Questions gratuites CCFA — CrowdStrike Certified Falcon Administrator
Téléchargez gratuitement 60 questions d'entraînement pour la certification CCFA proposée par CrowdStrike. Toutes les questions sont accompagnées de corrections détaillées avec explications techniques.
Caractéristiques de l'examen blanc
| Code de certification | CCFA |
| Éditeur | CrowdStrike |
| Nombre de questions | 60 |
| Type | QCM avec 4 réponses possibles |
| Niveau | associate |
| Catégorie | Security |
| Prix | 100% gratuit |
Aperçu de 8 questions représentatives
Voici un échantillon aléatoire de 8 questions tirées de notre base d'entraînement CCFA. Pour accéder aux 60 questions complètes, lancez l'examen blanc gratuitement.
Question 1
Après le déploiement du sensor Falcon sur un serveur Windows critique exécutant une application métier propriétaire, l'équipe applicative signale des ralentissements importants. L'analyse préliminaire montre que le sensor inspecte en profondeur les fichiers générés par l'application. Quelle est l'approche recommandée par CrowdStrike pour résoudre ce problème tout en maintenant la sécurité ?
- A. Désinstaller le sensor du serveur et ajouter une exception au niveau du pare-feu réseau
- B. Configurer des IOA Exclusions dans la Prevention Policy pour exclure le processus de l'application métier de l'analyse comportementale
- C. Créer des Machine Learning Exclusions et des Sensor Visibility Exclusions ciblées sur les chemins et processus spécifiques de l'application dans la console Falcon
- D. Passer le sensor en mode Detect Only pour réduire la charge CPU sur le serveur
Question 2
Un analyste SOC observe dans la console Falcon une détection de type 'Process Hollowing' sur un endpoint Windows. Le processus suspect est svchost.exe lancé depuis un répertoire inhabituel (C:\Users\Public\). L'analyste souhaite comprendre l'ensemble de la chaîne d'attaque avant de prendre une décision de remédiation. Quelle fonctionnalité de Falcon doit-il utiliser en priorité pour visualiser l'arborescence complète des processus liés à cette détection ?
- A. Event Search avec le filtre CommandLine
- B. Le Process Tree (Execution Details) dans la vue de détection
- C. Le rapport Host Timeline exporté en CSV
- D. Le module Falcon Discover pour identifier les assets compromis
Question 3
Une entreprise déploie CrowdStrike Falcon sur 5000 endpoints Windows. L'équipe sécurité remarque que plusieurs détections légitimes sont classées comme 'Medium' severity alors qu'elles concernent des techniques d'attaque critiques (credential dumping via LSASS). L'administrateur Falcon souhaite que ces détections soient automatiquement escaladées. Quel mécanisme natif de Falcon permet d'ajuster la sévérité et la réponse pour ce type de détection spécifique ?
- A. Créer une Custom IOA Rule avec une action 'Detect' et une sévérité personnalisée 'Critical', ciblant le comportement d'accès au processus LSASS par des processus non autorisés
- B. Modifier directement la sévérité des détections existantes dans le Falcon Activity Dashboard via l'option 'Override Severity'
- C. Configurer une Notification Policy avec un filtre sur le type de détection pour envoyer des alertes email avec mention 'Critical' dans le sujet
- D. Utiliser le Falcon LogScale (Humio) pour créer une requête planifiée qui reclassifie automatiquement les détections LSASS en sévérité 'Critical'
Question 4
Un RSSI souhaite exploiter les données du Threat Graph pour améliorer la posture de sécurité proactive de son organisation. Il s'intéresse à la fonctionnalité Threat Graph qui permet d'identifier les endpoints de son environnement présentant des configurations ou comportements similaires à ceux observés lors d'attaques réussies chez d'autres clients CrowdStrike. Quelle fonctionnalité du Threat Graph répond le mieux à ce besoin de sécurité proactive ?
