Comprendiamo il programma di certificazione CrowdStrike Certified Falcon Administrator (CCFA)

Cos'è la certificazione CrowdStrike Certified Falcon Administrator (CCFA)?

La certificazione CrowdStrike Certified Falcon Administrator (CCFA) è una credenziale che convalida la capacità di gestire la piattaforma CrowdStrike Falcon®. Questa soluzione di protezione degli endpoint cloud-native utilizza l'intelligenza artificiale e l'analisi comportamentale per rilevare e prevenire gli attacchi informatici. La certificazione CrowdStrike CCFA è ideale per gli amministratori o qualsiasi analista con accesso al lato amministrativo della piattaforma Falcon.

Per ottenere la certificazione CCFA è necessario superare un esame di 60 minuti. L'esame valuterà le tue conoscenze, competenze e capacità per svolgere le seguenti attività:

• Gestione efficace degli utenti
• Distribuzione e gestione del sensore Falcon
• Configurazione di policy di distribuzione e prevenzione basate sul rischio aziendale
• Configurazione di allowlist, blocklist ed esclusioni di percorsi file
• Esecuzione di report amministrativi

L'esame di certificazione CrowdStrike Certified Falcon Administrator (CCFA) consiste in 50 domande a risposta multipla e richiede un punteggio di superamento dell'80%.

Informazioni sull'esame

L'esame di certificazione CrowdStrike Certified Falcon Administrator (CCFA) dura 90 minuti e si compone di 60 domande. Le domande sono chiare e dirette, senza formulazioni confuse, doppie negazioni o domande a riempimento. L'esame è stato attentamente esaminato da esperti tecnici e non tecnici e sostenuto da diversi candidati.

Prerequisiti

Per sostenere l'esame di certificazione CCFA, i candidati devono avere almeno sei (6) mesi di esperienza con CrowdStrike Falcon in un ambiente di produzione. I candidati devono essere in grado di leggere e comprendere l'inglese sufficientemente bene da supportare la comprensione. Gli esami sono adatti anche a chi non è madrelingua inglese.

Ambito dell'esame

Come linea guida generale, è probabile che i seguenti argomenti siano presenti nell'esame, ma altri argomenti correlati potrebbero essere inclusi in formati di erogazione specifici:

• Gestione utenti
• Distribuzione dei sensori
• Gestione host
• Creazione di gruppi
• Criteri di prevenzione
• Regole IOA personalizzate
• Criteri di aggiornamento dei sensori
• File di quarantena
• Gestione IOC
• Criteri di contenimento
• Esclusioni
• Report
• Criteri di risposta in tempo reale/Registri di controllo
• Client e chiavi API
• Flusso di lavoro delle notifiche

Obiettivi dell'esame

Questo esame di certificazione CrowdStrike Certified Falcon Administrator (CCFA) è strutturato in base ai seguenti sottoargomenti e obiettivi di apprendimento:

GESTIONE UTENTI

• Determinare i ruoli richiesti per l'accesso alle funzionalità della console Falcon
• Descrivere le capacità e i limiti di ciascun RTR ruolo
• Creare un nuovo utente, eliminare e modificare un utente, ecc.

DISTRIBUZIONE DEL SENSORE

• Analizzare i requisiti di sistema operativo/rete pre-installazione prima di installare il sensore Falcon.
• Analizzare le policy predefinite e applicare le best practice per preparare i carichi di lavoro per il sensore Falcon.
• Applicare le impostazioni appropriate per installare correttamente un sensore Falcon su Windows, Linux e macOS
• Applicare i requisiti di installazione e i processi di installazione di base del sensore
• Applicare opzioni aggiuntive/avanzate per immagini/VDI, token e tag
• Disinstallare un sensore
• Risoluzione dei problemi
• Riconoscere i problemi con i requisiti di configurazione di base nell'ambiente di sistema o nei componenti Falcon
• Risolvere i problemi relativi a impostazioni dei criteri, autorizzazioni e soglie
• Eseguire l'analisi della causa principale relativa a problemi di sistema/utente

GESTIONE HOST

• Proporre come potrebbe essere utilizzato il filtro nella pagina Gestione host
• Disabilitare i rilevamenti per un host
• Spiegare l'effetto della disabilitazione dei rilevamenti su un host
• Spiegare l'impatto della modalità a funzionalità ridotta (RFM) e perché potrebbe essere causata
• Trovare gli host in RFM
• Trovare i sensori inattivi
• Ricordare per quanto tempo vengono conservati i sensori inattivi per definire il piano di backup dei dati.
• Determinare quali report utilizzare per la creazione di report sulle informazioni relative a un host.
• Spiegare l'importanza di comprendere i tempi di conservazione dei dati di Falcon Insight della propria azienda.

