Comprendamos el programa de certificación CrowdStrike Certified Falcon Administrator (CCFA)

¿Qué es la Certificación CrowdStrike Certified Falcon Administrator (CCFA)?

La certificación CrowdStrike Certified Falcon Administrator (CCFA) es una credencial que valida la capacidad para administrar la plataforma CrowdStrike Falcon®. Esta solución de protección de endpoints nativa de la nube utiliza inteligencia artificial y análisis de comportamiento para detectar y prevenir ciberataques. La certificación CrowdStrike CCFA es ideal para administradores o analistas con acceso a la parte administrativa de la plataforma Falcon.

Para obtener la certificación CCFA, debe aprobar un examen de 60 minutos. El examen evaluará sus conocimientos, habilidades y capacidades para:

• Gestión eficaz de usuarios
• Implementación y gestión del sensor Falcon
• Configuración de políticas de implementación y prevención basadas en el riesgo empresarial
• Configuración de listas blancas, listas negras y exclusiones de rutas de archivo
• Elaboración de informes administrativos

El examen de certificación CrowdStrike Certified Falcon Administrator (CCFA) consta de 50 preguntas de opción múltiple y tiene una puntuación de aprobación del 80 %.

Acerca del examen

El examen de certificación CrowdStrike Certified Falcon Administrator (CCFA) tiene una duración de 90 minutos y consta de 60 preguntas. Las preguntas son claras y directas, sin redacción confusa, dobles negaciones ni preguntas que requieran completar espacios en blanco. El examen ha sido revisado cuidadosamente por expertos técnicos y no técnicos y ha sido realizado por varios candidatos.

Requisitos previos

Para realizar el examen de certificación CCFA, los candidatos deben tener al menos seis (6) meses de experiencia con CrowdStrike Falcon en un entorno de producción. Los candidatos deben poder leer y comprender el inglés lo suficiente como para facilitar la comprensión. Los exámenes son apropiados para hablantes no nativos de inglés.

Alcance del examen

Como guía general, es probable que los siguientes temas se incluyan en el examen, pero también pueden incluirse otros temas relacionados en formatos específicos:

• Gestión de usuarios
• Implementación de sensores
• Gestión de hosts
• Creación de grupos
• Políticas de prevención
• Reglas de IOA personalizadas
• Política de actualización de sensores
• Archivos de cuarentena
• Gestión de IOC
• Políticas de contención
• Exclusiones
• Informes
• Política de respuesta en tiempo real/Registros de auditoría
• Clientes y claves de API
• Flujo de trabajo de notificaciones

Objetivos del examen

Este examen de certificación CrowdStrike Certified Falcon Administrator (CCFA) se estructura según los siguientes subtemas y objetivos de aprendizaje:

GESTIÓN DE USUARIOS

• Determinar los roles necesarios para acceder a las características y funcionalidades de la consola Falcon
• Describir las capacidades y limitaciones de cada rol de RTR
• Crear un nuevo usuario, eliminarlo y editarlo, etc.

IMPLEMENTACIÓN DEL SENSOR

• Analice los requisitos de red y del sistema operativo previos a la instalación del sensor Falcon.
• Analice las políticas predeterminadas y aplique las mejores prácticas para preparar las cargas de trabajo para el sensor Falcon. - Aplicar la configuración adecuada para instalar correctamente un sensor Falcon en Windows, Linux y macOS
• Aplicar los requisitos básicos de instalación del sensor y los procesos de instalación
• Aplicar opciones adicionales/avanzadas para imágenes/VDI, tokens y etiquetas
• Desinstalar un sensor
• Solución de problemas
• Reconocer problemas con los requisitos básicos de configuración en el entorno del sistema o los componentes de Falcon
• Resolver problemas de configuración de políticas, permisos y umbrales
• Realizar análisis de causa raíz relacionados con problemas del sistema/usuario

ADMINISTRACIÓN DE HOST

• Proponer cómo se podría usar el filtrado en la página Administración de host

• Deshabilitar las detecciones para un host

• Explicar el efecto de deshabilitar las detecciones en un host

• Explicar el impacto del modo de funcionalidad reducida (RFM) y sus posibles causas

• Encontrar hosts en RFM

• Encontrar sensores inactivos

• Recordar cuánto tiempo se conservan los sensores inactivos para definir su plan de copia de seguridad de datos

• Determinar qué informes utilizar al generar informes sobre información relacionada con un host.

• Explicar la importancia de comprender el plazo de retención de datos de Falcon Insight de su empresa.

CREACIÓN DE GRUPOS

• Determinar la asignación de grupo adecuada para los endpoints y comprender cómo esto afecta la aplicación de políticas.
• Describir los tipos de políticas, componentes, aplicaciones y flujo de trabajo.
• Definir la precedencia, los grupos y las mejores prácticas.

