logo
其他专业级🔒 安全

CrowdStrike Certified Falcon Administrator

CrowdStrike Falcon 平台管理员认证,验证您在 Falcon 平台部署、配置和管理方面的专业能力。

Start PracticeBrowse Learning Path
$300
Exam Fee
60
Questions
90m
Exam Duration
70/100
Passing Score
?
Bottom line · It depends

如果你在 CrowdStrike shop 做 SOC L1/L2 或端点运维,CCFA 是 JD 里常见的硬性要求;如果公司用的是 SentinelOne / Defender for Endpoint / Carbon Black,这张证几乎没用。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

  • All certification exam prep included
  • Course discounts up to 50%
  • AI tools & Chrome extensions
  • Priority 1-on-1 coaching
View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

CrowdStrike Certified Falcon Administrator (CCFA) 是 CrowdStrike Falcon 平台的入门级管理员认证,验证你能独立完成传感器部署、策略配置、主机管理和基本 Real Time Response (RTR) 操作。考试 60 题 / 90 分钟,及格线 80%(比大多数安全证的 70% 高一档),考试费 $150 USD,证书有效期 2 年,到期必须重考。

为什么 CrowdStrike 的证需要单独学:CrowdStrike 是目前全球 EDR(Endpoint Detection and Response)市场的绝对龙头,市值约 $90B USD,Gartner Magic Quadrant Endpoint Protection Platforms 连续 4 年 Leader 且 Execution 维度排第一。Fortune 500 里超过 60% 用 Falcon 作为端点安全平台,包括 Amazon、Target、Goldman Sachs、Credit Suisse。澳洲这边 Commonwealth Bank、Telstra、Woolworths、NAB 都是 Falcon 的大客户。这意味着只要你进的是大型企业的 SOC 团队,大概率每天开的第一个 tab 就是 Falcon Console

CCFA 和 CCFH/CCFR 的区别:CrowdStrike 认证体系有三张证 — CCFA(Administrator,管理平台)、CCFH(Hunter,威胁狩猎)、CCFR(Responder,事件响应)。CCFA 是基础,考的是 "怎么用 Falcon" — 装 sensor、配 Prevention Policy、建 Host Group、写 Custom IOA、用 RTR 收证据。CCFH 考 "怎么在 Falcon 里找坏人" — Event Search、Process Timeline、BQL。CCFR 考 "出事后怎么处理"。一般路径是 CCFA → CCFH → CCFR,没考 CCFA 直接考 CCFH 会卡在平台操作题上。

考试最硬核的部分是 Prevention Policy 和 Custom IOA 规则:Falcon 的策略模型有两层 — Prevention Policy(决定 sensor 阻断什么)和 Sensor Update Policy(决定 sensor 什么时候升级版本),这两个策略绑定 Host Group 生效。Custom IOA(Indicator of Attack)允许你自己写检测规则,比如 "powershell.exe 的父进程是 winword.exe 就告警"。考试会给你一段行为描述让你挑对应的 IOA 规则字段(Image Filename、Command Line、Parent Image Filename、Grandparent Image Filename),这些字段的层级关系必须在实际 console 里点过才记得住。

没有环境怎么练:这是 CCFA 最大的门槛。CrowdStrike 不对个人开放 Falcon 试用 — 必须有企业邮箱和 CrowdStrike 的 TAM (Technical Account Manager) 才能开通 trial tenant。如果你公司不是 CrowdStrike 客户,最现实的路径是:(1) 看 CrowdStrike University 的官方课程视频(要有账号,通常客户的 TAM 可以拉人进去);(2) 在 YouTube 上看 CrowdStrike 官方频道的 "Falcon Platform Walkthrough" 系列;(3) 把 Falcon API 文档读熟(swagger.crowdstrike.com),考试有一部分是 OAuth2 认证和 API Scope。没有真机经验直接裸考 CCFA 的通过率非常低,这和 AWS/Azure 那些可以自学的证不一样

You will work with

Falcon PlatformSensor DeploymentPolicy ConfigurationEndpoint Security

After preparation

  • 获得 CrowdStrike Certified Falcon Administrator 认证
  • 掌握核心考试领域的知识和最佳实践
  • 提升安全领域职业竞争力和薪资水平

