WGU C845 Task 2: Evaluating Incident Response Operations & Defending Network Security | Latest 2026 Update with complete solutions.

WGU C845 Task 2: Evaluating Incident m1 m1 m1 m1 m1 m1




Response Operations & Defending Network
m1 m1 m1 m1 m1




Security | Latest 2026 Update with complete
m1 m1 m1 m1 m1 m1 m1




solutions.
m1




Task 2: Evaluating Incident Response Operations & Defending Network Security
m1 m1 m1 m1 m1 m1 m1 m1 m1




Information Systems Security - C845
m1 m1 m1 m1 m1




A. Evaluate the organization's response to m1 m1 m1 m1




the security incident.
m1 m1 m1




A1. Three Actions the Organization Took in Response to
m1 m1 m1 m1 m1 m1 m1 m1




the Incident.
m1 m1




1. Containment: The affected machine (10.1.1.45) was isolated from the network by m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




disabling its network port at 10:07.
m1 m1 m1 m1 m1 m1




2. Eradication & Recovery: The endpoint was restored from a backup at 13:45, and
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




antivirus (AV) scans were initiated on the HR subnet.
m1 m1 m1 m1 m1 m1 m1 m1 m1




3. Post-Incident Improvement: Antivirus definitions were updated across all endpoints on
m1 m1 m1 m1 m1 m1 m1 m1 m1




the following day (06/25 at 08:30).
m1 m1 m1 m1 m1 m1




A2. Evaluation of Effectiveness Using a Recognized
m1 m1 m1 m1 m1 m1




Framework.
m1




Using the NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide) framework, the
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




effectiveness of these actions is evaluated as follows:
m1 m1 m1 m1 m1 m1 m1 m1




• Action 1 (Containment via Port Disable): Partially Effective. According to NIST,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




containment strategies should be chosen based on the potential for damage and the
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




need to preserve evidence. Disabling the switch port was a fast and effective way
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




to
m1

, immediately stop ongoing data exfiltration or command-and-control (C2) traffic, aligning
m1 m1 m1 m1 m1 m1 m1 m1 m1




with the goal of minimizing immediate impact. However, the IDS log shows lateral
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




movement via SMB from the infected host (10.1.1.45 to 10.1.2.10) at 10:45, which
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




occurred after the initial containment at 10:07. This indicates the containment was
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




either not fully effective on the first attempt or that a second, compromised host
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




existed. A more robust containment strategy is needed.
m1 m1 m1 m1 m1 m1 m1 m1




• Action 2 (Restoration from Backup & Subnet AV Scan): Effective for Recovery,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




Inadequate for Eradication. NIST emphasizes that eradication must ensure the malicious
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




content is completely removed. Restoring from a clean backup is a valid and effective
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




recovery tactic. Initiating AV scans on the HR subnet is a good eradication step to find
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




other potential infections. However, the procedure relies on "removing known threats,"
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




which may not catch polymorphic malware or new variants. The focus on the HR subnet,
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




while logical, may have missed the lateral movement to the Finance subnet
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




(10.1.2.10), as shown in the IDS log.
m1 m1 m1 m1 m1 m1 m1




• Action 3 (Organization-wide AV Update): Effective. This is a clear and effective post-
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




incident activity that aligns with the NIST "Post-Incident Activity" phase. By updating
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




definitions across all endpoints, the organization improves its defensive posture against
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1




a recurrence of the same threat, strengthening its preparedness for future incidents.
m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1 m1