在用 CrowdStrike Falcon 的 SOC 团队里做 Threat Hunting 的人直接考,但全球 Falcon 客户约 2.9 万家,岗位池远小于通用安全认证如 GIAC GCIH。
这张认证到底考什么
先把考试形式、适合人群、备考时长和学习范围讲清楚,再决定要不要投入时间。
CCFH-202(CrowdStrike Certified Falcon Hunter)是 CrowdStrike 认证体系中面向威胁猎手的专项认证。考试 60 题 / 90 分钟 / $300 USD,及格线 70%,有效期 3 年。
考试核心围绕 Falcon 平台的 Event Search 和 Investigate 功能。Event Search 用 Splunk-like 的查询语法(SPL 变体)在 Falcon 存储的 EDR 遥测数据中搜索 IOC 和异常行为 — 比如搜 event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND CommandLine="-enc" 来找 encoded PowerShell 执行。Investigate 模块提供进程树可视化、横向移动关联、网络连接图。考试还会考 MITRE ATT&CK 框架映射(Falcon 的 Detection 自动标注 ATT&CK TTP)和自定义 IOA(Indicator of Attack)规则编写。
CrowdStrike 在 Gartner 2024 Endpoint Protection 魔力象限稳坐 Leader,截至 2025 年 Q1 有约 29,000 家企业客户。但 CCFH 是纯厂商认证 — 跳槽到用 SentinelOne 或 Microsoft Defender for Endpoint 的公司时,这张证没有直接加分。
你会反复碰到的核心服务
学完以后你能带走什么
- 获得 CrowdStrike Certified Falcon Hunter 认证
- 掌握核心考试领域的知识和最佳实践
- 提升安全领域职业竞争力和薪资水平
考试详情
适合谁考
适合人群
- 信息安全工程师和安全分析师
- 安全运营和安全管理人员
- 希望获得 CCFH-202 认证的 IT 专业人员
- 网络安全领域求职者和转行者
开始前最好先有
- 具备基本的信息安全知识
- 了解网络和系统管理基础
- 建议有相关领域的实际工作经验
值不值得考?职业价值
CCFH-202 持证人的薪资区间、对应岗位、以及真实的职业影响。
Threat Hunter 是安全领域薪资天花板最高的技术岗之一(美国 Senior Threat Hunter 中位数约 $140K),但要求也高 — 需要同时懂 ATT&CK 框架、操作系统内部机制、网络协议分析和至少一个 EDR 平台的深度使用。
CCFH-202 在 CrowdStrike 客户内部有很高的认可度,尤其是 MSSP(Managed Security Service Provider)招 Falcon 运维人员时会优先看这个证。在 Indeed 上搜 "CrowdStrike Falcon" 的美国岗位约 800-1000 个,其中约 30% 提到 CCFH 或 "CrowdStrike certification preferred"。
不适合的人:做安全管理(GRC)不做技术分析的人、所在公司不用 CrowdStrike 的人、想要通用安全认证(考 GIAC GCIH 或 CompTIA CySA+)。
备考节奏
有 AWS 实操经验
零基础切入
建议日投入
学习路径预览
4 章分阶段备考路径
过来人总结的分阶段备考节奏,按周拆分,不是空话。
第一阶段:Falcon 控制台操作基础(1-2 周)
如果公司有 Falcon 环境,直接在 Event Search 里练查询。没有的话,CrowdStrike University 提供 Falcon Go 试用(需联系销售)。第一周目标:能用 Event Search 查到 ProcessRollup2、NetworkConnect、DnsRequest 三类事件,理解 Falcon 的事件分类体系(SensorEvent vs PlatformEvent)。
第二阶段:Event Search 查询语法(2 周)
这是考试的核心。必须掌握的查询模式:按进程链搜索(ParentBaseFileName + FileName)、按网络行为搜索(RemoteAddressIP4 + RemotePort)、时间过滤(earliest/latest)、聚合函数(stats count by FileName)。每天写 10 条不同的猎杀查询,覆盖 credential dumping、lateral movement、persistence 三类场景。
第三阶段:ATT&CK 映射 + IOA 规则(1 周)
Falcon 的 Custom IOA 规则编写是高频考点。理解 IOA Group 的层级结构、规则触发条件(Process Creation/File Write/Registry Modification)、Action 类型(Detect/Block/Monitor)。同时过一遍 MITRE ATT&CK 的 Tactic-Technique 层级,Falcon 的 Detection 会自动映射 TTP 编号,考试会考根据 Detection 描述判断对应的 ATT&CK Technique。
第四阶段:CrowdStrike University 模考(1 周)
CrowdStrike University 有官方 Practice Assessment,是最接近真实考试的资源。错题重点回顾 Event Search 语法细节和 Investigate 模块的操作流程。
通过者的真实经验
过来人的备考时长、分数、以及踩过的坑。
日常就用 Falcon 做 Hunting,考试内容跟实际工作重合度很高。**Event Search 查询题占了一半以上** — 给你一个猎杀场景(比如找 LSASS memory dump),让你写查询或判断哪个查询能找到。不在 Falcon 里练过真实查询的人肯定过不了。
我之前用 SentinelOne,转到 CrowdStrike 后公司要求考 CCFH。最大的坑是 Falcon 的事件命名规范 — ProcessRollup2 不是 "process creation",NetworkConnect 不是 "network connection",这套命名必须背。另外 Custom IOA 规则的正则表达式语法跟标准 regex 有细微差异。
同赛道认证对比
| CCFH-202 | CCFA | CompTIA CySA+ | |
|---|---|---|---|
| 机构 | 其他 | 其他 | CompTIA |
| 级别 | 专业级 | 专业级 | 专业级 |
| 考试费 | $300 | $300 | $404 |
| 时长 | 90 min | 90 min | 165 min |
| 题量 | 60 | 60 | 85 |
| 有效期 | 3 年 | 3 年 | 3 年 |
备考技巧与常见失误
**Event Search 查询默认时间范围** — Falcon 默认搜索最近 7 天,考试场景题里如果时间范围不对会搜不到结果,注意 earliest/latest 参数。
**Investigate 模块的进程树** — 考试会给进程树截图让你判断攻击链,注意看 ParentProcess 和 CommandLine 参数的细节。
**MITRE ATT&CK 不用背所有 Technique** — 但 T1003 (Credential Dumping)、T1059 (Command and Scripting Interpreter)、T1053 (Scheduled Task) 这几个高频 TTP 必须认识。
**Event Search 查询语法跟 Splunk SPL 混淆** — Falcon 的查询语法受 SPL 启发但不完全相同,比如通配符用法和聚合函数名有差异,不要想当然。
**不理解 Falcon 的事件层级** — SensorEvent(原始遥测)vs PlatformEvent(Falcon 平台生成的事件)区别是基础题,但很多人搞不清。
**Custom IOA 规则的 Action 类型选错** — Detect = 只告警、Block = 阻止执行、Monitor = 不告警只记录日志。场景题里一字之差结论完全不同。