Qu'est-ce que la certification CrowdStrike Certified Falcon Administrator (CCFA) ?
La certification CrowdStrike Certified Falcon Administrator (CCFA) est un titre qui valide la capacité à gérer la plateforme CrowdStrike Falcon®. Cette solution cloud native de protection des terminaux utilise l'intelligence artificielle et l'analyse comportementale pour détecter et prévenir les cyberattaques. La certification CrowdStrike CCFA est idéale pour l'administrateur ou tout analyste ayant accès au côté administratif de la plateforme Falcon.
Vous devez réussir un examen de 60 minutes pour obtenir la certification CCFA. L'examen évaluera vos connaissances, vos compétences et vos capacités à effectuer les tâches suivantes :
- Gestion efficace des utilisateurs
- Déploiement et gestion du capteur Falcon
- Configuration des politiques de déploiement et de prévention en fonction du risque métier
- Configuration des listes d'autorisation, des listes de blocage et des exclusions de chemin de fichier
- Réalisation de reporting administratif
L'examen de certification CrowdStrike Certified Falcon Administrator (CCFA) se compose de 50 questions à choix multiples et a une note de passage de 80 %.
À propos de l'examen
L'examen de certification CrowdStrike Certified Falcon Administrator (CCFA) dure 90 minutes et comporte 60 questions. Les questions sont claires et directes, sans formulation confuse, double négatif ou questions à remplir. L'examen a été soigneusement revu par des experts techniques et non techniques et passé par divers candidats.
Conditions préalables
Pour passer l'examen de certification CCFA, les candidats doivent avoir au moins six (6) mois d'expérience avec CrowdStrike Falcon dans un environnement de production. Les candidats doivent être capables de lire et de comprendre suffisamment bien l'anglais pour soutenir la compréhension. Les examens sont appropriés pour les anglophones non natifs.
Portée de l'examen
En règle générale, les sujets suivants sont susceptibles d'apparaître à l'examen, mais d'autres sujets connexes peuvent également être inclus dans des formats de livraison spécifiques :
- Gestion des utilisateurs
- Déploiement du capteur
- Gestion des hôtes
- Création de groupe
- Politiques de prévention
- Règles IOA personnalisées
- Politique de mise à jour du capteur
- Fichiers de quarantaine
- Gestion du CIO
- Politiques de confinement
- Exclusions
- Rapports
- Politique de réponse en temps réel/Journaux d'audit
- Clients et clés API
- Flux de travail des notifications
Objectifs de l'examen
Cet examen de certification CrowdStrike Certified Falcon Administrator (CCFA) est structuré selon les sous-thèmes et les objectifs d'apprentissage suivants :
GESTION DES UTILISATEURS
- DéterminerlesrôlesrequispouraccéderauxfonctionnalitésdelaconsoleFalcon
- Décrire les capacités et les limites de chaque rôle RTR
- Créer un nouvel utilisateur, supprimer et modifier un utilisateur, etc.
DÉPLOIEMENT DU CAPTEUR
- Analysez les exigences de pré-installation du système d'exploitation/réseau avant d'installer le capteur Falcon.
- Analyser les politiques par défaut et appliquer les meilleures pratiques pour préparer les charges de travail pour le capteur Falcon.
- Appliquez les paramètres appropriés pour installer avec succès un capteur Falcon sur Windows, Linux et macOS
- Appliquer les exigences d'installation de capteur de base et les processus d'installation
- Appliquer des options supplémentaires/avancées pour les images/VDI, les jetons et les balises
- Désinstaller un capteur
- Dépannage
- Reconnaître les problèmes liés aux exigences de configuration de base dans l'environnement système ou les composants Falcon
- Résoudre les paramètres de politique, les autorisations et les problèmes de seuil
- Effectuer une analyse des causes profondes liées aux problèmes système/utilisateur
GESTION DE L'HÔTE
- Proposer comment le filtrage pourrait être utilisé sur la page de gestion des hôtes
- Désactiver les détections pour un hôte
- Expliquer l'effet de la désactivation des détections sur un hôte
- Expliquer l'impact du mode de fonctionnalité réduite (RFM) et pourquoi cela pourrait être causé
- Trouver des hôtes dans RFM
- Trouver des capteurs inactifs
- Rappel de la durée de conservation des capteurs inactifs pour définir votre plan de sauvegarde des données.
- Déterminer quels rapports utiliser lors de la génération de rapports sur des informations relatives à un hôte.
- Expliquez l'importance de comprendre le délai de conservation des données Falcon Insight de votre entreprise.
CRÉATION DE GROUPE
- Déterminer l'affectation de groupe appropriée pour les terminaux et comprendre comment cela affecte l'application des politiques
- Décrire les types de politiques, les composants, les applications et le flux de travail
- Définir la priorité, les groupes et les meilleures pratiques
POLITIQUES DE PRÉVENTION
- Déterminer les paramètres de politique de prévention appropriés pour les terminaux et expliquer comment cela affecte la posture de sécurité
- Démontrer à quoi sert la politique par défaut et appliquer les meilleures pratiques lors de la configuration des politiques par défaut
- Configurer une politique de détection uniquement
- Expliquez ce qu'est l'apprentissage automatique "sur capteur" par rapport à "le cloud".