POLÍTICAS DE PREVENCIÓN

• Determinar la configuración adecuada de la política de prevención para los endpoints y explicar cómo esto afecta la estrategia de seguridad.
• Demostrar para qué se utiliza la política predeterminada y aplicar las mejores prácticas al configurar políticas predeterminadas.
• Configurar una política de solo detección.
• Explicar qué es el aprendizaje automático "en el sensor" y "en la nube". - Describir la función de cada una de las diferentes opciones de configuración de políticas
• Definir la configuración de NextGen AV
• Describir la función de las notificaciones al usuario final
• Asignar una política de prevención a grupos y hosts
• Explicar la precedencia en las políticas de prevención
• Describir las prácticas recomendadas para las políticas

REGLAS DE IOA PERSONALIZADAS

• Crear reglas de IOA personalizadas para supervisar comportamientos que no sean fundamentalmente maliciosos.

POLÍTICAS DE ACTUALIZACIÓN DE SENSORES

• Determinar la configuración adecuada de la política de actualización de sensores y la configuración general relacionada para controlar el proceso de actualización.
• Definir una política de actualización.
• Demostrar para qué se utiliza la política predeterminada y aplicar las mejores prácticas al configurar políticas predeterminadas.
• Describir la función de la actualización automática.
• Explicar las políticas independientes para MAC/Win/*nix.
• Explicar dónde se pueden ver las versiones de compilación para un solo sensor o en todo el entorno.
• Describir la precedencia en las políticas de actualización de sensores.

ARCHIVOS EN CUARENTENA

• Aplicar las opciones necesarias para gestionar los archivos en cuarentena.

GESTIÓN DE IOC

• Evaluar la configuración de IOC necesaria para una estrategia de seguridad personalizada y para gestionar falsos positivos.

POLÍTICA DE CONTENCIÓN

• Configurar una lista de direcciones IP permitidas mientras la red está bajo contención, según los requisitos del flujo de trabajo de seguridad.
• Describir la función de una política de contención.
• Permitir el tráfico de red para que pueda conectarse a los hosts contenidos.

EXCLUSIONES

• Interpretar los requisitos del negocio para permitir la actividad confiable, resolver falsos positivos y solucionar problemas de rendimiento.
• Escribir una regla de exclusión de archivos eficaz utilizando la sintaxis glob.
• Aplicar exclusiones de patrones de archivo a grupos.
• Demostrar cómo administrar las reglas de exclusión.

INFORMES DE SENSORES

• Explicar los diferentes tipos de informes de sensores y qué proporciona cada uno.
• Explicar qué información contiene el Informe de Monitoreo de Prevención de Aprendizaje Automático.
• Explicar qué información contiene el Informe de Registro de Auditoría de la IU de Falcon.
• Explicar qué información contiene el Registro de Auditoría de la API, el Registro de Auditoría de la Política de Prevención, los Hashes de Prevención y los Informes Ignorados.
• Explicar qué información contiene el Informe de Depuración de la Política de Prevención.
• Explicar qué información contiene un Informe de Sensor de Linux. Proporcionar
• Explicar qué información proporcionará un informe de sensor de Mac
• Explicar las diferencias entre los informes de visibilidad y de búsqueda
• Explicar la información que se muestra en el informe de actividad de inicio de sesión
• Explicar la información que se muestra en el informe de actividad de inicio de sesión remoto
• Explicar la información que se muestra en el gráfico de acceso remoto
• Explicar la información que se muestra en el host único que se conecta al mapa de países
• Explicar qué información se puede encontrar en los informes de visibilidad
• Escribir una regla de alerta personalizada eficaz

POLÍTICA DE RESPUESTA EN TIEMPO REAL/REGISTROS DE AUDITORÍA

• Aplicar roles y configuraciones de políticas, y realizar un seguimiento y revisar los registros de auditoría de RTR para gestionar la actividad de los usuarios.

CLIENTES Y CLAVES API

• Administrar claves API

FLUJO DE TRABAJO DE NOTIFICACIONES

• Configurar alertas personalizadas para notificar a las personas sobre políticas, detecciones e incidentes

La última palabra

El programa de certificación CrowdStrike Falcon® proporciona a los profesionales las habilidades y el conocimiento necesarios para utilizar las herramientas tecnológicas más recientes de detección y respuesta de endpoints (EDR) e inteligencia sobre ciberamenazas para proteger a su organización contra ciberataques sofisticados. El programa enseña a los profesionales a detectar, prevenir y detener brechas de seguridad mediante la plataforma CrowdStrike Falcon®, una solución de protección de endpoints nativa de la nube.

Si desea realizar el examen de certificación CCFA de CrowdStrike, solo podemos ayudarle a aprobarlo en su primer intento. CBT Proxy ha ayudado a los profesionales de TI a alcanzar sus objetivos de certificación durante más de una década. Para obtener más información sobre el examen de certificación CCFA y cómo empezar, haga clic en las opciones de chat a continuación y uno de nuestros guías se pondrá en contacto con usted en breve.