
ベストな準備プランCCFA-200日本語試験2025年最新のCrowdStrike Certified Falcon Administrator無制限152問題
注目すべき時短になるCCFA-200日本語オールインワン試験ガイド
質問 # 62
カスタム IOA ルールはどの構文を使用して定義されますか?
- A. Glob
- B. Yara
- C. Regex
- D. PowerShell
正解:C
解説:
Regex guidelines https://falcon.crowdstrike.com/documentation/68/detection-and-prevention-policies#regex
質問 # 63
ホストのすべての検出を無効にするにはどうすればいいですか?
- A. 除外ルールを作成し、マシンまたはマシンのグループに適用します
- B. ホスト管理でホストを選択し、検出を無効にするオプションを選択します。
- C. 個々のホストですべての検出を無効にすることはできません。そうすると、ホストが危険にさらされることになります。
- D. サポートに連絡して、マシンのエージェント ID (AID) を伝えると、サポートがそれを顧客 ID (CID) の無効なホスト リストに追加します。
正解:B
解説:
The administrator can disable all detections for a host by selecting the host and then choosing the option to Disable Detections in the Host Management page. This will prevent the host from sending any detection events to the Falcon Cloud. The other options are either incorrect or not available. Reference: [CrowdStrike Falcon User Guide], page 32.
質問 # 64
Windows ホストが機能制限モード (RFM) になっている理由は何でしょうか?
- A. マイクロソフトのアップデートによりカーネルが変更される
- B. ホストの防止ポリシーの設定ミス
- C. ホストのインターネット接続が失われました
- D. センサー更新ポリシーが正しく構成されていません
正解:C
解説:
The likely reason your Windows host would be in Reduced Functionality Mode (RFM) is that the host lost internet connectivity. RFM is a mode that limits the sensor's functionality due to license expiration, network connectivity loss, or certificate validation failure. When a Windows sensor is in RFM, it will only provide basic prevention capabilities, such as blocking known malware hashes and preventing script execution from the %TEMP% directory. The sensor will not send any telemetry or detection events to the Falcon platform, and will not receive any policy or update changes from the Falcon cloud1. Losing internet connectivity is a common cause of RFM, as it prevents the sensor from communicating with the Falcon cloud. A misconfiguration in your prevention policy or sensor update policy will not cause RFM, as these policies are applied by the Falcon cloud and do not affect the sensor's license, network, or certificate status. Microsoft updates altering the kernel may cause compatibility issues with the sensor, but not RFM3.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike 3: How to Become a CrowdStrike Certified Falcon Administrator
質問 # 65
除外を保存したら、将来何を編集できますか?
- A. 除外が適用されている選択されたグループとホストのみを変更できます
- B. 除外パターンは変更できません
- C. 除外のすべての部分を変更できます
- D. 「検出/ブロック」および/または「ファイル抽出」のオプションのみ変更できます
正解:C
解説:
Once an exclusion is saved, all parts of the exclusion can be changed in the future. The administrator can edit an existing exclusion by selecting it from the Exclusions page and modifying any of its fields, such as pattern, type, option, group or host. The other options are either incorrect or not true of editing exclusions.
Reference: CrowdStrike Falcon User Guide, page 37.
質問 # 66
顧客 ID (CID) は次のどのシナリオで重要ですか?
- A. ホスト検索を実行するとき
- B. ユーザーアプリケーションでFalconコンソールにユーザーを追加するとき
- C. センサーのインストールプロセスを実行するとき
- D. APIキーを設定する場合
正解:C
解説:
The Customer ID (CID) is important in which of the following scenarios: when performing the sensor installation process and when setting up API keys. The CID is a unique identifier for your organization that is required for authenticating your sensor installation and communication with the Falcon cloud. You need to provide your CID when installing the Falcon sensor on a host, either by using a command-line parameter or by using the falconctl tool. The CID is also required for setting up API keys, which are used for accessing the Falcon platform programmatically via the Falcon APIs. You need to provide your CID when creating an API client and key in the API Clients and Keys page in the Falcon console.
References: : [Cybersecurity Resources | CrowdStrike]
質問 # 67
環境内のホストがネットワークに含まれている間、アクセスできる新しいパッチ サーバーが存在します。
サーバーの IP アドレスは静的であり、変更されません。これを可能にするために封じ込めポリシーを更新する最適な方法はどれですか?
- A. サーバーが属する /24 ネットワークの CIDR 表記を含む許可リストエントリを追加します。
- B. 個々のサーバーのMACアドレスの許可リストエントリを追加します
- C. 個々のサーバーのIPアドレスの許可リストエントリを追加します
- D. サーバーが属するホストグループを含む許可リストエントリを追加します
正解:C
解説:
The best approach to updating the Containment Policy to allow a new patch server that should be reachable while hosts in your environment are network contained is to add an allowlist entry for the individual server's IP address. An allowlist entry allows you to define a list of trusted IP addresses that can communicate with your contained hosts. This way, you can isolate a host from the network while still allowing it to access essential resources or services, such as a patch server. If the server's IP address is static and does not change, adding an individual IP address is more precise and secure than adding a host group or a network range2.