- A. Falcon Spotlight, qui utilise le Threat Graph uniquement pour scanner les vulnérabilités CVE sur les endpoints sans analyser les comportements
- B. Le Threat Graph Community Immunity, qui exploite l'effet réseau de la base installée CrowdStrike pour identifier des patterns d'attaque émergents et protéger proactivement les endpoints présentant des caractéristiques similaires aux victimes connues
- C. Falcon Sandbox, qui exécute les fichiers suspects dans un environnement isolé indépendamment du Threat Graph pour déterminer leur dangerosité
- D. Le module Falcon Discover, qui inventorie exclusivement les actifs matériels et logiciels sans interaction avec les données comportementales du Threat Graph
Question 5
Votre organisation souhaite déployer CrowdStrike Falcon sur des serveurs Linux exécutant des workloads conteneurisés dans un cluster Kubernetes en production. Quelle approche architecturale Falcon est la plus adaptée pour assurer la visibilité sur les conteneurs ?
- A. Installer un Falcon Sensor dédié à l'intérieur de chaque conteneur en ajoutant l'agent dans l'image Docker de base.
- B. Déployer le Falcon Sensor au niveau du nœud hôte (host-level), où il obtient une visibilité sur tous les conteneurs s'exécutant sur ce nœud grâce à l'inspection au niveau kernel.
- C. Remplacer le container runtime par le runtime propriétaire CrowdStrike qui intègre nativement les capacités de détection.
- D. Déployer un appliance réseau virtuelle Falcon à l'entrée du cluster Kubernetes pour inspecter le trafic est-ouest entre les pods.
Question 6
Une entreprise multinationale utilisant CrowdStrike Falcon détecte une campagne de ransomware ciblant simultanément ses filiales en Europe et en Asie. L'équipe de sécurité constate que le Threat Graph a généré des alertes corrélées indiquant que le même TTP (Tactic, Technique, and Procedure) est utilisé sur les deux continents. Quelle caractéristique architecturale du Threat Graph rend cette corrélation globale possible ?
- A. Chaque capteur Falcon possède une copie locale complète du Threat Graph qui se synchronise avec les autres capteurs via un protocole peer-to-peer
- B. Le Threat Graph fonctionne comme une base de données centralisée cloud-native qui traite plus de mille milliards d'événements par semaine provenant de l'ensemble de la base installée mondiale de CrowdStrike
- C. Le Threat Graph s'appuie exclusivement sur les flux de threat intelligence tiers (STIX/TAXII) pour corréler les attaques entre différentes régions géographiques
- D. Le Threat Graph utilise un système de messagerie asynchrone entre les consoles régionales Falcon qui échange des rapports d'incidents toutes les 24 heures
Question 7
Un analyste effectue du threat hunting dans Falcon et souhaite identifier tous les processus PowerShell ayant effectué des téléchargements via la cmdlet 'Invoke-WebRequest' ou l'alias 'iwr' au cours des 7 derniers jours sur l'ensemble du parc. Quelle requête dans Event Search est la plus adaptée pour ce cas d'usage ?
- A. event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND CommandLine=*Invoke-WebRequest*
- B. event_simpleName=DnsRequest AND DomainName=*
- C. event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND (CommandLine=*Invoke-WebRequest* OR CommandLine=*iwr*)
- D. event_simpleName=NetworkConnect AND LocalAddressIP4=*
Question 8
Dans le cadre d'une investigation sur un incident de ransomware, un administrateur Falcon utilise Real Time Response (RTR) pour collecter des artefacts forensiques sur un endpoint compromis qui a été placé en Network Containment. Il doit récupérer un fichier suspect de 500 Mo situé dans le répertoire C:\ProgramData\. Quelle commande RTR et quelle considération sont correctes pour cette opération ?
- A. Utiliser la commande 'get' pour récupérer le fichier, qui sera disponible dans la section 'Collected Files' de la console Falcon
- B. Utiliser la commande 'cp' pour copier le fichier vers un partage réseau de l'équipe forensique
- C. Utiliser la commande 'memdump' pour capturer le fichier depuis la mémoire du processus associé
- D. Désactiver le Network Containment, transférer le fichier via le réseau local, puis réactiver le containment
Accédez aux 60 questions complètes gratuitement
Aucune carte bancaire requise. Examen chronométré, corrections détaillées, score final.
Lancer l'examen blanc CCFA →
Pourquoi s'entraîner avec Certifexpress ?
- Questions au format officiel CrowdStrike
- Corrections détaillées avec explications techniques (200+ mots par question)
- Examen chronométré comme le jour J
- Option "Refaire les questions ratées" pour cibler vos lacunes
- Suivi de votre progression dans votre tableau de bord personnel
- Accès illimité, aucun abonnement requis