설명 Splunk용 CrowdStrike FDR(Falcon Data Replicator) 추가 기능 가이드에 따르면 IOA 제외를 사용하면 악의적인 활동을 식별하는 동작 규칙인 CrowdStrike의 공격 지표(IOA)에 의해 탐지되거나 차단되지 않도록 파일이나 디렉터리를 제외할 수 있습니다2. 이를 통해 오탐(false positive)을 줄이고 성능을 향상할 수 있습니다2. IOA 제외는 IOA 기반 탐지에만 적용되며 기계 학습, 사용자 정의 IOA 또는 OverWatch2와 같은 다른 유형의 탐지에는 적용되지 않습니다.
CCFR-201 문제 2
프로세스 타임라인은 어떤 유형의 이벤트를 반환합니까?
정답: B
설명 Splunk 설치 및 구성 가이드 v3.1.5+용 CrowdStrike Falcon 장치 추가 기능에 따르면 프로세스 타임라인 검색은 프로세스 생성, 네트워크 연결, 파일 쓰기, 레지스트리 수정 등 지정된 프로세스와 관련된 모든 클라우드 가능 이벤트를 반환합니다1. 이를 통해 호스트1에서 프로세스가 수행한 작업에 대한 포괄적인 보기를 볼 수 있습니다.
CCFR-201 문제 3
이벤트 액션이란 무엇입니까?
정답: A
설명 Splunk 설치 및 구성 가이드 v3.1.5+용 CrowdStrike Falcon Devices 추가 기능에 따르면 이벤트 작업은 관련 이벤트와 검색 사이를 전환하는 데 사용할 수 있는 자동화된 검색입니다1. 이벤트 검색, 프로세스 타임라인, 호스트 타임라인 등 다양한 도구에서 사용할 수 있습니다1. 하나 이상의 이벤트를 선택하고 프로세스 타임라인 표시, 호스트 타임라인 표시, 관련 이벤트 데이터 표시, +/- 10분 이벤트 창 표시 등과 같은 다양한 작업을 수행할 수 있습니다1. 이러한 작업을 통해 이벤트를 보다 효율적이고 효과적으로 조사하고 분석할 수 있습니다1.
CCFR-201 문제 4
나중에 사용하기 위해 예방 해시를 저장하려는 경우 어떤 작업을 사용합니까?
정답: D
설명 Splunk용 CrowdStrike FDR(Falcon Data Replicator) 추가 기능 가이드에 따르면 항상 차단 작업을 사용하면 해시 값을 기반으로 파일이 조직의 모든 호스트에서 실행되는 것을 차단할 수 있습니다2. 이 작업을 사용하면 알려진 악성 파일이 엔드포인트에서 실행되는 것을 방지할 수 있습니다2.
CCFR-201 문제 5
IOC 관리를 통해 해시가 항상 차단으로 설정되면 어떻게 되나요?
정답: A
설명 Splunk용 CrowdStrike FDR(Falcon Data Replicator) 추가 기능 가이드에 따르면 IOC 관리를 사용하면 악성 활동과 관련된 해시, IP 주소 또는 도메인과 같은 아티팩트인 IOC(손상 표시기)를 관리할 수 있습니다2. 허용, 작업 없음, 항상 차단2 등 IOC에 대해 다양한 작업을 설정할 수 있습니다. IOC 관리를 통해 해시를 항상 차단으로 설정하면 기본적으로 해당 파일이 조직의 모든 호스트에서 실행되지 않습니다2. 이 작업은 파일이 차단될 때 감지 경고도 생성합니다2.