References: 2: Cybersecurity Resources | CrowdStrike
質問 # 68
次のどれが正規表現を使用して検出を作成したり、予防措置を講じたりしますか?
- A. 機械学習の除外
- B. カスタムIOA
- C. カスタムIOC
- D. センサーの可視性除外
正解:B
解説:
The option that uses regex to create a detection or take a preventative action is Custom IOA. A Custom IOA (indicator of attack) allows you to define custom rules for detecting or preventing suspicious behavior based on process execution, file write, network connection, or registry events. You can use regex syntax to create a Custom IOA rule that matches the event data that you want to monitor or block1.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike
質問 # 69
IOC 管理のハッシュに「アクションなし」オプションが割り当てられるのはいつですか?
- A. インジケーターをブロックリストに追加し、検出として表示します
- B. Falconコンソールには「アクションなし」というオプションはありません
- C. インジケーターを後で操作するために保存したいが、現時点ではブロックまたは許可したくない場合
- D. インジケーターを許可リストに追加し、検出しないようにします
正解:C
解説:
The No Action option can be assigned to a hash in IOC Management when you want to save the indicator for later action, but do not want to block or allow it at this time. This option will neither detect nor prevent the execution of the hash, but will keep it in the IOC list for future reference. The other options are either incorrect or not related to the No Action option. Reference: CrowdStrike Falcon User Guide, page 44.
質問 # 70
macOS システムに Falcon パッケージを手動でインストールする場合の正しい順序はどれですか?
- A. Falcon パッケージをインストールし、登録パッケージを介して Falcon Sensor を登録します。
- B. コマンドラインでFalcon Sensorを登録し、Falconパッケージをインストールします。
- C. Falcon パッケージをインストールし、コマンドライン経由で Falcon Sensor を登録します。
- D. 登録パッケージを介してFalcon Sensorを登録し、Falconパッケージをインストールします。
正解:C
解説:
The correct order for manually installing a Falcon Package on a macOS system is to install the Falcon package, then register the Falcon Sensor via command line. The Falcon package contains the sensor binary and the kernel extension, while the registration package contains the customer ID and the sensor group ID. The registration package is not required for macOS systems, as the registration information can be provided via command line after installing the Falcon package1.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike
質問 # 71
ユーザーがセンサーのインストールを開始すると、ログはどこにありますか?
- A. %LOCALAPPDATA%\ログ
- B. %SYSTEMROOT%\Logs
- C. % LOCALAPP D ATA%\Temp p
- D. %SYSTEMROOT%\Temp
正解:D
解説:
When a user initiates a sensor install, the logs can be found in %SYSTEMROOT%\Temp. This folder contains temporary files and folders created by the system or applications, including the sensor installation logs. The sensor installation logs have names that start with CSFalconContainer and end with .log, such as CSFalconContainer-2023-08-31_11-23-21.log. These logs can help you troubleshoot any issues or errors that may occur during the sensor installation process3.
References: 3: How to Become a CrowdStrike Certified Falcon Administrator
質問 # 72
機械学習防止監視レポートの目的は何ですか?
- A. アナリストが隔離されたすべてのアイテムを表示し、悪意が
ないと判断されたアイテムを解放するために使用するダッシュボードです。 - B. 管理者に機械学習の積極性設定と実際に隔離されたアイテムの数の概要を素早く提供するために設計されています。
- C. さまざまな機械学習防止設定に基づいて、環境内でブロックされるマルウェアを表示するように設計されています。
- D. 機械学習による予防策を確認するためのダッシュボードであり、アクティビティの急増や標的型攻撃の可能性を特定するために使用されます。
正解:C
解説:
Machine-Learning Prevention Monitoring dashboard: Use this dashboard to view malware that would have been blocked in your environment over the selected timeframe based on different Machine Learning Prevention settings (Cautious, Moderate, Aggressive or Extra Aggressive).
質問 # 73
デフォルト センサー ポリシーの目的は何ですか?
- A. 他のセンサー ポリシーが適用されていない場合は、「キャッチ オール」ポリシーとして機能します。
- B. サポートされている最も古いバージョンの Falcon Sensor を展開するメカニズム。
- C. すべてのセンサー設定をデフォルトにリセットするために使用されます。
- D. 展開前にセンサーの構成設定をテストします。
正解:A
解説:
The purpose of the Default Sensor Policy is that it acts as a "catch all" policy if no other Sensor Policies are applied. A Sensor Policy is a policy that defines the detection and prevention settings for the Falcon sensor on a host. You can create and assign custom Sensor Policies to different hosts or groups in your environment.
