Comprendre le programme de certification CrowdStrike Certified Falcon Administrator (CCFA)

Qu'est-ce que la certification CrowdStrike Certified Falcon Administrator (CCFA) ?

La certification CrowdStrike Certified Falcon Administrator (CCFA) atteste de votre capacité à gérer la plateforme CrowdStrike Falcon®. Cette solution de protection des terminaux native du cloud utilise l'intelligence artificielle et l'analyse comportementale pour détecter et prévenir les cyberattaques. La certification CrowdStrike CCFA est idéale pour les administrateurs et les analystes ayant accès à l'interface d'administration de la plateforme Falcon.

Pour obtenir la certification CCFA, vous devez réussir un examen de 60 minutes. Cet examen évaluera vos connaissances, vos compétences et votre capacité à effectuer les opérations suivantes :

• Gestion efficace des utilisateurs
• Déploiement et gestion du capteur Falcon
• Configuration des politiques de déploiement et de prévention en fonction des risques métier
• Configuration des listes blanches, des listes noires et des exclusions de chemins de fichiers
• Production de rapports d'administration

L'examen de certification CrowdStrike Certified Falcon Administrator (CCFA) comporte 50 questions à choix multiples et le score de réussite est de 80 %.

À propos de l'examen

L'examen de certification CrowdStrike Certified Falcon Administrator (CCFA) dure 90 minutes et comporte 60 questions. Les questions sont claires et directes, sans formulation ambiguë, sans double négation ni questions à trous. L'examen a été soigneusement revu par des experts techniques et non techniques et passé par de nombreux candidats.

Prérequis

Pour passer l'examen de certification CCFA, les candidats doivent justifier d'au moins six (6) mois d'expérience avec CrowdStrike Falcon en environnement de production. Ils doivent également posséder un niveau d'anglais suffisant pour comprendre les questions. L'examen est adapté aux personnes dont l'anglais n'est pas la langue maternelle.

Contenu de l'examen

De manière générale, les sujets suivants sont susceptibles d'être abordés lors de l'examen. D'autres sujets connexes peuvent également être inclus dans certains formats de passation :

• Gestion des utilisateurs

• Déploiement des capteurs

• Gestion des hôtes

• Création de groupes

• Politiques de prévention

• Règles IOA personnalisées

• Politique de mise à jour des capteurs

• Fichiers de quarantaine

• Gestion des indicateurs de compromission (IOC)

• Politiques de confinement

• Exclusions

• Rapports

• Politique de réponse en temps réel/Journaux d'audit

• Clients et clés API

• Flux de notification

Objectifs de l'examen

Cet examen de certification CrowdStrike Certified Falcon Administrator (CCFA) est structuré selon les sous-thèmes et objectifs d'apprentissage suivants :

GESTION DES UTILISATEURS

• Déterminer les rôles requis pour accéder aux fonctionnalités de la console Falcon

• Décrire les capacités et les limitations de chaque rôle RTR

• Créer un utilisateur, supprimer et modifier un utilisateur, etc.

CAPTEUR DÉPLOIEMENT

• Analyser la configuration système et réseau requise avant l'installation du capteur Falcon.

• Analyser les politiques par défaut et appliquer les bonnes pratiques pour préparer les charges de travail au capteur Falcon. - Appliquer les paramètres appropriés pour installer un capteur Falcon sous Windows, Linux et macOS.

• Appliquer les exigences et les processus d'installation de base du capteur.

• Appliquer les options supplémentaires/avancées pour les images/VDI, les jetons et les étiquettes.

• Désinstaller un capteur.

• Dépannage.

• Identifier les problèmes liés aux exigences de configuration de base dans l'environnement système ou les composants Falcon.

• Résoudre les problèmes de paramètres de stratégie, d'autorisations et de seuils.

• Effectuer une analyse des causes profondes des problèmes système/utilisateur.

GESTION DES HÔTES

• Proposer une utilisation du filtrage sur la page Gestion des hôtes.

• Désactiver la détection pour un hôte.

• Expliquer l'effet de la désactivation de la détection sur un hôte.

• Expliquer l'impact du mode de fonctionnalités réduites (RFM) et ses causes possibles.

• Rechercher les hôtes en RFM.

• Rechercher les capteurs inactifs.

• Se rappeler la durée de conservation des capteurs inactifs pour définir votre plan de sauvegarde des données.

• Déterminer les rapports à utiliser pour la génération d'informations relatives à un hôte. - Expliquez l'importance de comprendre la durée de conservation des données Falcon Insight de votre entreprise.

CRÉATION DE GROUPES

• Déterminez l'attribution de groupe appropriée pour les terminaux et comprenez son impact sur l'application des politiques.

• Décrivez les types de politiques, leurs composants, leurs applications et le flux de travail.

• Définissez la priorité, les groupes et les bonnes pratiques.

POLITIQUES DE PRÉVENTION

• Déterminez les paramètres de politique de prévention appropriés pour les terminaux et expliquez leur impact sur la sécurité.

