什么是 CrowdStrike 猎鹰认证管理员 (CCFA) 认证?
CrowdStrike 认证 Falcon 管理员 (CCFA) 认证是验证管理 CrowdStrike Falcon® 平台能力的凭证。这种云原生端点保护解决方案使用人工智能和行为分析来检测和防止网络攻击。 CrowdStrike CCFA 认证非常适合管理员或任何有权访问 Falcon 平台管理方面的分析师。
您必须通过 60 分钟的考试才能获得 CCFA 认证。考试将评估您执行以下操作的知识、技能和能力:
- 有效的用户管理
- 部署和管理 Falcon 传感器
- 根据业务风险配置部署和防范策略
- 配置允许列表、阻止列表和文件路径排除
- 进行行政报告
CrowdStrike 认证猎鹰管理员 (CCFA) 认证考试由 50 道多项选择题组成,通过分数为 80%。
关于考试
CrowdStrike 猎鹰认证管理员 (CCFA) 认证考试时长 90 分钟,有 60 个问题。问题清晰、直接,没有令人困惑的措辞、双重否定或填空题。该考试经过了技术和非技术专家的仔细审查,并由不同的考生参加。
先决条件
要参加 CCFA 认证考试,考生应在生产环境中拥有至少六 (6) 个月的 CrowdStrike Falcon 经验。考生应该能够很好地阅读和理解英语以支持理解。考试适合非英语母语人士。
考试范围
作为一般准则,以下主题可能会出现在考试中,但其他相关主题也可能包含在特定的交付格式中:
- 用户管理
- 传感器部署
- 主机管理
- 小组创建
- 预防政策
- 自定义IOA规则
- 传感器更新政策
- 隔离文件
- 国际奥委会管理
- 遏制政策
- 除外情况
- 报告
- 实时响应策略/审核日志
- API 客户端和密钥
- 通知工作流程
考试目标
此 CrowdStrike 猎鹰认证管理员 (CCFA) 认证考试根据以下子主题和学习目标进行组织:
### 用户管理
- 确定访问 Falcon 控制台中的特性和功能所需的角色
- 描述每个 RTR 角色的功能和限制
- 创建新用户、删除和编辑用户等。
传感器部署
- 在安装 Falcon 传感器之前分析预安装操作系统/网络要求。
- 分析默认策略并应用最佳实践来为 Falcon 传感器准备工作负载。
- 应用适当的设置以在 Windows、Linux 和 macOS 上成功安装 Falcon 传感器
- 应用基本传感器安装要求和安装流程
- 为图像/VDI、令牌和标签应用附加/高级选项
- 卸载传感器
- 故障排除
- 识别系统环境或 Falcon 组件中基本配置要求的问题
- 解决策略设置、权限和阈值问题
- 执行与系统/用户问题相关的根本原因分析
主机管理
- 建议如何在主机管理页面上使用过滤
- 禁用主机检测
- 解释禁用主机检测的影响
- 解释缩减功能模式 (RFM) 的影响及其可能造成的原因
- 在 RFM 中查找主机
- 查找不活动的传感器
- 回想一下不活动的传感器保留多长时间来定义您的数据备份计划。
- 确定在报告与主机相关的信息时要使用哪些报告。
- 解释了解贵公司 Falcon Insight 数据保留时间范围的重要性。
小组创建
- 确定端点的适当组分配并了解这如何影响策略的应用
- 描述策略类型、组件、应用程序和工作流程
- 定义优先级��、组和最佳实践
预防政策
- 确定端点的适当预防策略设置并解释这如何影响安全状况
- 演示默认策略的用途并在配置默认策略时应用最佳实践
- 配置仅检测策略
- 解释机器学习是“传感器上”还是“云端”。
- 描述每个不同的策略设置选项的作用
- 定义下一代 AV 设置
- 描述最终用户通知的作用
- 为组和主机分配预防策略
- 解释预防政策的优先顺序
- 描述政策最佳实践
自定义 IOA 规则
- 创建自定义 IOA 规则来监控本质上并非恶意的行为。
传感器更新政策
- 确定适当的传感器更新策略设置和相关常规设置以控制更新过程
- 定义更新的政策
- 演示默认策略的用途并在配置默认策略时应用最佳实践
- 描述自动更新的作用
- 解释 MAC/Win/*nix 的单独策略
- 解释构建版本对于单个传感器或整个环境可见的位置
- 描述有关传感器更新策略的优先级
隔离文件
- 应用管理隔离文件所需的选项。
国际奥委会管理
- 评估定制安全态势和管理误报所需的 IOC 设置。
遏制政策
- 根据安全工作流程要求,在网络受到遏制时配置适当 IP 地址的白名单
- 描述遏制政策的作用
- 将网络流量列入白名单,以便它可以连接到包含的主机
排除情况
- 解释业务需求以允许可信活动、解决误报并修复性能问题
- 使用 glob 语法编写有效的文件排除规则
- 将文件模式排除应用于组
- 演示如何管理排除规则
传感器报告
- 解释不同类型的传感器报告以及每个报告提供的内容
- 解释机器学习预防监测报告中包含��哪些信息
- 解释 Falcon UI 审计跟踪报告中包含哪些信息
- 解释 API 审计跟踪、预防策略审计跟踪、预防哈希、忽略的报告中包含哪些信息
- 解释预防策略调试报告中包含哪些信息
- 解释 Linux 传感器报告将提供哪些信息
- 解释 Mac 传感器报告将提供哪些信息
- 解释可见性和狩猎报告之间的差异
- 解释登录活动报告中显示的信息
- 解释远程登录活动报告中显示的信息
- 解释远程访问图上显示的信息
- 解释连接到国家地图的唯一主机上显示的信息
- 解释可见性报告中可以找到哪些信息
- 编写有效的自定义警报规则
实时响应政策/审核日志
- 应用角色和策略设置,并跟踪和审查 RTR 审核日志以管理用户活动。
API 客户端和密钥
- 管理API密钥
通知工作流程
- 配置自定义警报以通知个人有关策略、检测和事件的信息
最终决定
CrowdStrike Falcon® 认证计划为专业人员提供使用最新端点检测和响应 (EDR) 技术工具和网络威胁情报的技能和知识,以保护其组织免受复杂的网络攻击。该计划教授专业人员如何使用 CrowdStrike Falcon® 平台(一种云原生端点保护解决方案)来检测、预防和阻止违规行为。
如果您想参加 CrowdStrike CCFA 认证考试,我们只能帮助您一次性通过考试。十多年来,CBT Proxy 一直帮助 IT 专业人员实现他们的认证目标。要了解有关 CCFA 认证考试以及如何开始的更多信息,请单击下面的聊天选项,我们的一位指南将很快与您联系。
