WGU C845 Task 2: Evaluating Incident q6 q6 q6 q6 q6 q6
Response Operations & Defending Network
q6 q6 q6 q6 q6
Security | Latest 2026 Update with complete
q6 q6 q6 q6 q6 q6 q6
solutions.
q6
Task 2: Evaluating Incident Response Operations & Defending Network Security
q6 q6 q6 q6 q6 q6 q6 q6 q6
Information Systems Security - C845
q6 q6 q6 q6 q6
A. Evaluate the organization's response to q6 q6 q6 q6
the security incident.
q6 q6 q6
A1. Three Actions the Organization Took in Response to the
q6 q6 q6 q6 q6 q6 q6 q6 q6
Incident.
q6
1. Containment: The affected machine (10.1.1.45) was isolated from the network by q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
disabling its network port at 10:07.
q6 q6 q6 q6 q6 q6
2. Eradication & Recovery: The endpoint was restored from a backup at 13:45, and
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
antivirus (AV) scans were initiated on the HR subnet.
q6 q6 q6 q6 q6 q6 q6 q6 q6
3. Post-Incident Improvement: Antivirus definitions were updated across all endpoints on q6 q6 q6 q6 q6 q6 q6 q6 q6
the following day (06/25 at 08:30).
q6 q6 q6 q6 q6 q6
A2. Evaluation of Effectiveness Using a Recognized
q6 q6 q6 q6 q6 q6
Framework.
q6
Using the NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide) framework, the
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
effectiveness of these actions is evaluated as follows:
q6 q6 q6 q6 q6 q6 q6 q6
• Action 1 (Containment via Port Disable): Partially Effective. According to NIST,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
containment strategies should be chosen based on the potential for damage and the
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
need to preserve evidence. Disabling the switch port was a fast and effective way to
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
, immediately stop ongoing data exfiltration or command-and-control (C2) traffic, aligning
q6 q6 q6 q6 q6 q6 q6 q6 q6
with the goal of minimizing immediate impact. However, the IDS log shows lateral
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
movement via SMB from the infected host (10.1.1.45 to 10.1.2.10) at 10:45, which
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
occurred after the initial containment at 10:07. This indicates the containment was
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
either not fully effective on the first attempt or that a second, compromised host
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
existed. A more robust containment strategy is needed.
q6 q6 q6 q6 q6 q6 q6 q6
• Action 2 (Restoration from Backup & Subnet AV Scan): Effective for Recovery,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
Inadequate for Eradication. NIST emphasizes that eradication must ensure the malicious
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
content is completely removed. Restoring from a clean backup is a valid and effective
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
recovery tactic. Initiating AV scans on the HR subnet is a good eradication step to find
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
other potential infections. However, the procedure relies on "removing known threats,"
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
which may not catch polymorphic malware or new variants. The focus on the HR subnet,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
while logical, may have missed the lateral movement to the Finance subnet (10.1.2.10),
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
as shown in the IDS log.
q6 q6 q6 q6 q6 q6
• Action 3 (Organization-wide AV Update): Effective. This is a clear and effective post-
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
incident activity that aligns with the NIST "Post-Incident Activity" phase. By updating
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
definitions across all endpoints,the organization improves its defensiveposture against a
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
recurrence of the same threat, strengthening its preparedness for future incidents.
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
Response Operations & Defending Network
q6 q6 q6 q6 q6
Security | Latest 2026 Update with complete
q6 q6 q6 q6 q6 q6 q6
solutions.
q6
Task 2: Evaluating Incident Response Operations & Defending Network Security
q6 q6 q6 q6 q6 q6 q6 q6 q6
Information Systems Security - C845
q6 q6 q6 q6 q6
A. Evaluate the organization's response to q6 q6 q6 q6
the security incident.
q6 q6 q6
A1. Three Actions the Organization Took in Response to the
q6 q6 q6 q6 q6 q6 q6 q6 q6
Incident.
q6
1. Containment: The affected machine (10.1.1.45) was isolated from the network by q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
disabling its network port at 10:07.
q6 q6 q6 q6 q6 q6
2. Eradication & Recovery: The endpoint was restored from a backup at 13:45, and
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
antivirus (AV) scans were initiated on the HR subnet.
q6 q6 q6 q6 q6 q6 q6 q6 q6
3. Post-Incident Improvement: Antivirus definitions were updated across all endpoints on q6 q6 q6 q6 q6 q6 q6 q6 q6
the following day (06/25 at 08:30).
q6 q6 q6 q6 q6 q6
A2. Evaluation of Effectiveness Using a Recognized
q6 q6 q6 q6 q6 q6
Framework.
q6
Using the NIST SP 800-61 Rev. 2 (Computer Security Incident Handling Guide) framework, the
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
effectiveness of these actions is evaluated as follows:
q6 q6 q6 q6 q6 q6 q6 q6
• Action 1 (Containment via Port Disable): Partially Effective. According to NIST,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
containment strategies should be chosen based on the potential for damage and the
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
need to preserve evidence. Disabling the switch port was a fast and effective way to
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
, immediately stop ongoing data exfiltration or command-and-control (C2) traffic, aligning
q6 q6 q6 q6 q6 q6 q6 q6 q6
with the goal of minimizing immediate impact. However, the IDS log shows lateral
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
movement via SMB from the infected host (10.1.1.45 to 10.1.2.10) at 10:45, which
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
occurred after the initial containment at 10:07. This indicates the containment was
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
either not fully effective on the first attempt or that a second, compromised host
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
existed. A more robust containment strategy is needed.
q6 q6 q6 q6 q6 q6 q6 q6
• Action 2 (Restoration from Backup & Subnet AV Scan): Effective for Recovery,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
Inadequate for Eradication. NIST emphasizes that eradication must ensure the malicious
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
content is completely removed. Restoring from a clean backup is a valid and effective
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
recovery tactic. Initiating AV scans on the HR subnet is a good eradication step to find
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
other potential infections. However, the procedure relies on "removing known threats,"
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
which may not catch polymorphic malware or new variants. The focus on the HR subnet,
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
while logical, may have missed the lateral movement to the Finance subnet (10.1.2.10),
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
as shown in the IDS log.
q6 q6 q6 q6 q6 q6
• Action 3 (Organization-wide AV Update): Effective. This is a clear and effective post-
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
incident activity that aligns with the NIST "Post-Incident Activity" phase. By updating
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
definitions across all endpoints,the organization improves its defensiveposture against a
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
recurrence of the same threat, strengthening its preparedness for future incidents.
q6 q6 q6 q6 q6 q6 q6 q6 q6 q6 q6
