Questions d'entraînement — CCFA

Question 1

Un RSSI souhaite exploiter les données du Threat Graph pour améliorer la posture de sécurité proactive de son organisation. Il s'intéresse à la fonctionnalité Threat Graph qui permet d'identifier les endpoints de son environnement présentant des configurations ou comportements similaires à ceux observés lors d'attaques réussies chez d'autres clients CrowdStrike. Quelle fonctionnalité du Threat Graph répond le mieux à ce besoin de sécurité proactive ?

Answer

A. Falcon Spotlight, qui utilise le Threat Graph uniquement pour scanner les vulnérabilités CVE sur les endpoints sans analyser les comportements

Answer

B. Le Threat Graph Community Immunity, qui exploite l'effet réseau de la base installée CrowdStrike pour identifier des patterns d'attaque émergents et protéger proactivement les endpoints présentant des caractéristiques similaires aux victimes connues

Answer

C. Falcon Sandbox, qui exécute les fichiers suspects dans un environnement isolé indépendamment du Threat Graph pour déterminer leur dangerosité

Answer

D. Le module Falcon Discover, qui inventorie exclusivement les actifs matériels et logiciels sans interaction avec les données comportementales du Threat Graph

Question 2

Lors du triage d'une détection Falcon sur un endpoint Linux, vous identifiez un processus suspect /tmp/.hidden/beacon qui établit des connexions sortantes régulières toutes les 60 secondes vers une adresse IP externe. Le processus a été lancé via une crontab modifiée. Dans la timeline de l'endpoint Falcon, quels éléments devez-vous corréler pour reconstituer la chaîne d'attaque complète (kill chain) ?

Answer

A. Uniquement les événements réseau (NetworkConnectIP4) du processus beacon pour identifier le serveur C2

Answer

B. Les événements de création de fichier (FileWritten) pour /tmp/.hidden/beacon, la modification de crontab (ScheduledTaskRegistered), les connexions réseau sortantes, et les événements d'authentification précédant la compromission

Answer

C. Les logs syslog de l'endpoint Linux qui doivent être importés manuellement dans Falcon pour compléter la timeline

Answer

D. Uniquement les événements de type 'Detection' générés par le moteur de prévention Falcon pour ce processus

Question 3

Votre organisation utilise des Sensor Grouping Tags pour organiser automatiquement les hôtes dans des groupes dynamiques. Un administrateur junior a installé 150 capteurs Windows avec la commande suivante : CsInstallService.exe /install /quiet /norestart CID=<CID> GROUPING_TAGS='Paris,Finance,Critical'. Après l'installation, les machines n'apparaissent dans aucun groupe dynamique basé sur les tags. Quelle est l'erreur commise ?

Answer

A. Les Sensor Grouping Tags ne peuvent pas être définis lors de l'installation et doivent être configurés uniquement via la console Falcon

Answer

B. La syntaxe est incorrecte : les tags doivent être séparés par des virgules sans espaces et le paramètre doit utiliser des guillemets doubles échappés

Answer

C. Les Sensor Grouping Tags sont corrects mais les groupes dynamiques doivent utiliser le filtre 'Sensor Grouping Tags' et non 'Tags' dans leur règle de regroupement

Answer

D. Les Sensor Grouping Tags nécessitent que le paramètre CCID soit utilisé à la place de CID pour activer la fonctionnalité de tagging

Question 4

Lors d'un audit de conformité, votre équipe doit démontrer que les données de télémétrie CrowdStrike Falcon sont conservées et accessibles pour des investigations forensiques rétrospectives. L'auditeur demande combien de temps les données d'événements sont disponibles dans la plateforme Falcon et où elles sont stockées. Quelle réponse est architecturalement correcte ?

Answer

A. Les données de télémétrie sont stockées localement sur chaque endpoint dans une base SQLite chiffrée et conservées indéfiniment jusqu'à saturation du disque.

Answer

B. Les données sont conservées exclusivement dans le SIEM de l'entreprise via le Falcon Data Replicator ; la console Falcon ne conserve aucun historique au-delà de 24 heures.

Answer

C. Les données d'événements sont stockées dans le cloud CrowdStrike (Falcon platform) et accessibles via la console Falcon et les API, avec une rétention par défaut pouvant aller jusqu'à 90 jours selon la licence, extensible via des options comme Falcon Long Term Repository.

Answer

D. CrowdStrike ne conserve aucune donnée de télémétrie dans son cloud pour des raisons de souveraineté des données ; toutes les données restent on-premises sur un serveur Falcon dédié.

Question 5

L'équipe de sécurité d'une entreprise constate dans Falcon qu'un endpoint a généré une détection de type 'Credential Theft' avec la tactique MITRE ATT&CK 'Credential Access' (TA0006). L'investigation révèle qu'un outil légitime d'administration IT utilise une technique similaire à Mimikatz pour valider les credentials Active Directory. L'administrateur doit résoudre ce faux positif sans compromettre la détection de véritables attaques de credential theft. Quelle approche est la plus appropriée ?

Answer

A. Créer une IOA Exclusion ciblant spécifiquement le processus de l'outil d'administration (par son chemin et hash) pour la règle IOA de credential theft concernée, et l'assigner uniquement au groupe de machines des administrateurs IT

Answer

B. Passer la catégorie 'Additional User Mode Data' en mode 'Detect' au lieu de 'Prevent' dans la Prevention Policy pour réduire les blocages de credential access sur toutes les machines

Answer

C. Ajouter le hash SHA256 de l'outil d'administration dans la liste 'Allow' des IOC Management pour qu'il soit globalement autorisé sur tous les endpoints de l'organisation

Answer

D. Créer une Detection Exclusion générique pour toutes les détections de type 'Credential Theft' sur les machines du groupe administrateurs IT afin d'éliminer le bruit

Examen CCFA — CCFA — CrowdStrike Certified Falcon Administrator

À propos de l'examen CCFA

Comment se préparer à l'examen CCFA ?

5 exemples de questions — CCFA

Encore 55 questions dans l'examen complet

📖 Préparez-vous avec nos guides

Commencer l'examen CCFA complet