LF11bV2 Deck 2

Question 1

Netzwerkmonitoring

Answer 1

Kontinuierliche Überwachung von Netzwerkverkehr Leistung Parametern und Sicherheit auf Anomalien [file:45]

Question 2

Intrusion Detection System

Answer 2

IDS überwacht Netzwerkverkehr auf verdächtige Muster und bekannte Angriffssignaturen

Question 3

Intrusion Prevention System

Answer 3

IPS erkennt und blockiert Angriffe aktiv während IDS nur Alarmiert

Question 4

Signature-based Detection

Answer 4

Vergleicht Netzwerkpakete mit Datenbank bekannter Angriffssignaturen Malware-Muster

Question 5

Anomaly-based Detection

Answer 5

Erkennt Abweichungen vom normalen Verkehrsverhalten durch statistische Modelle Baseline

Question 6

Netzwerk-Sniffer

Answer 6

Softwarehardware die Netzwerkpakete abfängt und analysiert Wireshark tcpdump

Question 7

Packet Capture PCAP

Answer 7

Aufzeichnung von Netzwerkpaketen zur späteren Analyse forensische Untersuchung

Question 8

Flow-basierte Analyse

Answer 8

Zusammenfassung von Paketströmen nach 5-Tupel IP-Quelle Ziel Port Protokoll

Question 9

NetFlow

Answer 9

Cisco-Protokoll für Flow-Daten Sammlung Router sammelt aggregierte Traffic-Statistiken

