logo
其他专业级🔒 安全

CrowdStrike Certified Falcon Hunter

CrowdStrike Falcon 威胁猎手认证,验证您在使用 Falcon 平台进行主动威胁狩猎和高级调查方面的能力。

Start PracticeBrowse Learning Path
$300
Exam Fee
60
Questions
90m
Exam Duration
70/100
Passing Score
?
Bottom line · It depends

在用 CrowdStrike Falcon 的 SOC 团队里做 Threat Hunting 的人直接考,但全球 Falcon 客户约 2.9 万家,岗位池远小于通用安全认证如 GIAC GCIH。

MEMBERSHIP

JR Academy Membership

Unlock all certifications, courses & tools at a fraction of the cost

  • All certification exam prep included
  • Course discounts up to 50%
  • AI tools & Chrome extensions
  • Priority 1-on-1 coaching
View Membership Plans

What this certification covers

This page is structured for quick scanning first: exam format, fit, prep time, and the actual study scope.

CCFH-202(CrowdStrike Certified Falcon Hunter)是 CrowdStrike 认证体系中面向威胁猎手的专项认证。考试 60 题 / 90 分钟 / $300 USD,及格线 70%,有效期 3 年。

考试核心围绕 Falcon 平台的 Event Search 和 Investigate 功能。Event Search 用 Splunk-like 的查询语法(SPL 变体)在 Falcon 存储的 EDR 遥测数据中搜索 IOC 和异常行为 — 比如搜 event_simpleName=ProcessRollup2 AND FileName=powershell.exe AND CommandLine="-enc" 来找 encoded PowerShell 执行。Investigate 模块提供进程树可视化、横向移动关联、网络连接图。考试还会考 MITRE ATT&CK 框架映射(Falcon 的 Detection 自动标注 ATT&CK TTP)和自定义 IOA(Indicator of Attack)规则编写。

CrowdStrike 在 Gartner 2024 Endpoint Protection 魔力象限稳坐 Leader,截至 2025 年 Q1 有约 29,000 家企业客户。但 CCFH 是纯厂商认证 — 跳槽到用 SentinelOne 或 Microsoft Defender for Endpoint 的公司时,这张证没有直接加分。

You will work with

Threat HuntingEvent SearchQuery WritingFalcon Investigation

After preparation

  • 获得 CrowdStrike Certified Falcon Hunter 认证
  • 掌握核心考试领域的知识和最佳实践
  • 提升安全领域职业竞争力和薪资水平

Exam details

Exam Code
CCFH-202
Provider
其他认证机构
Duration
90 minutes
Question Count
60 questions
Passing Score
70/100
Validity
3 years
Exam Fee
$300 USD
Question Types
Single choice, Multiple select
Languages
English
Official Page
Open AWS page

Who should take it

Good fit

  • 信息安全工程师和安全分析师
  • 安全运营和安全管理人员
  • 希望获得 CCFH-202 认证的 IT 专业人员
  • 网络安全领域求职者和转行者

Before you start

  • 具备基本的信息安全知识
  • 了解网络和系统管理基础
  • 建议有相关领域的实际工作经验

Is it worth it? Career value

Salary ranges, target job titles, and the real career impact of holding CCFH-202.

澳洲
$120K-165KAUD
美国
$110K-155KUSD
新加坡
$80K-130KSGD
Threat HunterSOC Analyst (L2/L3)Detection EngineerIncident Responder威胁猎人安全分析师

Threat Hunter 是安全领域薪资天花板最高的技术岗之一(美国 Senior Threat Hunter 中位数约 $140K),但要求也高 — 需要同时懂 ATT&CK 框架、操作系统内部机制、网络协议分析和至少一个 EDR 平台的深度使用。

CCFH-202 在 CrowdStrike 客户内部有很高的认可度,尤其是 MSSP(Managed Security Service Provider)招 Falcon 运维人员时会优先看这个证。在 Indeed 上搜 "CrowdStrike Falcon" 的美国岗位约 800-1000 个,其中约 30% 提到 CCFH 或 "CrowdStrike certification preferred"。

不适合的人:做安全管理(GRC)不做技术分析的人、所在公司不用 CrowdStrike 的人、想要通用安全认证(考 GIAC GCIH 或 CompTIA CySA+)。

Study preparation

With hands-on AWS

3-5 weeks

From scratch

8-10 weeks

Daily pace

1-2 hours/day

Learning path preview

4 chapters
1
CCFH-202 考试概述与备考指南
45 min
2
事件搜索与查询编写
90 min
3
主动威胁狩猎与高级调查
90 min
4
考前冲刺与实战演练
60 min

Step-by-step preparation

A concrete week-by-week plan from past test-takers — not generic advice.

