让我们了解 CrowdStrike 认证 Falcon 管理员 (CCFA) 认证计划

什么是 CrowdStrike 认证 Falcon 管理员 (CCFA) 认证？

CrowdStrike 认证 Falcon 管理员 (CCFA) 认证是一项资质证书，用于验证您管理 CrowdStrike Falcon® 平台的能力。这款云原生端点保护解决方案利用人工智能和行为分析来检测和阻止网络攻击。CrowdStrike CCFA 认证非常适合管理员或任何拥有 Falcon 平台管理权限的分析师。

您必须通过一项 60 分钟的考试才能获得 CCFA 认证。考试将评估您在以下方面的知识、技能和能力：

• 有效的用户管理

• 部署和管理 Falcon 传感器

• 根据业务风险配置部署和预防策略

• 配置允许列表、阻止列表和文件路径排除项

• 执行管理报告

CrowdStrike 认证 Falcon 管理员 (CCFA) 认证考试包含 50 道选择题，及格分数为 80%。

关于考试

CrowdStrike 认证 Falcon 管理员 (CCFA) 认证考试时长 90 分钟，包含 60 道题。题目清晰明了，没有晦涩难懂的措辞、双重否定或填空题。该考试已由技术和非技术专家仔细审核，并由多位考生进行过测试。

先决条件

要参加 CCFA 认证考试，考生应至少拥有六 (6) 个月在生产环境中使用 CrowdStrike Falcon 的经验。考生应具备良好的英语阅读和理解能力，以能够理解考试内容。考试适合非英语母语人士参加。

考试范围

一般来说，以下主题可能会出现在考试中，但其他相关主题也可能在特定的考试形式中出现：

• 用户管理

• 传感器部署

• 主机管理

• 组创建

• 预防策略

• 自定义 IOA 规则

• 传感器更新策略

• 隔离文件

• IOC 管理

• 遏制策略

• 排除项

• 报告

• 实时响应策略/审计日志

• API 客户端和密钥

• 通知工作流

考试目标

CrowdStrike 认证 Falcon 管理员 (CCFA) 认证考试的结构如下：

用户管理

• 确定访问 Falcon 控制台功能所需的角色

• 描述每个 RTR 角色的功能和限制

• 创建新用户、删除和编辑用户等

传感器部署

• 在安装 Falcon 传感器之前，分析预安装操作系统/网络要求。

• 分析默认策略并应用最佳实践，为 Falcon 传感器准备工作负载。

• 在 Windows、Linux 和 macOS 系统上成功安装 Falcon 传感器，并应用相应的设置

• 应用基本的传感器安装要求和安装流程

• 应用镜像/VDI、令牌和标签的附加/高级选项

• 卸载传感器

• 故障排除

• 识别系统环境或 Falcon 组件中基本配置要求的问题

• 解决策略设置、权限和阈值问题

• 对系统/用户问题进行根本原因分析

主机管理

• 提出如何在主机管理页面上使用筛选功能

• 禁用主机的检测

• 解释禁用主机检测的影响

• 解释功能降低模式 (RFM) 的影响及其可能的原因

• 查找处于 RFM 模式的主机

• 查找非活动传感器

• 回顾非活动传感器的保留时间，以便制定数据备份计划

• 确定在报告与主机相关的信息时应使用哪些报告。 - 说明了解公司 Falcon Insight 数据保留期限的重要性。

创建组

• 确定端点的适当组分配，并了解这如何影响策略的应用。

• 描述策略类型、组件、应用和工作流程。

• 定义优先级、组和最佳实践。

预防策略

• 确定端点的适当预防策略设置，并解释这如何影响安全态势。

• 演示默认策略的用途，并在配置默认策略时应用最佳实践。

• 配置仅检测策略。

• 解释“传感器端”和“云端”机器学习的区别。

• 描述每种策略设置选项的功能

• 定义下一代防病毒设置

• 描述最终用户通知的功能

• 将预防策略分配给组和主机

• 解释优先级在预防策略中的作用

• 描述策略最佳实践

自定义 IOA 规则

• 创建自定义 IOA 规则以监控非恶意行为。

传感器更新策略

• 确定合适的传感器更新策略设置和相关的常规设置以控制更新过程

• 定义更新后的策略

• 演示默认策略的用途，并在配置默认策略时应用最佳实践

• 描述自动更新的功能

• 解释 MAC/Win/*nix 的单独策略

• 解释单个传感器或整个环境中的构建版本可见位置

• 描述优先级在传感器更新策略中的作用

隔离文件

• 应用管理隔离文件所需的选项。

入侵指标控制 (IOC) 管理

• 评估定制化安全态势所需的 IOC 设置，并管理误报。

隔离策略

• 根据安全工作流程要求，在网络处于隔离状态时配置相应的 IP 地址白名单

• 描述隔离策略的作用

• 将网络流量列入白名单，使其可以连接到隔离主机

排除规则

• 解读业务需求，以允许可信活动、解决误报并修复性能问题

• 使用 glob 语法编写有效的文件排除规则

• 将文件模式排除应用于组

• 演示如何管理排除规则

传感器报告

• 解释不同类型的传感器报告及其提供的信息

• 解释机器学习预防监控报告包含哪些信息

• 解释 Falcon UI 审计跟踪报告包含哪些信息

• 解释 API 审计跟踪、预防策略审计跟踪、预防哈希和忽略报告包含哪些信息

• 解释预防策略调试报告包含哪些信息

• 解释 Linux 传感器报告提供哪些信息

• 解释 Mac 传感器报告提供哪些信息

• 解释可见性报告和狩猎报告之间的区别

• 解释登录活动报告中显示的信息

• 解释远程登录活动报告中显示的信息

• 解释远程访问图表中显示的信息

• 解释连接到国家/地区地图的唯一主机上显示的信息

• 解释可见性报告中包含哪些信息

• 编写有效的自定义警报规则

实时响应策略/审计日志

• 应用角色和策略设置，并跟踪和查看 RTR 审计日志以管理用户活动。

API 客户端和密钥

• 管理 API 密钥

通知工作流程

• 配置自定义警报，以便就策略、检测和事件通知个人

最终结论

CrowdStrike Falcon® 认证计划旨在帮助专业人员掌握使用最新端点检测和响应 (EDR) 技术工具和网络威胁情报的技能和知识，从而保护其组织免受复杂的网络攻击。该课程旨在教授专业人士如何使用 CrowdStrike Falcon® 平台（一款云原生端点保护解决方案）来检测、预防和阻止安全漏洞。

如果您想参加 CrowdStrike CCFA 认证考试，我们只能帮助您一次性通过考试。十多年来，CBT Proxy 一直致力于帮助 IT 专业人士实现认证目标。如需了解更多关于 CCFA 认证考试以及如何开始的信息，请点击下方的聊天选项，我们的顾问将很快与您联系。