AccueilCertificationsCCFA › Questions gratuites

Questions gratuites CCFA — CrowdStrike Certified Falcon Administrator

Téléchargez gratuitement 60 questions d'entraînement pour la certification CCFA proposée par CrowdStrike. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.

Caractéristiques de l'examen blanc

Code de certificationCCFA
ÉditeurCrowdStrike
Nombre de questions60
TypeQCM avec 4 réponses possibles
Niveauassociate
CatégorieSecurity
Prix100% gratuit

Aperçu de 8 questions représentatives

Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement CCFA. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.

Question 1
Lors d'un exercice de threat hunting, un analyste utilise le Threat Graph pour investiguer une alerte sur un serveur de production. Le graphe révèle que le processus w3wp.exe (IIS worker process) a généré un processus enfant cmd.exe, qui a ensuite lancé certutil.exe avec le paramètre '-urlcache -split -f' pour télécharger un fichier depuis Internet. Quel élément du Threat Graph fournit le contexte le plus critique pour déterminer si cette activité est un vrai positif ou un faux positif dans cet environnement ?
  1. A. Le hash SHA256 du binaire certutil.exe affiché dans le noeud de processus du Threat Graph
  2. B. L'arbre de processus complet (Process Tree) montrant la relation de parenté w3wp.exe > cmd.exe > certutil.exe combiné avec les arguments de ligne de commande capturés
  3. C. L'adresse MAC de l'interface réseau utilisée pour le téléchargement, visible dans le noeud réseau du Threat Graph
  4. D. Le timestamp UTC de la détection affiché dans l'en-tête du Threat Graph
Question 2
Un administrateur Falcon examine un Threat Graph et observe que le champ 'Objective' d'une détection est marqué comme 'Falcon Intelligence' avec une sévérité 'Critical'. Le graphe montre qu'un processus svchost.exe a établi une connexion vers une adresse IP connue comme infrastructure de commande et contrôle (C2). Quelle est la signification de l'indicateur 'Objective' dans le contexte du Threat Graph ?
  1. A. L'Objective indique la politique de prévention spécifique qui a déclenché le blocage du processus malveillant
  2. B. L'Objective identifie le groupe d'adversaires (Threat Actor) responsable de l'attaque selon la nomenclature CrowdStrike
  3. C. L'Objective décrit l'intention tactique ou stratégique estimée de l'activité malveillante détectée, aidant l'analyste à comprendre le but de l'attaquant
  4. D. L'Objective représente le score de confiance attribué par le moteur d'intelligence artificielle de Falcon à la détection
Question 3
Votre entreprise déploie le sensor CrowdStrike Falcon sur 5 000 postes Windows via SCCM. L'équipe réseau signale que certains postes ne remontent pas dans la console Falcon après installation. Le fichier CIDGroupTag a été correctement configuré. Quelle est la cause la plus probable de ce problème ?
  1. A. Le fichier de configuration CIDGroupTag contient un Customer ID (CID) invalide ou mal formaté
  2. B. Les postes concernés n'ont pas de connectivité sortante vers le cloud CrowdStrike sur le port TCP 443
  3. C. Le sensor nécessite un redémarrage obligatoire du poste pour s'enregistrer auprès du cloud
  4. D. SCCM a déployé une version du sensor incompatible avec la version du kernel Windows
Question 4
Une entreprise multinationale utilisant CrowdStrike Falcon détecte une campagne de ransomware ciblant simultanément ses filiales en Europe et en Asie. L'équipe de sécurité constate que le Threat Graph a généré des alertes corrélées indiquant que le même TTP (Tactic, Technique, and Procedure) est utilisé sur les deux continents. Quelle caractéristique architecturale du Threat Graph rend cette corrélation globale possible ?
  1. A. Chaque capteur Falcon possède une copie locale complète du Threat Graph qui se synchronise avec les autres capteurs via un protocole peer-to-peer
  2. B. Le Threat Graph fonctionne comme une base de données centralisée cloud-native qui traite plus de mille milliards d'événements par semaine provenant de l'ensemble de la base installée mondiale de CrowdStrike
  3. C. Le Threat Graph s'appuie exclusivement sur les flux de threat intelligence tiers (STIX/TAXII) pour corréler les attaques entre différentes régions géographiques
