공격 프레임워크
1.1 사이버 킬 체인(7) 단계(예: 정찰, 스캐닝, 열거, 액세스 권한 획득, 권한 에스컬레이션, 액세스 유지, 추적 추적)에 대한 지식을 입증하고 인텔리전스 격차 인식
1.2 MITRE ATT&CK 프레임워크를 활용하여 위협 활동가 행동 모델링
1.3 MITRE ATT&CK 프레임워크를 운영하여 연구 위협 모델, TTP 및 위협 행위자를 찾고 필요에 따라 피벗하고 비기술자에게 전달합니다.

2 탐지 분석
2.1 이벤트 검색 사용 시기 설명
2.2 프로세스 타임라인이 제공할 내용 설명
2.3 프로세스 타임라인을 얻는 방법 시연
2.4 호스트 타임라인이 제공할 내용 설명

3 검색 도구
3.1 Falcon 플랫폼과 관련된 파일 및 프로세스에 대한 메타데이터를 추출, 분석 및 사용하는 방법 설명
3.2 대량(대상) IP 검색이 제공하는 정보 설명
3.3 결과 중심(PID 대 프로세스 ID 등)
3.4 사용자 검색에서 제공하는 정보 설명
3.5 호스트 검색이 제공하는 정보 설명
3.6 소스 IP 검색이 제공하는 정보가 무엇인지 설명
3.7 해시 검색이 제공하는 정보 설명
3.8 해시 실행 검색이 제공하는 정보 설명
3.9 대량 도메인 검색이 제공하는 정보 설명
3.10 효과적인 사용자 지정 경고 규칙 작성
3.11 이벤트 작업이 수행하는 작업 설명

4 이벤트 검색
4.1 이벤트 검색의 일반적인 사용 사례 설명
4.2 기본 키워드 검색 수행
4.3 Splunk 구문을 사용하여 검색 구체화(ComputerName, event_simpleName 등의 필드 사용)
4.4 흥미로운 필드를 사용하여 검색 세분화
4.5 통계 탭에서 왼쪽 클릭 필터를 사용하여 검색 범위를 좁힙니다.
4.6 (Target/Parent/Context)의 프로세스 관계 설명
4.7 상위/대상/컨텍스트 관계와 같은 관련 이벤트 데이터와 관련된 쿼리에서 이름 바꾸기 명령이 사용되는 방법 설명
4.8 "table" 명령의 기능을 설명하고 출력 서식 지정에 어떻게 사용할 수 있는지 보여줍니다.
4.9 "stats count by" 명령이 무엇을 하는지 설명하고 통계 분석에 어떻게 사용할 수 있는지 보여줍니다.
4.10 "join" 명령의 기능과 서로 다른 쿼리를 조인하는 데 사용할 수 있는 방법 설명
4.11 주요 이벤트 데이터 유형 설명
4.12 검색 결과 내보내기
4.13 Unix 시간을 UTC에서 읽을 수 있는 시간으로 변환 및 형식 지정

5 보고서
5.1 Linux 센서 보고서가 제공하는 정보 설명
5.2 Mac 센서 보고서가 제공하는 정보 설명
5.3 내장된 헌팅 보고서를 찾아 제공하는 내용 설명
5.4 PowerShell Hunt 보고서가 제공하는 정보 설명 및 필터링 방법 시연
5. 5 기본 제공 가시성 보고서를 찾는 기능을 시연하고 보고서에서 제공하는 내용 설명

6 사냥 분석
6.1 의심스러운 명백한 악의적 행위 분석 및 인식
6.2 대상 시스템에 대한 지식 입증(자산 인벤토리 및 해당 자산을 대상으로 하는 대상)
6.3 제거 과정에서 사용할 정보의 신뢰성, 타당성 및 관련성을 평가합니다.
6.4 오탐을 최소화하고 줄이기 위한 대체 분석 해석을 식별합니다.
6.5 PowerShell/CMD 활동 디코딩 및 이해
6.6 전사적 파일 감염 프로세스와 같은 패턴 인식 및 감염의 근본 원인 또는 소스 파악 시도
6.7 테스트, DevOps 또는 일반 사용자 활동을 적대 행위와 구별
6.8 초기 공격 벡터에서 악용되는 취약점 식별

7 사냥 방법론
7.1 환경이 위반되었는지 확인하기 위해 환경 내에서 일상적인 활성 헌트 작업을 수행합니다.
7.2 Falcon 도구로 이상값 분석 수행
7.3 Falcon 도구를 사용하여 증명하기 위해 가설을 수행하고 리드 생성을 사냥합니다.
7.4 Falcon에서 간단하고 복잡한 EAM 쿼리 구성
7.5 프로세스 트리 조사

8 문서화
8.1 이벤트 데이터 사전(이벤트 색인)에 어떤 정보가 있는지 설명
8.2 사냥 및 조사 가이드에 어떤 정보가 있는지 설명

아래는CrowdStrike Falcon Certification Program CCFH-202최신덤프시험 문제 발표의 일부입니다.

1. Which field in a DNS Request event points to the responsible process?
   A.ContextProcessld_readable
   B.TargetProcessld_decimal
   C.ContextProcessld_decimal
   D.ParentProcessId_decimal
   Answer: A

2. You are reviewing a list of domains recently banned by your organization's acceptable use policy. In particular, you are looking for the number of hosts that have visited each domain. Which tool should you use in Falcon?
   A.Create a custom alert for each domain
   B.Allowed Domain Summary Report
   C.Bulk Domain Search
   D.IP Addresses Search
   Answer: C

3. What information is shown in Host Search?
   A.Quarantined Files
   B.Prevention Policies
   C.Intel Reports
   D.Processes and Services
   Answer: D

4. When performing a raw event search via the Events search page, what are Event Actions?
   A.Event Actions contains an audit information log of actions an analyst took in regards to a specific detection
   B.Event Actions contains the summary of actions taken by the Falcon sensor such as quarantining a file, prevent a process from executing or taking no actions and creating a detection only
   C.Event Actions are pivotable workflows including connecting to a host, pre-made event searches and pivots to other investigatory pages such as host search
   D.Event Actions is the field name that contains the event name defined in the Events Data Dictionary such as ProcessRollup, SyntheticProcessRollup, DNS request, etc
   Answer: C

5. What information is provided when using IP Search to look up an IP address?
   A.Both internal and external IPs
   B.Suspicious IP addresses
   C.External IPs only
   D.Internal IPs only
   Answer: C

6. What kind of activity does a User Search help you investigate?
   A.A history of Falcon Ul logon activity
   B.A list of process activity executed by the specified user account
   C.A count of failed user logon activity
   D.A list of DNS queries by the specified user account
   Answer: B