5. Network Visibility and Segmentation Flashcards
Wat zijn de drie typen van Netflow cache?
- Normal
+ Flow cache removed (aged out) geabseerd op de timeout active of timeout inactive settings - Immediate
+ Gebruikt bij een single packet
+ Realtime traffic en DoS
+ Voor small flows - Permanent
+ Slaat de hele flow op
Wat is de NIST methodology voor de afhandeling van security incidenten?
- Preperation
- Detection & Analyse
- Containment, eradiction and recovery
- Post-incident activity
Wat is Stealthwatch FlowSensor?
Een netwerk device die gebruikt kan worden op device die Netflow niet ondersteunen. FlowSensor werkt op basis van SPAN
Welke telemetry sources kunnen samen met Netflow?
- DHCP logs
- VPN logs
- NAT
- 802.1X authentication logs
- Server logs (syslog)
- Web proxy logs
- Spam filters
Wat is IPFIX?
Internet Protocol Flow Information Export
De IETF standaard voor het formatteren en versturen van flow data tussen een exportere en collector.
Hoe werkt IPFIX?
Het is een push protocol die gebruik maakt van SCTP (kan ook TCP/UDP). IPFIX enabled deviceszenden IPFIX berichten naar zogenoemde collectors.
Wat zijn de IPFIX architectuur terminologien?
- Metering Proces (MP) - Genereert flow records van pakketjes. MP timestampt, sampled en classifies flows.
- Export Proces (EP) - Zend flows van MP naar CP.
- Collector Proces (CP) - Ontvng flow records vanuit de EP
Waar is het gebruik van Mediators goed voor in IPFIX?
De ImP kan
Netfow data anonimiseren, Netflow data sorteren, Netflow data filteren, web traffic proxien en IP trasnslation
Wat is Cisco Stealthwatch?
Een tool die Netflow data samenvoegd en normaliseert voor de toepassing van security analyses voor het ontdekken van malicious en suspicous activiteiten.
Wat zijn 4 soorten security threats die voorkomen in Stealthwatch?
- Netwerkverkenning (reconnaissance)
- Malware proliferation (groei/verspreiding
- Communicatie tussen de aanvaller en de aangevallen host
- Data exfiltratie (ongeautoriseerd vrijgeven van gegevens)
Wat zijn de primaire componenten van Cisco Stealthwatch?
- FlowCollector; een fysieke of virtuele appliance die Netflow data verzamelt van devices
- Stealthwatch Management Console (SMC)*
- Flow licenses; benodigd voor het samenvoegen van flows op de SMC*
Wat zijn de optionele componenten van Cisco Stealthwatch?
- FlowSensor; fysiek of virtuele appliance
- FlowReplicator (UDP Director); fysieke appliance voor het forwarden van Netflow data als een single data stream naar andere devices
Wat is de Netflow variant van Amazon AWS?
VPC Flow Logs
Wat is de Netflow variant van Google Cloud Platform?
GPC Flow Logs
Wat is de Netflow variant van Azure?
NSG Flow Logs