Question 10

sFlow

Answer 10

Sampling-basierte Flow-Analyse 1:1000 Pakete Router sendet Samples an Collector

Question 11

Traffic Mirror Port

Answer 11

SPAN-Port schickt Kopie allen Traffic eines Ports an Monitoring-Port

Question 12

Deep Packet Inspection

Answer 12

DPI analysiert Payload-Inhalte über Header hinaus Protokollidentifikation

Question 13

Protocol Anomaly

Answer 13

Ungewöhnliche Protokoll-Implementierungen TCP-Flags Fenstergrößen

Question 14

Traffic Volume Anomaly

Answer 14

Plötzlicher Datenflussanstieg >1000% normaler Baseline DDoS-Verdacht

Question 15

Connection Rate Anomaly

Answer 15

Neue Verbindungen/Sekunde übersteigt normalen Wert Scanner Botnet

Question 16

Port Scan Detection

Answer 16

Sequenzielle Portabfragen gleicher Quelle Nmap-Signatur

Question 17

SYN Flood Detection

Answer 17

Zu viele SYN-Pakete ohne ACK-Antwort halboffene Verbindungen

Question 18

UDP Flood Detection

Answer 18

Hohe Rate UDP-Pakete ohne Antwort DNS Amplification

Question 19

ICMP Flood Detection

Answer 19

Ping Flood Smurf-Attacke hohe ICMP Echo Request Rate

Question 20

DNS Query Anomaly

Answer 20

Hohe Rate DNS-Anfragen gleicher Quelle Amplification-Vorbereitung

Question 21

HTTP GET Flood

Answer 21

Hohe Rate HTTP-GET-Requests gleicher User-Agent Slowloris

Question 22

Slowloris Attack

Answer 22

Halte HTTP-Verbindungen offen minimaler Traffic Ressourcen erschöpfen

Question 23

Protocol Field Anomaly

Answer 23

Ungewöhnliche TCP-Flags Xmas Scan Null Scan

Question 24

Traffic Baseline

Answer 24

Normales Verkehrsverhalten Tageszeit abhängig für Anomaly-Detection

Question 25

Alert Triage

Answer 25

Priorisierung von Alarmen nach Schweregrad False Positive Filter

Question 26

False Positive

Answer 26

Legitimer Traffic als Angriff falsch klassifiziert ermüdet SOC

Question 27

False Negative

Answer 27

Angriff übersehen wird nicht detektiert gefährlichste Situation

Question 28

SIEM Integration

Answer 28

IDS-Alarme in Security Information Event Management korrelieren

Question 29

Alert Fatigue

Answer 29

Zu viele Alarme ignorieren durch SOC-Analysten Burnout

Question 30

Honeypot

Answer 30

Lockvogel-System sammelt Angreifer-Intelligenz Tarpit

Question 31

Canary Token

Answer 31

DateiRegistryKey das bei Zugriff Alarm triggert

Question 32

Network Tap

Answer 32

Hardware-Splitter kopiert Traffic parallel Monitoring

Question 33

Inline IPS Position

Answer 33

Traffic-Pfad blockiert verdächtige Pakete Latency-Einfluss

Question 34

Out-of-Band IDS Position

Answer 34

Traffic-Kopie keine Verzögerung aber kein Blocken

Question 35

Stealth Mode IDS

Answer 35

Undetectable passive Monitoring ARP-Poisoning-Resistenz

Question 36

SPAN Port Configuration

Answer 36

Destination-Port für Mirror-Traffic VLAN-Filter

Question 37

RSPAN Remote SPAN

Answer 37

Traffic über VLAN-Trunk zu remote Analyzer

Question 38

ERSPAN Encapsulated RSPAN

Answer 38

Traffic getunnelt über IP zu remote Collector

Question 39

NetFlow Collector

Answer 39

Zentrale Station aggregiert Flow-Daten visualisiert

Question 40

Flow Cache

Answer 40

Router-interner Puffer aktive Flows Timeout-Schwelle

Question 41

NetFlow Version 9

Answer 41

Template-basierte flexible Felder IPv6-Unterstützung

Question 42

IPFIX Internet Protocol Flow Information Export

Answer 42

Standardisierte NetFlow IETF

Question 43

sFlow Sample Rate

Answer 43

1:512 bedeutet jedes 512. Paket wird gesampled

Question 44

Packet Sampling

Answer 44

Statistische Repräsentation statt kompletter Capture

Question 45

Deterministic Sampling

Answer 45

Feste Intervalle z.B. jedes 1000. Paket

Question 46

Adaptive Sampling

Answer 46

Dynamische Rate basierend auf Traffic-Last

Question 47

Flow Timeout

Answer 47

Inaktive Flows werden nach Zeit z.B. 15min exportiert

Question 48

Active Timeout

Answer 48

Hohe Frequenz Flows z.B. alle 30sek exportiert

Question 49

NetFlow Fields

Answer 49

Src/Dst IP Port Bytes Packets ToS Input/Output Interface

Question 50

AS Flow

Answer 50

Autonomous System Number BGP-Peering Traffic

Question 51

BGP Flow

Answer 51

Border Gateway Protocol Flow-Export Routing-Analyse

Question 52

VLAN Flow

Answer 52

VLAN-ID in NetFlow für Segmentierung

Question 53

MPLS Flow

Answer 53

Label-Information für Layer3-VPN Traffic

Question 54

QoS Flow

Answer 54

DSCP EF AFxy Priorisierung Traffic

Question 55

TOS Type of Service

Answer 55

8-Bit QoS-Feld Priorität Verzögerung Throughput

Question 56

DDoS Detection

Answer 56

Traffic-Spitzen >10Gbps Volumen-basierte Erkennung

Question 57

Botnet C&C Detection

Answer 57

Regelmäßige Beaconing zu festen IPs

Question 58

Data Exfiltration Detection

Answer 58

Hoher Datenfluss aus internem Netz

Question 59

Lateral Movement Detection

Answer 59

Interne Port-Scans SMB RDP Traffic

Question 60

Command and Control

Answer 60

Periodische Anfragen an externe C2-Server

Question 61

Beaconing Traffic

Answer 61

Regelmäßige Timer-basierte Server-Requests Malware

Question 62

DNS Tunneling Detection

Answer 62

Hohe Anzahl DNS-Queries gleicher Domain

Question 63

HTTP Tunneling

Answer 63

Protokollcamouflage über Port 80/443

Question 64

ICMP Tunneling

Answer 64

Ping mit Payload Datenexfiltration