• Démontrez l'utilité de la politique par défaut et appliquez les bonnes pratiques lors de sa configuration.

• Configurez une politique de détection uniquement.

• Expliquez la différence entre l'apprentissage automatique « sur capteur » et « dans le cloud ». - Décrire le rôle de chaque option de configuration de stratégie

• Définir les paramètres NextGen AV

• Décrire le rôle des notifications utilisateur

• Attribuer une stratégie de prévention aux groupes et aux hôtes

• Expliquer le rôle de la priorité dans les stratégies de prévention

• Décrire les bonnes pratiques en matière de stratégies

RÈGLES IOA PERSONNALISÉES

• Créer des règles IOA personnalisées pour surveiller les comportements non malveillants

POLITIQUES DE MISE À JOUR DES CAPTEURS

• Déterminer les paramètres de stratégie de mise à jour des capteurs et les paramètres généraux associés pour contrôler le processus de mise à jour

• Définir une stratégie de mise à jour

• Démontrer l'utilité de la stratégie par défaut et appliquer les bonnes pratiques lors de sa configuration

• Décrire le rôle de la mise à jour automatique

• Expliquer les stratégies distinctes pour MAC/Win/*nix

• Expliquer où les versions de compilation sont visibles pour un capteur unique ou pour l'ensemble de l'environnement

• Décrire le rôle de la priorité dans les stratégies de mise à jour des capteurs

FICHIERS EN QUARANTAINE

• Appliquer les options nécessaires à la gestion des fichiers en quarantaine

GESTION DES IOC

• Évaluer les paramètres des IOC nécessaires à une posture de sécurité personnalisée et à la gestion des faux positifs.

POLITIQUE DE CONFINEMENT

• Configurer une liste blanche d'adresses IP appropriées lorsque le réseau est confiné, en fonction des exigences du flux de travail de sécurité.

• Décrire le fonctionnement d'une politique de confinement.

• Autoriser le trafic réseau à se connecter aux hôtes confinés.

EXCLUSIONS

• Interpréter les exigences métier pour autoriser les activités de confiance, résoudre les faux positifs et corriger les problèmes de performance.

• Rédiger une règle d'exclusion de fichiers efficace à l'aide de la syntaxe glob.

• Appliquer des exclusions de modèles de fichiers à des groupes.

• Démontrer comment gérer les règles d'exclusion.

RAPPORTS DE CAPTEURS

• Expliquer les différents types de rapports de capteurs et leur contenu.

• Expliquer les informations contenues dans le rapport de surveillance de la prévention de l'apprentissage automatique.

• Expliquer les informations contenues dans le rapport d'audit de l'interface utilisateur Falcon.

• Expliquer les informations contenues dans l'audit de l'API, l'audit de la politique de prévention, les hachages de prévention et les rapports ignorés.

• Expliquer les informations contenues dans le rapport de débogage de la politique de prévention.

• Expliquer les informations fournies par un rapport de capteur Linux. Expliquez les informations fournies par un rapport de capteur MAC.

• Expliquez les différences entre les rapports de visibilité et de recherche.

• Expliquez les informations affichées dans le rapport d'activité de connexion.

• Expliquez les informations affichées dans le rapport d'activité de connexion à distance.

• Expliquez les informations affichées sur le graphique d'accès à distance.

• Expliquez les informations affichées sur l'hôte unique se connectant à la carte des pays.

• Expliquez les informations disponibles dans les rapports de visibilité.

• Rédigez une règle d'alerte personnalisée efficace.

STRATÉGIE DE RÉPONSE EN TEMPS RÉEL / JOURNAUX D'AUDIT

• Appliquez les rôles et les paramètres de stratégie, et suivez et examinez les journaux d'audit RTR pour gérer l'activité des utilisateurs.

CLIENTS ET CLÉS API

• Gérer les clés API

FLUX DE NOTIFICATIONS

• Configurer des alertes personnalisées pour informer les utilisateurs des politiques, des détections et des incidents

Conclusion

Le programme de certification CrowdStrike Falcon® permet aux professionnels d'acquérir les compétences et les connaissances nécessaires pour utiliser les outils technologiques de détection et de réponse aux incidents (EDR) les plus récents, ainsi que le renseignement sur les cybermenaces, afin de protéger leur organisation contre les cyberattaques sophistiquées. Ce programme enseigne aux professionnels comment détecter, prévenir et stopper les violations de données grâce à la plateforme CrowdStrike Falcon®, une solution de protection des terminaux native du cloud.

Si vous souhaitez passer l'examen de certification CrowdStrike CCFA, nous pouvons vous aider à le réussir dès votre première tentative. CBT Proxy accompagne les professionnels de l'informatique dans l'obtention de leurs certifications depuis plus de dix ans. Pour en savoir plus sur l'examen de certification CCFA et comment vous y préparer, cliquez sur les options de chat ci-dessous ; un de nos conseillers vous contactera prochainement.