Exam details

Exam Code
CCFA
Provider
其他认证机构
Duration
90 minutes
Question Count
60 questions
Passing Score
70/100
Validity
3 years
Exam Fee
$300 USD
Question Types
Single choice, Multiple select
Languages
English
Official Page
Open AWS page

Who should take it

Good fit

  • 信息安全工程师和安全分析师
  • 安全运营和安全管理人员
  • 希望获得 CCFA 认证的 IT 专业人员
  • 网络安全领域求职者和转行者

Before you start

  • 具备基本的信息安全知识
  • 了解网络和系统管理基础
  • 建议有相关领域的实际工作经验

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding CCFA.

澳洲
$95K-145KAUD
美国
$90K-145KUSD
新加坡
$70K-115KSGD
中国
¥200K-380KCNY
SOC Analyst (L1/L2)Endpoint Security EngineerEDR AdministratorThreat Detection EngineerIncident Response AnalystMSSP Security EngineerSecurity Operations EngineerSOC 分析师端点安全工程师安全运维工程师

CCFA 的定位:Falcon shop 的门票证

CCFA 的价值和 PCNSA 很像 — 含金量高度依赖目标雇主是否用 CrowdStrike。好消息是 CrowdStrike 在高端市场的覆盖率非常高,Fortune 500 里超过 60% 是 Falcon 客户,澳洲 ASX 200 里也有一大半。Seek 上搜 "CrowdStrike Falcon" + "Sydney/Melbourne",常年稳定 150-200 个岗位在招,其中 70% 是 SOC Analyst 或 Endpoint Security Engineer,剩下的是 MSSP 和咨询公司(如 Mandiant、CyberCX、Deloitte Cyber)。

澳洲薪资参考:持 CCFA 的 Junior SOC Analyst 起薪约 AUD $95-110K(比只有 Security+ 的同行高约 10-15%),Mid-level Endpoint Security Engineer 在 $120-145K。如果再叠加 CCFH(Hunter)或 CCFR(Responder),资深 Detection Engineer 可以到 $160-180K。美国市场起薪 $90-115K USD,FAANG 或金融业可以到 $140K+。MSSP 普遍比甲方再高 10-20%,因为要同时维护多个客户的 Falcon 租户。

适合考 CCFA 的三类人

  1. 已经在 CrowdStrike shop 做 SOC L1 的在岗人员:这是最理想的画像。你每天在 Falcon Console 点,但从没系统学过 Prevention Policy 的各个开关是干嘛的、Custom IOA 怎么写。CCFA 刚好把你已经会的东西整理成体系,拿证后向 L2 或 Detection Engineer 方向跳薪资能涨 15-25%。这类人 3-4 周准备就能考过
  2. 从其他 EDR(SentinelOne / Defender / Carbon Black)转 CrowdStrike 的工程师:你有 EDR 概念基础,只需补上 Falcon 的特有术语和 console 操作。MSSP 特别喜欢这种多厂商背景,因为客户的 stack 各不相同。
  3. 求职者 + 目标明确进大企业 SOC:如果你研究过目标公司(比如查 LinkedIn 员工发帖、查公司 JD)确认他们用 Falcon,CCFA 比泛用型的 Security+ 更能让你通过简历筛选。配合 Splunk SPLK-1001(SIEM)一起考是最强组合,因为 SOC 日常 = Splunk 看告警 + Falcon 处置。

不建议考 CCFA 的人

  • 目标公司不用 CrowdStrike:比如你想进的企业明确用 Microsoft Defender for Endpoint,那应该直接考 SC-200 (Security Operations Analyst),和 Defender 完整集成。
  • 没有企业环境可练手的纯自学者:CrowdStrike 不提供个人试用,裸考 CCFA 通过率极低。如果短期内进不了 Falcon shop,先考 Security+ 或 CySA+ 更实际。
  • 想做通用型安全工程师/架构师:CCFA 太厂商化,对架构设计、云安全、合规治理这些方向帮助有限。CISSP 或 CCSP 更合适。
  • 2 年证书有效期的成本考量:CCFA 没有续证学分机制,到期必须重考(又是 $150 + 备考时间)。如果你不确定 2 年后还在 Falcon 环境工作,投入要慎重。