CREAZIONE DI GRUPPI

• Determinare l'assegnazione di gruppo appropriata per gli endpoint e comprendere come ciò influisce sull'applicazione delle policy
• Descrivere i tipi di policy, i componenti, le applicazioni e il flusso di lavoro
• Definire le precedenze, i gruppi e le best practice

POLICY DI PREVENZIONE

• Determinare le impostazioni appropriate della policy di prevenzione per gli endpoint e spiegare come ciò influisce sulla sicurezza
• Illustrare a cosa serve la policy predefinita e applicare le best practice durante la configurazione delle policy predefinite
• Configurare una policy di solo rilevamento
• Spiegare in cosa consiste il Machine Learning "sul sensore" e "nel cloud".
• Descrivere la funzione di ciascuna delle diverse opzioni di impostazione dei criteri
• Definire le impostazioni AV di nuova generazione
• Descrivere la funzione delle notifiche utente finale
• Assegnare un criterio di prevenzione a gruppi e host
• Spiegare il ruolo della precedenza nei criteri di prevenzione
• Descrivere le best practice per i criteri

REGOLE IOA PERSONALIZZATE

• Creare regole IOA personalizzate per monitorare comportamenti che non siano fondamentalmente dannosi

POLITICHE DI AGGIORNAMENTO DEI SENSORI

• Determinare le impostazioni appropriate per le policy di aggiornamento dei sensori e le relative impostazioni generali per controllare il processo di aggiornamento
• Definire una policy aggiornata
• Illustrare a cosa serve la policy predefinita e applicare le best practice durante la configurazione delle policy predefinite
• Descrivere la funzione dell'aggiornamento automatico
• Spiegare policy separate per MAC/Win/*nix
• Spiegare dove sono visibili le versioni build per un singolo sensore o nell'intero ambiente
• Descrivere il significato della precedenza per le policy di aggiornamento dei sensori

FILE DI QUARANTENA

• Applicare le opzioni necessarie per gestire i file di quarantena

GESTIONE IOC

• Valutare le impostazioni IOC necessarie per un atteggiamento di sicurezza personalizzato e per gestire i falsi positivi

POLITICA DI CONTENIMENTO

• Configurare una lista consentita degli indirizzi IP appropriati mentre la rete è sotto contenimento in base ai requisiti del flusso di lavoro di sicurezza
• Descrivere la funzione di una politica di contenimento
• Inserire nella lista consentita il traffico di rete in modo che possa connettersi agli host contenuti

ESCLUSIONI

• Interpretare i requisiti aziendali per consentire attività attendibili, risolvere falsi positivi e risolvere problemi di prestazioni
• Scrivere una regola di esclusione file efficace utilizzando la sintassi glob
• Applicare le esclusioni dei pattern di file ai gruppi
• Dimostrare come gestire le regole di esclusione

REPORT DEI SENSORI

• Spiegare i diversi tipi di report dei sensori e cosa fornisce ogni report
• Spiegare quali informazioni sono contenute nel report di monitoraggio della prevenzione tramite apprendimento automatico
• Spiegare quali informazioni sono presenti nel report di audit trail dell'interfaccia utente di Falcon
• Spiegare quali informazioni sono presenti nell'audit trail dell'API, nell'audit trail della politica di prevenzione, negli hash di prevenzione e nei report ignorati
• Spiegare quali informazioni sono presenti nel report di debug della politica di prevenzione
• Spiegare quali informazioni Un report sui sensori Linux fornirà
• Spiegare quali informazioni fornirà un report sui sensori Mac
• Spiegare le differenze tra i report sulla visibilità e quelli sulla ricerca
• Spiegare le informazioni mostrate nel report sulle attività di accesso
• Spiegare le informazioni mostrate nel report sulle attività di accesso remoto
• Spiegare le informazioni mostrate nel grafico di accesso remoto
• Spiegare le informazioni mostrate sull'host univoco che si connette alla mappa dei paesi
• Spiegare quali informazioni sono disponibili nei report sulla visibilità
• Scrivere una regola di avviso personalizzata efficace

REGISTRI DI CONTROLLO/CRITERI DI RISPOSTA IN TEMPO REALE

• Applicare ruoli e impostazioni dei criteri e monitorare e rivedere i registri di controllo RTR per gestire l'attività degli utenti.

CLIENT E CHIAVI API

• Gestisci le chiavi API

FLUSSO DI NOTIFICA

• Configura avvisi personalizzati per informare i singoli utenti su policy, rilevamenti e incidenti

L'ultima parola

Il programma di certificazione CrowdStrike Falcon® fornisce ai professionisti le competenze e le conoscenze necessarie per utilizzare i più recenti strumenti tecnologici di rilevamento e risposta agli endpoint (EDR) e l'intelligence sulle minacce informatiche per difendere la propria organizzazione da attacchi informatici sofisticati. Il programma insegna ai professionisti come rilevare, prevenire e bloccare le violazioni utilizzando la piattaforma CrowdStrike Falcon®, una soluzione di protezione degli endpoint cloud-native.

Se desideri sostenere l'esame di certificazione CCFA di CrowdStrike, possiamo aiutarti a superarlo solo al primo tentativo. CBT Proxy aiuta i professionisti IT a raggiungere i loro obiettivi di certificazione da oltre un decennio. Per saperne di più sull'esame di certificazione CCFA e su come iniziare, clicca sulle opzioni di chat qui sotto e una delle nostre guide ti contatterà a breve.