- Décrire ce que fait chacune des différentes options de définition des politiques
- Définir les paramètres AV NextGen
- Décrire ce que font les notifications de l'utilisateur final
- Attribuer une politique de prévention aux groupes et aux hôtes
- Expliquer ce que fait la préséance en matière de politiques de prévention
- Décrire les meilleures pratiques en matière de politique
RÈGLES IOA PERSONNALISÉES
- Créez des règles IOA personnalisées pour surveiller les comportements qui ne sont pas fondamentalement malveillants.
POLITIQUES DE MISE À JOUR DES CAPTEURS
- Déterminer les paramètres de politique de mise à jour du capteur appropriés et les paramètres généraux associés pour contrôler le processus de mise à jour
- Définir une politique mise à jour
- Démontrer à quoi sert la politique par défaut et appliquer les meilleures pratiques lors de la configuration des politiques par défaut
- Décrire ce que fait la mise à jour automatique
- Expliquer les politiques distinctes pour MAC/Win/*nix
- Expliquez où créer des versions visibles pour un seul capteur ou dans votre environnement
- Décrire ce que fait la priorité concernant les politiques de mise à jour des capteurs
FICHIERS DE QUARANTAINE
- Appliquer les options requises pour gérer les fichiers de quarantaine.
GESTION DU CIO
- Évaluer les paramètres IOC requis pour une posture de sécurité personnalisée et pour gérer les faux positifs.
POLITIQUE DE CONFINEMENT
- Configurez une liste d'autorisation des adresses IP appropriées pendant que le réseau est sous confinement en fonction des exigences du flux de travail de sécurité
- Décrire ce que fait une politique de confinement
- Le trafic réseau de la liste blanche afin qu'il puisse se connecter aux hôtes contenus
EXCLUSION
- Interpréter les exigences de l'entreprise pour permettre une activité de confiance, résoudre les faux positifs et résoudre les problèmes de performances
- Écrire une règle d'exclusion de fichiers efficace en utilisant la syntaxe glob
- Appliquer les exclusions de modèles de fichiers aux groupes
- Démontrer comment gérer les règles d'exclusion
RAPPORTS DE CAPTEUR
- Expliquer les différents types de rapports de capteurs et ce que chaque rapport fournit
- Expliquer quelles informations sont contenues dans le rapport de surveillance de la prévention de l'apprentissage automatique
- Expliquer quelles informations se trouvent dans le rapport de piste d'audit de l'interface utilisateur Falcon
- Expliquer quelles informations se trouvent dans la piste d'audit de l'API, la piste d'audit de la politique de prévention, les hachages de prévention, les rapports ignorés
- Expliquer quelles informations se trouvent dans le rapport de débogage de la politique de prévention
- Expliquez quelles informations un rapport de capteur Linux fournira
- Expliquez quelles informations un rapport de capteur Mac fournira
- Expliquer les différences entre les rapports de visibilité et de chasse
- Expliquer les informations affichées dans le rapport d'activité de connexion
- Expliquer les informations affichées dans le rapport d'activité de connexion à distance
- Expliquer les informations affichées sur le graphique d'accès à distance
- Expliquer les informations affichées sur l'hôte unique se connectant à la carte des pays
- Expliquer quelles informations peuvent être trouvées dans les rapports de visibilité
- Rédiger une règle d'alerte personnalisée efficace
POLITIQUE DE RÉPONSE EN TEMPS RÉEL / JOURNAUX D'AUDIT
- Appliquez des rôles et des paramètres de stratégie, et suivez et examinez les journaux d'audit RTR pour gérer l'activité des utilisateurs.
CLIENTS ET CLÉS API
- Gérer les clés API
FLUX DE NOTIFICATIONS
- Configurez des alertes personnalisées pour informer les individus des politiques, des détections et des incidents
Le dernier mot
Le programme de certification CrowdStrike Falcon® fournit aux professionnels les compétences et les connaissances nécessaires pour utiliser les derniers outils technologiques de détection et de réponse aux terminaux (EDR) et les renseignements sur les cybermenaces pour défendre leur organisation contre les cyberattaques sophistiquées. Le programme enseigne aux professionnels comment détecter, prévenir et arrêter les violations à l'aide de la plate-forme CrowdStrike Falcon®, une solution de protection des terminaux native dans le cloud.
Si vous souhaitez passer l'examen de certification CrowdStrike CCFA, nous ne pouvons vous aider à réussir l'examen qu'à votre première tentative. CBT Proxy aide les professionnels de l'informatique à atteindre leurs objectifs de certification depuis plus d'une décennie. Pour en savoir plus sur l'examen de certification CCFA et comment commencer, cliquez sur les options de chat ci-dessous, et l'un de nos guides vous contactera sous peu.