Study preparation

With hands-on AWS

3-5 weeks

From scratch

8-12 weeks

Daily pace

1-2 hours/day

Learning path preview

5 chapters
1
CCFA 考试概述与备考指南
45 min
2
Falcon 传感器部署与管理
90 min
3
策略配置与防护管理
90 min
4
用户管理与平台维护
90 min
5
考前冲刺与实战演练
60 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

1

第一阶段:CrowdStrike University 官方课程(2-3 周)

CCFA 唯一权威的学习材料是 CrowdStrike University 的 **CST 151 - Falcon Platform for New Administrators** 课程(约 20 小时视频 + lab)。这门课需要 CrowdStrike 客户账号访问,如果你公司是 Falcon 客户,让公司的 TAM (Technical Account Manager) 帮你开 University 权限。视频重点看 Sensor Deployment(Windows / macOS / Linux 三个平台的安装选项和卸载保护)、Policy Management(Prevention Policy 各个开关含义)、Host Management(Host Groups 动态 vs 静态分组)、RTR 基础命令。不要跳 lab — 考试里每道 RTR 语法题都对应 lab 里某个步骤。

2

第二阶段:Falcon Console 实操 + API 文档(2-4 周)

如果你能登公司的 Falcon 租户,把以下场景手动跑一遍:(1) 建一个测试 Host Group,把一台 VM 放进去;(2) 克隆 platform_default Prevention Policy,改个参数赋给这个 group 看生效时间;(3) 在 Host Management 页面隔离一台主机再解除隔离;(4) 用 RTR 连上去跑 `ls`、`cat`、`cd`、`reg query`、`ps` 这些基础命令,再试 `put` 和 `get` 上传/下载文件;(5) 写一条 Custom IOA — 比如检测 `cmd.exe` 父进程是 `explorer.exe` 且 Command Line 包含 `whoami`。同时把 **Falcon API Swagger** (assets.falcon.crowdstrike.com) 从头翻一遍,重点是 OAuth2 token 流程、API Scope 权限模型、Hosts API、RTR API。考试有 5-8 题直接考 API Scope 和 endpoint。

3

第三阶段:考试蓝图对照 + 模考(1-2 周)

CrowdStrike 官方发布的 **CCFA Exam Guide**(PDF 免费下载)列出了 5 大考试领域和每个领域的权重 — Falcon Platform (约 20%)、User/Role Management (10%)、Sensor Deployment (25%)、Host Management (20%)、Prevention & Sensor Update Policies (25%)。对照每个子项自查,不确定的回 University 视频补。CCFA 题库资源非常稀缺 — 市面上 **没有 Boson / MeasureUp 这种大厂模考**,只有 CrowdStrike University 课程内嵌的 Knowledge Check 和 Pluralsight 的一套 40 题练习题。避开所有 ExamTopics/SPOTO/dump 站,CrowdStrike 对 dump 采取取消证书 + 封账号处理。

4

第四阶段:考前冲刺 + 预约考试(最后 1 周)

最后一周集中背两张表 — (1) Prevention Policy 里每个 ML Slider(Cloud Machine Learning / Sensor Machine Learning)的四档含义:Disabled / Cautious / Moderate / Aggressive / Extra Aggressive,每档对应的 Detection vs Prevention 行为;(2) RTR 命令按执行范围分类:Read-Only(ls、cat、ps、netstat)、Active Responder(put、get、runscript)、Admin(reg delete、rm)。考前 2 天只刷 University 的 Knowledge Check 错题,不碰新内容。考试通过 Pearson VUE 预约,**首考建议选线下中心**,在家 OnVUE 监考严格,环境不达标会直接取消。及格线 80% 意味着 60 题里只能错 12 题,比 PCNSA/Security+ 容错率低很多,不能掉以轻心。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