However, if a host is not assigned to a specific Sensor Policy, it will inherit the settings from the Default Sensor Policy. The Default Sensor Policy is a "catch-all" policy that is enabled by default and has the
"Malware Protection" feature turned on. You can modify the settings of the Default Sensor Policy, but you cannot delete or disable it1.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike
質問 # 74
インターネット接続が遅いホストに Falcon センサーをインストールしようとしていますが、20 分後にインストールが失敗します。20 分間のデフォルトのプロビジョニング ウィンドウをオーバーライドするには、次のどのパラメーターを使用できますか?
- A. ExtendedWindow=1
- B. Timeout=30
- C. ProvNoWait=1
- D. Timeout=0
正解:C
解説:
"ProvNoWait=1
The sensor does not abort installation if it can t connect to the CrowdStrike cloud within 20 minutes (10 minutes, in Falcon sensor version 6.21 and earlier). (By default, if the host can't contact our cloud, it will retry the connection for 20 minutes. After that, the host will automatically uninstall its sensor.)"
"ProvWaitTime=3600000
The sensor waits for 1 hour to connect to the CrowdStrike cloud when installing (the default is 20 minutes)."
質問 # 75
Falcon 管理者であるにもかかわらず、「ホストに接続」機能を使用してホストでのみ利用可能な追加情報を収集できないことがわかりました。この機能を使用するには、ユーザー アカウントにどのロールを追加する必要がありますか?
- A. リアルタイム レスポンダー
- B. ファルコン捜査官
- C. エンドポイント マネージャー
- D. 修復マネージャー
正解:A
解説:
The Real Time Responder role allows users to use the "Connect to Host" feature to gather additional information from the host, such as running processes, registry keys, files, etc. The other roles do not have this capability. Reference: CrowdStrike Falcon User Guide, page 18.
質問 # 76
特定のエンドポイントにインストールされているセンサーのバージョンを確認する方法ではないものはどれですか?
- A. センサーレポートを使用して特定のエンドポイントをフィルタリングする
- B. 調査 > ホスト検索を使用して特定のエンドポイントにフィルタリングします
- C. ホスト管理を使用して目的のエンドポイントを選択します。エージェントのバージョンは列と詳細に表示されます。
- D. コマンドラインからsc query csagent -versionコマンドを実行します。
正解:D
解説:
From a command line, running the sc query csagent -version command is not a way to determine the sensor version installed on a specific endpoint. This command will only show the status of the csagent service, not the sensor version. The other options are valid ways to determine the sensor version installed on a specific endpoint using Falcon UI or API. You can use the Sensor Report, the Host Search, or the Host Management features to filter, search, or select the desired endpoint and view the sensor version information12.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike 2: How to Become a CrowdStrike Certified Falcon Administrator
質問 # 77
次のフィルターのうち、ホスト管理ページで使用できないものはどれですか?
- A. ユーザー名
- B. OS バージョン
- C. ホスト名
- D. グループ
正解:A
解説:
Username is not an available filter on the Hosts Management page. The Hosts Management page allows you to view and manage all the hosts in your environment that have Falcon sensors installed. You can filter the hosts by hostname, group, OS version, sensor version, last seen date, health events, detections, and preventions. You can also perform actions such as assigning hosts to groups, updating sensor policies, uninstalling sensors, or isolating hosts1.
References: 1: Falcon Administrator Learning Path | Infographic | CrowdStrike
質問 # 78
アナリストは、以前に生成されたキーから API クライアント シークレットを取得するように求められます。どうすればこれを実現できるでしょうか?
- A. クライアントシークレット列を有効にして、APIクライアントシークレットを表示します。
- B. API クライアント シークレットは作成後に取得できません
- C. APIクライアントシークレットを確認するには、正確な名前を使用してAPIクライアントを再作成します。
- D. APIクライアントシークレットは、APIクライアント編集ポップアップボックスから確認できます。
正解:B
解説:
The API client secret cannot be retrieved after it has been created. The secret is only displayed once when the API client is created, and it cannot be viewed or edited later. Therefore, it is important to save the secret securely and use it along with the client ID to authenticate the API client. The other options are either incorrect or not possible. Reference: CrowdStrike Falcon User Guide, page 54.
質問 # 79
Windows/Mac/*nix ごとに個別のセンサー更新ポリシーを設定することが重要なのはなぜですか?
- A. ネットワークプロトコルはホストOSごとに異なります
- B. センサーの展開のテストと追跡を支援する
- C. 監査の要件です
- D. OSごとに特別な考慮事項がある場合があります
正解:D
解説:
https://www.crowdstrike.com/blog/tech-center/how-to-manage-policies-in-falcon/
質問 # 80
......
合格保証付きCCFA-200日本語問題集:https://jp.fast2test.com/CCFA-200-JPN-premium-file.html