설명 Splunk용 CrowdStrike FDR(Falcon Data Replicator) 추가 기능 가이드에 따르면 조사 도구의 호스트 페이지를 사용하여 호스트 이름, IP 주소, OS, 센서 버전 등과 같은 엔드포인트에 대한 정보를 볼 수 있습니다2. 또한 네트워크를 통해 해당 엔드포인트와 통신한 다른 장치인 각 엔드포인트에 대한 관리형 및 비관리형 이웃 목록을 볼 수 있습니다2. 이를 통해 네트워크의 잠재적인 위협이나 취약성을 식별하는 데 도움이 될 수 있습니다2.
CCFR-201 문제 22
다음 중 무엇을 클릭하면 해시 검색과 같은 다양한 보기에서 프로세스 타임라인으로 이동할 수 있습니까?
정답: D
설명 Splunk 설치 및 구성 가이드 v3.1.5+용 CrowdStrike Falcon 장치 추가 기능에 따르면 프로세스 타임라인 도구를 사용하면 프로세스 생성, 네트워크 연결, 파일 쓰기, 레지스트리 수정 등 지정된 프로세스와 관련된 모든 클라우드 가능 이벤트를 볼 수 있습니다. , 등1. 이 도구에는 두 가지 매개변수(aid(에이전트 ID) 및 TargetProcessId_decimal(프로세스 ID의 10진수 값))1이 필요합니다. 해당 보기에서 프로세스 ID 또는 상위 프로세스 ID 필드를 클릭하면 해시 검색, 호스트 타임라인, 이벤트 검색 등과 같은 다양한 보기에서 프로세스 타임라인으로 이동할 수 있습니다1. 그러면 프로세스 타임라인 도구에 대한aid 및 TargetProcessId_decimal 매개변수가 자동으로 채워집니다1.
CCFR-201 문제 23
다음 중 IP 검색 도구에서 반환되는 것은 무엇입니까?
정답: A
설명 Splunk 설치 및 구성 가이드 v3.1.5+용 CrowdStrike Falcon 장치 추가 기능에 따르면 IP 검색 도구를 사용하면 IP 주소를 검색하고 해당 IP 주소가 포함된 Falcon 이벤트의 정보 요약을 볼 수 있습니다1. 요약에는 호스트 이름, 센서 ID, OS, 국가, 도시, ISP, ASN 및 해당 IP 주소와 통신한 호스트의 지리적 위치가 포함됩니다1.
