按需提供 VMware 5V0-93.22 问题和练习测试 [Q26-Q44]

Q26. 哪条命令用于立即终止当前的实时响应会话？

杀死

detach -q

删去

execfg

Q27. 发现一个基于脚本的攻击对公司系统造成了破坏。安全管理员发现恶意软件被编码到 Excel VBA 中，并希望执行搜索以进一步检查该事件。
可以在 VMware Carbon Black Cloud Endpoint Standard 控制台的哪个位置完成此操作？

终点

设置

调查

警报

Q28. 哪种说法能准确描述被归类为 "威胁 "的警报与被归类为
"观察"？

"威胁 "表示攻击正在进行中。"观察 "表示攻击已经结束，正在被监视。

"威胁 "表示恶意事件的可能性较大。"观察到的 "表示恶意事件的可能性较小。

"威胁 "表示发生了阻塞（拒绝或终止）。"观察到 "表示没有阻塞。

"威胁 "表示未发生阻塞（拒绝或终止）。"观察到 "表示发生了阻塞。

Q29. 管理员发现传感器的本地防病毒签名已过期。
这对新发现的文件有什么影响？

声誉由云声誉决定。

传感器会提示最终用户允许或拒绝该文件。

传感器会自动阻止新文件。

传感器无法阻止恶意文件。

Q30. 一个组织允许使用应用程序.exe 的要求如下：
不得用于任何用户的 D: 硬盘
必须只允许从用户的 TempAllowed 目录内运行必须不允许从 TempAllowed 以外的任何地方运行例如，在一个用户的机器上，路径是 C:UsersLorieTempAllowedapplication.exe。
使用通配符，哪条路径符合这一标准？

C:Users?TempAllowedapplication.exe

C:Users*TempAllowedapplication.exe

*:Users**TempAllowedapplication.exe

*:Users*TempAllowedapplication.exe

Q31. 当在受管端点上发现特定战术、技术或程序 (TTP) 时，管理员希望得到通知。
管理员必须配置哪个通知选项才能接收此通知？

选择 "观察到的 "选项时越过临界值的警报

包括具体 TTPs 的警报

警示观察列表中的点击

选择 "拒绝 "选项时执行的政策措施

Q32. 管理员希望通过路径而不是声誉来阻止应用程序。已经采取了以下步骤：
转到 "执行">"策略">"选择所需的策略>"。
还必须采取哪些步骤才能完成任务？

单击执行 > 添加应用程序路径名

向下滚动到权限部分 > 单击添加应用程序路径 > 输入所需应用程序的路径

向下滚动到 "封锁和隔离 "部分 > 点击所需 "声誉 "的 "编辑"（铅笔图标

向下滚动到 "阻止和隔离 "部分 > 单击 "添加应用程序路径"> 输入所需应用程序的路径

Q33. 当在受管端点上发现特定战术、技术或程序 (TTP) 时，管理员希望得到通知。
管理员必须配置哪个通知选项才能接收此通知？

选择 "观察到的 "选项时越过临界值的警报

包括具体 TTPs 的警报

警示观察列表中的点击

选择 "拒绝 "选项时执行的政策措施

Q34. 管理员需要使用 ID 在 Carbon Black Cloud 中搜索和调查安全事件。
为此可以使用哪三个 ID？(选择三个）。

威胁

散列

传感器

活动

用户

警报

Q35. 除非绝对必要，否则不建议在查询中使用前导通配符，因为它们会对搜索性能造成严重影响。
什么是前导通配符的示例？

filemod:system32/ntdll.dll

filemod:system32/*ntdll.dll

filemod:*/system32/ntdll.dll

filemod:system32/ntdll.dll*

Q36. 在环境中设置策略规则时，管理员希望主动知道某些内容可能会被阻止。
如何获得这些信息？

使用测试规则功能搜索数据。
B 检查日志文件，查看哪些内容会受到影响

输入规则，看看端点会发生什么变化。
D 根据以前使用的杀毒软件确定会发生什么情况

Q37. VMware Carbon Black Cloud Endpoint Standard 有哪些安全优势？

可用于收集环境信息的灵活查询调度程序

对整个攻击链的可见性和可定制的威胁情报，可用于深入了解问题所在

可插入单一代理和单一控制台的可定制威胁源

选择所需操作尝试旁边的测试规则，即可测试政策规则

Q38. 管理员需要为 macOS 和 Linux 传感器配置策略，而不是启用仅适用于 Windows 的设置。
哪三种设置只适用于 Windows 操作系统上的传感器？(请选择三个）。