我在一家四大银行的 SOC 做 L1 两年,每天都在 Falcon Console 看告警但从没系统学过策略配置。公司出钱让我考 CCFA,给了 4 周时间。因为有真实环境,我把所有 Prevention Policy 开关都在测试 Host Group 上玩了一遍 — 特别是 Next-Gen AV 的 ML Slider 四档之间的区别,只有动手调过才记得住。考试里有 3 道题直接问 ML Slider 某一档的行为描述,我秒选。最坑的是 API Scope 题 — Hosts Write 和 Hosts Read 的区别,如果没读过 Swagger 根本猜不对。最后 88% 过。

K. Liu88%
SOC L2 Analyst, Sydney (金融业) · 4 weeks prep

我之前做 Microsoft Defender for Endpoint,今年跳槽到一家 MSSP,他们同时维护 Falcon 和 SentinelOne 的客户。公司要求 3 个月内拿 CCFA。EDR 概念是通的(检测、隔离、回滚),但 Falcon 的 Host Group 动态分组用 Sensor Tags / OS / Hostname 这几个维度是全新的。**最容易搞混的是 Prevention Policy 和 Sensor Update Policy — 一个管行为检测、一个管 sensor 版本升级**,它们绑定 Host Group 的方式独立。考试里有 2 题专门测这个区别,我第一遍做错了回头才改过来。建议有其他 EDR 背景的人留 5-6 周,不要觉得概念通了就能裸考。

D. Nguyen83%
MSSP Security Engineer, Melbourne · 6 weeks prep

做了 3 年 Carbon Black Cloud,公司年初把 EDR 换成 Falcon,老板让整个团队 6 个月内全部过 CCFA。Carbon Black 的 Watchlist 和 Falcon 的 Custom IOA 思路类似但字段完全不同 — Falcon 的 IOA 字段层级是 Grandparent → Parent → Image(三层),CB 只有两层,这个差异每次写规则都要重新适应。RTR 是 Falcon 的杀手锏,CB 没有等价物,我花了整整一周在公司测试租户上练 RTR 命令。及格线 80% 让我压力很大 — 做完最后一题还剩 25 分钟,我又把所有标记的题全部回头检查了一遍才交卷,最终 81% 险过。给后面考的人一个建议:**RTR 命令题不是背语法就行,要理解每个命令需要什么 API Scope 和 Responder 角色**,这是组合考点。

端点安全工程师 3 年81%
从 Carbon Black 转 CrowdStrike · 5 weeks prep

Certification comparison

CCFACompTIA CySA+SC-200
Provider其他CompTIAAzure
Level专业级专业级助理级
Fee$300$404$0
Duration90 min165 min90 min
Question count608546
Validity3 yrs3 yrs3 yrs

Study tips and common mistakes

💡

**60 题 / 90 分钟 / 及格线 80%** — 平均 90 秒/题,时间够用,但 80% 及格线意味着只能错 12 题,容错率低于大多数安全认证。

💡

**没有 PBQ / 实操题 / Sim 题** — 全部是单选和多选,但题干经常给一段场景描述让你选最匹配的策略/命令/角色,读题要仔细。

💡

**多选题明确标注选几个** — "Select all that apply" 型的题必须全选对才给分,少选或多选都算错。不确定的宁可标记回头看。

💡

**遇到 Prevention Policy 开关题画表格** — 草稿纸上把 ML Slider / Quarantine / Script Monitoring 这几个开关和它们的四档值列出来对照题干场景,比脑算准确。

💡

**"Best Practice" 类题选最严格的配置** — CrowdStrike 官方立场是 Defense in Depth,遇到 "哪种配置最符合最佳实践" 选更保守的(如 Aggressive 而不是 Cautious,Quarantine 启用而不是禁用)。

💡

**RTR 命令语法题看清平台差异** — Windows 和 Linux 上某些命令行为不同(比如 `ls` 在 Windows 的 Falcon RTR 里也能用,这是 RTR 自己封装的,不是原生 cmd)。考试会故意混淆 PowerShell 语法和 RTR 语法,答案总是 RTR 原生命令。

