Lekce 1Zdroje e-mailů a zpráv: exporty schránek, SMTP/IMAP logy, hlavičky zpráv, zásady uchovávání a úvahy o eDiscoveryTato sekce pokrývá důkazní artefakty z platforem pro e-maily a zprávy, včetně exportů schránek, protokolových logů, hlaviček zpráv, pravidel uchovávání a workflowů eDiscovery, s důrazem na autenticity, úplnost a obhajitelné metody sběru.
Formáty a nástroje pro export schránekSMTP, IMAP a POP serverové logyAnalýza hlaviček zpráv a směrováníZásady uchovávání a právní blokováníExporty zpráv z chatů a platforem pro spolupráciLekce 2Přehled korporátních zdrojů důkazů: koncové body, servery, cloudové služby, e-maily, platformy pro spolupráci, VPN, DLP, MDM, SaaS audit logyTato sekce poskytuje strukturovaný přehled běžných korporátních zdrojů důkazů, včetně koncových bodů, serverů, cloudových služeb, e-mailů, platforem pro spolupráci, VPN, DLP, MDM a SaaS audit logů, s důrazem na typické artefakty a úvahy o přístupu.
Artefakty koncových bodů a pracovních stanicZdroje logů serverů a databázíE-maily a platformy pro spolupráciSíťové, VPN a logy vzdáleného přístupuDLP, MDM a SaaS audit telemetrieLekce 3Zdroje DLP a SIEM: DLP upozornění, logy kontroly obsahu, korelace událostí SIEM a vzorce ingestí upozorněníTato sekce prozkoumává platformy pro prevenci úniku dat a SIEM jako bohaté zdroje důkazů, vysvětluje artefakty DLP upozornění, logy kontroly obsahu, normalizaci SIEM, korelační pravidla, triáž upozornění a vzorce ingestí ovlivňující úplnost a investigativní hodnotu.
Metadata a kontext DLP upozorněníLogy kontroly a otisků obsahuSignály DLP na koncových bodech vs. sítiPravidla parsování a normalizace SIEMKorelační pravidla a ladění použitíLekce 4Důkazy z aplikací a platforem pro spolupráci: audit logy, historie verzí souborů, sdílecí odkazy, seznamy kontroly přístupu a metadata spolupráceTato sekce se zaměřuje na aplikace a platformy pro spolupráci, zkoumá audit logy, historie verzí souborů, sdílecí odkazy, seznamy kontroly přístupu a metadata spolupráce a vysvětluje, jak rekonstruovat uživatelské akce a přístup k dokumentům během vyšetřování.
Audit a aktivní logy aplikacíHistorie verzí souborů a obnovaSdílecí odkazy a externí přístupSeznamy kontroly přístupu a oprávněníKomentáře a reakce ve spolupráciExporty audit stop pracovních prostorůLekce 5Prioritizace a právní blokování: určení rozsahu pro rychlou ochranu a vydávání oznámení o právním bloku správcům a systémůmTato sekce vysvětluje, jak prioritizovat důkazy a implementovat právní blokování, definovat rozsah, identifikovat správce a systémy, vydávat oznámení o bloku, koordinovat s právními a HR odděleními a monitorovat soulad, aby se zabránilo zničení nebo předčasnému smazání.
Určování správců a zdrojů datPrioritizace důkazů na základě rizikVytváření a vydávání právních blokůKoordinace s právními a HR týmyMonitorování souladu s blokem a uvolněníLekce 6Síťové a perimeterové důkazy: VPN logy, proxy a firewall logy, NetFlow, sběr a uchovávání packet capture (PCAP)Tato sekce podrobně popisuje síťové a perimeterové důkazy, včetně VPN, proxy a firewall logů, záznamů NetFlow a IPFIX a packet capture, s pokyny pro synchronizaci času, úložiště, filtrování a obhajitelné strategie uchovávání pro vyšetřování.
Autentizace a session logy VPNAktivní logy proxy a webových branShody pravidel firewall a události odepřeníZáznamy toků NetFlow a IPFIXStrategie sběru packet captureUchovávání a rotace síťových logůLekce 7Mobilní zařízení a odstranitelná média: zálohy mobilních zařízení, MDM logy, historie USB zařízení a logy instalace zařízení ve WindowsTato sekce zkoumá mobilní zařízení a odstranitelná média jako zdroje důkazů, zaměřuje se na artefakty záloh, telemetrii MDM, stopy použití USB a logy instalace zařízení ve Windows, s důrazem na ochranu, validaci a řetězec úschovy.
Artefakty záloh iOS a AndroidInventární a souladové logy MDMHistorie připojení a použití USBZáznamy instalace zařízení ve WindowsOchrana mobilních a USB důkazůLekce 8Získávání dat ze serverů a cloudu: exporty založené na API, snapshoty úložišť, metadata objektového úložiště, audit logy cloudových poskytovatelů (AWS CloudTrail, Azure AD logy, Google Workspace audit)Tato sekce řeší získávání dat ze serverů a cloudu, včetně exportů založených na API, snapshotů úložišť, metadat objektového úložiště a audit logů cloudových poskytovatelů, s důrazem na určení rozsahu, throttlování, validaci integrity a ochranu důkazů mezi regiony.
Sběr založený na agentech vs. bez agentůWorkflowy snapshotů hypervisorů a VMMetadata a verze objektového úložištěAWS CloudTrail a CloudWatch logyAzure AD a Microsoft 365 audityGoogle Workspace a GCP audit logyLekce 9Získávání dat z koncových bodů: live response, zachycení volatilních dat, úplné obrazování disků, snapshoty souborových systémůTato sekce pokrývá techniky získávání dat z koncových bodů, včetně live response, zachycení volatilní paměti, úplného obrazování disků a snapshotů souborových systémů, s důrazem na výběr nástrojů, minimalizaci dopadu a udržování důkazní integrity a dokumentace.
Postupy triáže live responseSběr RAM a volatilních datÚplné obrazování disků a partitionSnapshoty souborových systémů a svazkůValidace hašů a řetězec úschovy