1

第一阶段:Falcon 控制台操作基础(1-2 周)

如果公司有 Falcon 环境,直接在 Event Search 里练查询。没有的话,CrowdStrike University 提供 Falcon Go 试用(需联系销售)。第一周目标:能用 Event Search 查到 ProcessRollup2、NetworkConnect、DnsRequest 三类事件,理解 Falcon 的事件分类体系(SensorEvent vs PlatformEvent)。

2

第二阶段:Event Search 查询语法(2 周)

这是考试的核心。必须掌握的查询模式:按进程链搜索(ParentBaseFileName + FileName)、按网络行为搜索(RemoteAddressIP4 + RemotePort)、时间过滤(earliest/latest)、聚合函数(stats count by FileName)。每天写 10 条不同的猎杀查询,覆盖 credential dumping、lateral movement、persistence 三类场景。

3

第三阶段:ATT&CK 映射 + IOA 规则(1 周)

Falcon 的 Custom IOA 规则编写是高频考点。理解 IOA Group 的层级结构、规则触发条件(Process Creation/File Write/Registry Modification)、Action 类型(Detect/Block/Monitor)。同时过一遍 MITRE ATT&CK 的 Tactic-Technique 层级,Falcon 的 Detection 会自动映射 TTP 编号,考试会考根据 Detection 描述判断对应的 ATT&CK Technique。

4

第四阶段:CrowdStrike University 模考(1 周)

CrowdStrike University 有官方 Practice Assessment,是最接近真实考试的资源。错题重点回顾 Event Search 语法细节和 Investigate 模块的操作流程。

Real test-taker experiences

What it actually took for real candidates to pass — prep time, scores, and lessons learned.

日常就用 Falcon 做 Hunting,考试内容跟实际工作重合度很高。**Event Search 查询题占了一半以上** — 给你一个猎杀场景(比如找 LSASS memory dump),让你写查询或判断哪个查询能找到。不在 Falcon 里练过真实查询的人肯定过不了。

SOC L3 分析师82%
MSSP, 5 年经验 · 4 weeks prep

我之前用 SentinelOne,转到 CrowdStrike 后公司要求考 CCFH。最大的坑是 Falcon 的事件命名规范 — ProcessRollup2 不是 "process creation",NetworkConnect 不是 "network connection",这套命名必须背。另外 Custom IOA 规则的正则表达式语法跟标准 regex 有细微差异。

Y. Kim
Detection Engineer · 8 weeks prep

Certification comparison

CCFH-202CCFACompTIA CySA+
Provider其他其他CompTIA
Level专业级专业级专业级
Fee$300$300$404
Duration90 min90 min165 min
Question count606085
Validity3 yrs3 yrs3 yrs

Study tips and common mistakes

💡

**Event Search 查询默认时间范围** — Falcon 默认搜索最近 7 天,考试场景题里如果时间范围不对会搜不到结果,注意 earliest/latest 参数。

💡

**Investigate 模块的进程树** — 考试会给进程树截图让你判断攻击链,注意看 ParentProcess 和 CommandLine 参数的细节。

💡

**MITRE ATT&CK 不用背所有 Technique** — 但 T1003 (Credential Dumping)、T1059 (Command and Scripting Interpreter)、T1053 (Scheduled Task) 这几个高频 TTP 必须认识。

⚠️

**Event Search 查询语法跟 Splunk SPL 混淆** — Falcon 的查询语法受 SPL 启发但不完全相同,比如通配符用法和聚合函数名有差异,不要想当然。

⚠️

**不理解 Falcon 的事件层级** — SensorEvent(原始遥测)vs PlatformEvent(Falcon 平台生成的事件)区别是基础题,但很多人搞不清。

⚠️

**Custom IOA 规则的 Action 类型选错** — Detect = 只告警、Block = 阻止执行、Monitor = 不告警只记录日志。场景题里一字之差结论完全不同。

FAQ

Frequently Asked Questions

If you plan to take CCFH-202, start with real practice.

88+ questions, chapter-by-chapter learning, mock exams, wrong-question review, and AI tutor support live in the exam page.

Go to exam prep

From $39 · 2 free chapters

Related certifications

CCFA

其他 · 专业级
$30060 questions90 min

CompTIA CySA+

CompTIA · 专业级
$40485 questions165 min

CompTIA Security+

CompTIA · 助理级
$39290 questions90 min