💡

**考前背 Exam Guide 的 5 大领域权重** — Sensor Deployment 25% + Policies 25% 共 50%,这两块是大头,复习时间应该一半都压在这里。

💡

**首考选线下 Pearson VUE 中心** — OnVUE 在家考监考非常严格,桌面任何物品(水杯、纸、笔)都要清空,网络中断 30 秒直接取消。线下中心押金不到 20 AUD 更稳。

⚠️

**混淆 Prevention Policy 和 Sensor Update Policy** — 最高频送命题。Prevention Policy 控制 sensor 的检测/阻断行为(ML Slider、Quarantine、Script-based Execution Monitoring 这些开关),Sensor Update Policy 只控制 sensor 软件版本升级策略(n、n-1、n-2 或固定版本)。两个策略**独立绑定 Host Group**,互不相关。考试会问 "想让某组主机用旧版本 sensor 但启用最新的 Next-Gen AV 配置,该改哪个策略" → 答 Sensor Update Policy(版本)+ Prevention Policy(检测)两个都要配。选错任一个都扣分。

⚠️

**Host Groups 动态 vs 静态分组搞反** — Dynamic Host Group 用规则自动匹配(比如 OS = Windows AND Hostname contains "srv"),新主机一上线就自动归组;Static Host Group 手动添加 AID (Agent ID),新主机必须手动拖进去。考试场景:"公司每天装 50 台新 Windows server,希望它们自动应用严格的服务器策略" → 答 Dynamic Group + Prevention Policy。很多考生选 Static 以为 "静态更安全",直接错。

⚠️

**RTR 命令的权限范围不清** — RTR 命令分三档:**Read-Only**(ls、cat、cd、ps、netstat、reg query、ipconfig)不改变目标主机状态;**Active Responder**(put 上传文件、get 下载文件、runscript 跑脚本、cp、mv)可以影响主机;**Admin**(rm 删文件、reg delete 删注册表、kill 杀进程)最高权限。考试直接问 "哪个角色可以执行 `put` 命令" → Active Responder 或 Admin,不是 Read-Only。记这个分级最简单的办法:**读 vs 写 vs 毁**。

⚠️

**Custom IOA 和 Custom IOC 混为一谈** — **IOA (Indicator of Attack) 是行为规则**(如 "powershell 的父进程是 Office 应用"),基于进程树和命令行匹配;**IOC (Indicator of Compromise) 是静态指标**(如特定 MD5 哈希、域名、IP)。IOA 用在 Custom IOA Rule Group 里写,IOC 用在 IOC Management 页面导入。考试场景 "想拦截已知恶意软件的哈希" → IOC,"想检测 Office 宏启动 cmd" → IOA。两者在 Falcon Console 是完全独立的模块。

⚠️

**Falcon API 认证搞混 OAuth2 和 Legacy API Key** — Falcon API 现在统一用 **OAuth2 Client Credentials Grant** — 先用 Client ID + Secret 换 Bearer Token(有效期 30 分钟),再用 Token 调 API。很多考生以为像 AWS 那样直接用 Access Key 签名,错。另外每个 API Client 绑定的 **Scope** 决定能调什么 endpoint — 比如 `Hosts:Read` 只能查主机不能隔离,隔离需要 `Hosts:Write`。考试必考 Scope 和 endpoint 的对应关系。

⚠️

**假设 Prevention Policy 修改立即生效** — 不会。Policy 改完后 sensor 需要心跳同步才能拿到新配置,默认心跳间隔约 10 分钟,Reduced Functionality Mode 的主机可能更久。考试场景 "管理员刚改完 Prevention Policy,发现某主机还是旧行为" → 答 "等 sensor 下次心跳" 或 "手动触发 policy sync",不是 "策略配置错了"。

⚠️

**忽略 Sensor Tamper Protection 对卸载的影响** — Falcon sensor 默认开启 Uninstall Protection,**必须在 Falcon Console 生成 maintenance token** 才能从主机卸载 sensor。考试场景 "用户本地执行 `falcon-sensor.msi /uninstall` 但失败" → 答需要先在 Console 拿 maintenance token。这是 CrowdStrike 特色设计,其他 EDR 没有这么严格的卸载保护。

FAQ

Frequently Asked Questions

If you plan to take CCFA, start with real practice.

166+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $39 · 2 free chapters

Related certifications

CompTIA CySA+

CompTIA · 专业级
$40485 questions165 min

SC-200

Azure · 助理级
$046 questions90 min

Splunk SPLK-1001

其他 · 助理级
$065 questions90 min