CrowdStrike CCFH-202 考试预备指南 CCFH-202 考试预备指南 [Q35-Q53]

Q35. 请参阅附录。

这棵流程树表示哪种类型的攻击？

Q36. 在使用表格、图表和统计等转换命令时，如何重命名字段？

Q37. 您需要从运行 Falcon 传感器的主机中找到有关关键数据字段和传感器事件的详细信息。您应该访问哪些文档？

Q38. 当可云事件数据包含哪个事件字段时，流程时间线事件详细信息表将填充父流程 ID 和父文件列？

Q39. 入侵者通常会执行 netexe、ipconfig.exe 和 whoami exe 等发现命令。您不希望逐个查询这些命令，而是希望使用包含所有命令的单一查询。完成以下查询需要哪些 Splunk 操作符？

Q40. Falcon 文档中的事件数据字典对编写狩猎查询非常有用，因为

Q41. Mac 传感器报告的主要目的是什么？

Q42. 以下哪项最能说明 Mac 传感器报告的目的？

Q43. 关于哈希搜索，以下哪项是正确的？

Q44. 您应该参考哪个 Falcon 文档指南来查找与计划任务和其他 Windows 相关工件有关的异常？

Q45. MITRE ATT&CK 框架在检测的执行详情中提供了哪些信息？

Q46. 哪份文件提供了有关编写基于 Splunk 的猎取查询、可定制用于猎取可疑网络连接的预定义查询以及可定制用于猎取可疑进程的预定义查询的最佳实践的信息？

Q47. 导出以下事件搜索结果时，导出文件中会保存哪些数据（假设为 "详细 "模式）？ event_simpleName=*Written | stats count by ComputerName

Q48. 以下哪项是网络杀伤链 "恢复 "阶段行为者行动的示例？

Q49. 在 MITRE ATT&CK Framework（第 11 版，2022 年 4 月发布的最新版本）中，以下哪一对战术不在企业版中？Windows 矩阵？

Q50. 以下哪种方法是量化搜索结果，使猎人能够快速分类和识别异常值的正确方法？

Q51. 哪些预定义报告可提供有关活动的信息，这些活动通常表明系统中发生了可疑活动？

Q52. SPL (Splunk) 评估语句可用于将 Unix 时间（Epoch）转换为 UTC 可读时间 哪个评估函数是正确的^

Q53. 要查找网络中的离群事件，___________ 是最好的狩猎方法。