  4. D. Le Threat Graph utilise un système de messagerie asynchrone entre les consoles régionales Falcon qui échange des rapports d'incidents toutes les 24 heures
Question 5
Une entreprise utilise CrowdStrike Falcon pour surveiller son infrastructure. L'équipe de sécurité analyse un Threat Graph qui montre une chaîne d'attaque complexe : un document Word a lancé cmd.exe, qui a ensuite exécuté PowerShell avec une commande encodée en Base64, aboutissant à un téléchargement de payload depuis un serveur C2. Quelle affirmation décrit le mieux le rôle du Threat Graph dans l'analyse de cette chaîne d'attaque ?
  1. A. Le Threat Graph stocke localement sur l'endpoint toutes les données télémétriques brutes et les met à disposition de l'analyste via l'interface Falcon
  2. B. Le Threat Graph est un moteur d'analyse cloud-native qui corrèle les événements de processus, fichiers et réseau pour construire une représentation visuelle de la chaîne d'attaque avec un contexte enrichi
  3. C. Le Threat Graph fonctionne exclusivement comme un système de signatures statiques qui compare les hachages de fichiers à une base de données de menaces connues
  4. D. Le Threat Graph est un outil de réponse automatique qui isole immédiatement l'endpoint dès qu'une chaîne d'attaque multi-étapes est identifiée
Question 6
Un administrateur Falcon reçoit une alerte de sévérité 'Critical' indiquant une activité de type 'Credential Dumping' via l'outil Mimikatz sur un serveur de fichiers Windows. Le statut de la détection indique que le capteur Falcon a empêché l'exécution grâce à la politique de prévention active. Quelle séquence d'actions de triage est la plus appropriée selon les bonnes pratiques CrowdStrike ?
  1. A. Marquer la détection comme 'True Positive', assigner le statut 'Closed' et documenter dans les notes
  2. B. Vérifier le Process Tree pour identifier le vecteur initial, contenir le host via 'Network Containment', puis investiguer les mouvements latéraux potentiels
  3. C. Désactiver immédiatement le compte utilisateur dans Active Directory et redémarrer le serveur
  4. D. Ignorer l'alerte puisque la prévention a bloqué l'exécution et que le risque est neutralisé
Question 7
Un analyste SOC remarque qu'une détection de type 'Malicious File Detected' a été générée sur plusieurs endpoints simultanément, mais qu'aucune action de prévention n'a été appliquée. En examinant le Threat Graph associé, il constate que le processus parent est 'explorer.exe' et que le fichier malveillant a été écrit sur disque via une clé USB. Quel composant du Threat Graph permet à l'analyste de visualiser la relation causale entre l'insertion du périphérique USB et l'écriture du fichier malveillant sur le disque ?
  1. A. Le noeud 'Process Activity' qui retrace la chaîne d'exécution complète depuis le montage du volume USB
  2. B. Le noeud 'File Write' connecté à l'arbre de processus (Process Tree) qui montre la relation parent-enfant entre explorer.exe et le fichier déposé
  3. C. Le module 'Device Control Policy' intégré directement dans le Threat Graph pour corréler les événements USB
  4. D. Le noeud 'Network Activity' qui capture les métadonnées de connexion du périphérique USB au système
Question 8
Après le déploiement du sensor Falcon sur un serveur Windows critique exécutant une application métier propriétaire, l'équipe applicative signale des ralentissements importants. L'analyse préliminaire montre que le sensor inspecte en profondeur les fichiers générés par l'application. Quelle est l'approche recommandée par CrowdStrike pour résoudre ce problème tout en maintenant la sécurité ?
  1. A. Désinstaller le sensor du serveur et ajouter une exception au niveau du pare-feu réseau
  2. B. Configurer des IOA Exclusions dans la Prevention Policy pour exclure le processus de l'application métier de l'analyse comportementale
  3. C. Créer des Machine Learning Exclusions et des Sensor Visibility Exclusions ciblées sur les chemins et processus spécifiques de l'application dans la console Falcon
  4. D. Passer le sensor en mode Detect Only pour réduire la charge CPU sur le serveur

Accédez aux 60 questions complètes gratuitement

Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.

Lancer l'examen blanc CCFA →

Pourquoi s'entraîner avec Certifexpress ?