延迟执行云扫描

允许用户禁用保护

提交未知二进制文件以供分析

快速背景扫描

扫描网络驱动器
F 需要代码才能卸载传感器

Q39. 管理员的任务是根据信誉列表中的最高可用优先级为公司关键应用程序创建信誉覆盖。VMware Carbon Black 已经知道该公司关键应用程序。
管理员必须使用哪种声誉覆盖方法？

签名证书

散列

当地批准

IT 工具

Q40. VMware Carbon Black 传感器使用哪个端口与 VMware Carbon Black Cloud 通信？

443

80

8443

22

Q41. 管理员需要全面分析存储在 VMware Carbon Black Cloud 中的事件的相关信息。
在哪一页可以找到这些信息？

执行

调查

实时查询

库存

Q42. 管理员确定以下规则是导致意外阻止的原因：
[疑似恶意软件] [调用命令解释器] [终止进程] 被阻止的进程的所有声誉都显示为 SUSPECT_MALWARE。
传感器在决定终止流程时使用了哪种声誉？

初始云声誉

已采取行动的声誉

当前的云声誉

有效的声誉

Q43. 管理员解除了一组警报，并勾选了 "在所有策略中的所有设备上解除此警报的未来实例 "复选框。还配置了一个通知，每当出现相同严重性的警报时，就会向管理员发送电子邮件。第二天，一个新警报被添加到同一组警报中。
如何处理这一警报？

当在 "警报 "页面上选择 "已解散 "过滤器时，警报就会显示，并发送通知电子邮件。

在 "警报 "页面选择 "已解除 "过滤器时，警报将显示，但不会发送通知邮件。

当在 "警报 "页面选择 "未驳回 "过滤器时，警报就会显示，并发送通知邮件。

在 "警报 "页面选择 "未驳回 "过滤器时，警报将显示，但不会发送通知邮件。

Q44. 管理员需要在 VMware Carbon Black Cloud 控制台中将应用程序添加到批准列表。
为此可以使用哪两种不同的方法？(请选择两种）。

MD5 哈希值

签名证书

应用路径

应用名称

IT 工具

说明
VMware Carbon Black Cloud Endpoint Standard 允许管理员将应用程序添加到 "批准列表"，该列表批准指定应用程序在端点上的存在和操作。添加到 "已批准列表 "的效果是全局性的，适用于附加到应用程序特定版本的所有策略。有两种不同的方法可用于将应用程序添加到 "已批准列表"：通过签名证书或应用程序路径。
通过签署证书：此方法允许管理员批准由特定证书颁发机构 (CA) 或签名者签名的文件。例如，如果管理员想批准由 Google Inc 签名的所有文件，可将签名者名称和 CA 名称添加到已批准列表中。这种方法对于审批经常更新或具有动态名称或路径的文件非常有用。
不过，管理员在使用通配符或批准来自不可信来源的证书时应小心谨慎，因为这可能导致偶然批准看似由可信 CA 或签名者签名的恶意软件。
按应用路径：此方法允许管理员批准位于端点上特定路径中的文件。例如，如果管理员要批准一个安装在 C:\Program Files\Custom Application\ 中的自定义应用程序，他们可以将路径和文件名添加到已批准列表中。这种方法对于批准端点上有固定名称和位置的文件非常有用。不过，管理员应注意，这种方法无法顾及应用程序的新版本，因此应定期更新 "已批准列表 "以反映更改。
管理员也可以使用通配符针对某些文件或目录，但应尽可能具体，以避免批准不需要的文件。
其他选项不是将应用程序添加到已批准列表的有效方法。MD5 哈希值是将文件添加到 "禁止列表 "的一种方法，可通过哈希值阻止特定文件在端点上运行。应用程序名称是一种创建权限规则的方法，它只允许或拒绝应用程序在特定设备上的存在和操作。IT 工具不是一种方法，而是建议添加到 "批准列表 "的应用程序类别，如软件部署工具、可执行安装程序、集成开发环境、编译器或脚本编辑器。参考资料：添加到批准列表，端点标准：如何将证书添加到批准列表，端点标准：如何在批准/禁用列表中添加 SHA256 哈希值

發佈留言 取消回覆

發佈留言取消回覆