Lección 1Fuentes de correo electrónico y mensajería: exportaciones de buzones, registros SMTP/IMAP, encabezados de mensajes, políticas de retención y consideraciones de eDiscoveryEsta sección cubre artefactos probatorios de plataformas de correo electrónico y mensajería, incluyendo exportaciones de buzones, registros de protocolos, encabezados de mensajes, reglas de retención y flujos de trabajo de eDiscovery, enfatizando autenticidad, completitud y métodos de recolección defendibles.
Formatos y herramientas de exportación de buzonesRegistros de servidores SMTP, IMAP y POPAnálisis de encabezados y enrutamiento de mensajesPolíticas de retención y retención legalExportaciones de mensajes de chat y colaboraciónLección 2Resumen de fuentes de evidencia corporativa: endpoints, servidores, servicios en la nube, correo, plataformas de colaboración, VPN, DLP, MDM, registros de auditoría SaaSEsta sección proporciona un resumen estructurado de fuentes comunes de evidencia corporativa, incluyendo endpoints, servidores, servicios en la nube, correo, plataformas de colaboración, VPN, DLP, MDM y registros de auditoría SaaS, destacando artefactos típicos y consideraciones de acceso.
Artefactos de endpoints y estaciones de trabajoFuentes de registros de servidores y bases de datosPlataformas de correo y colaboraciónRegistros de red, VPN y acceso remotoTelemetría de auditoría DLP, MDM y SaaSLección 3Fuentes de Prevención de Pérdida de Datos y SIEM: alertas DLP, registros de inspección de contenido, correlación de eventos SIEM y patrones de ingesta de alertasEsta sección explora plataformas de Prevención de Pérdida de Datos y SIEM como fuentes ricas de evidencia, explicando artefactos de alertas DLP, registros de inspección de contenido, normalización SIEM, reglas de correlación, triaje de alertas y patrones de ingesta que afectan la completitud y el valor investigativo.
Metadatos y contexto de alertas DLPRegistros de inspección y huella digital de contenidoSeñales DLP de endpoint vs. redReglas de análisis y normalización SIEMReglas de correlación y ajuste de casos de usoLección 4Evidencia de aplicaciones y plataformas de colaboración: registros de auditoría, historial de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboraciónEsta sección se centra en aplicaciones y plataformas de colaboración, examinando registros de auditoría, historiales de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboración, y explica cómo reconstruir acciones de usuarios y acceso a documentos durante investigaciones.
Registros de auditoría y actividad de aplicacionesHistorial de versiones y recuperación de archivosEnlaces de compartición y acceso externoListas de control de acceso y permisosComentarios y reacciones de colaboraciónExportación de rastros de auditoría de espacios de trabajoLección 5Priorización y retenciones legales: determinación de alcance para preservación rápida e emisión de notificaciones de retención legal a custodios y sistemasEsta sección explica cómo priorizar evidencia e implementar retenciones legales, definiendo alcance, identificando custodios y sistemas, emitiendo notificaciones de retención, coordinando con legal y RRHH, y monitoreando cumplimiento para prevenir destrucción o eliminación prematura.
Definición de alcance de custodios y fuentes de datosPriorización de evidencia basada en riesgoRedacción y emisión de retenciones legalesCoordinación con equipos legales y de RRHHMonitoreo de cumplimiento y liberación de retenciónLección 6Evidencia de red y perímetro: registros VPN, registros de proxy y firewall, NetFlow, recolección y mejores prácticas de retención de capturas de paquetes (PCAP)Esta sección detalla evidencia de red y perímetro, incluyendo registros VPN, proxy y firewall, registros NetFlow e IPFIX, y capturas de paquetes, con orientación sobre sincronización de tiempo, almacenamiento, filtrado y estrategias de retención defendibles para investigaciones.
Registros de autenticación y sesiones VPNRegistros de actividad de proxy y puerta de enlace webImpactos de reglas de firewall y eventos denegadosRegistros de flujo NetFlow e IPFIXEstrategias de recolección de capturas de paquetesRetención y rotación de registros de redLección 7Móviles y medios removibles: respaldos de dispositivos móviles, registros MDM, historiales de dispositivos USB y registros de instalación de dispositivos WindowsEsta sección examina dispositivos móviles y medios removibles como fuentes de evidencia, enfocándose en artefactos de respaldos, telemetría MDM, rastros de uso USB y registros de instalación de dispositivos Windows, con atención a preservación, validación y cadena de custodia.
Artefactos de respaldos iOS y AndroidRegistros de inventario y cumplimiento MDMHistoriales de conexión y uso USBRegistros de instalación de dispositivos WindowsPreservación de evidencia móvil y USBLección 8Adquisición de datos de servidores y nube: exportaciones basadas en API, instantáneas de almacenamiento, metadatos de almacenamiento de objetos, registros de auditoría de proveedores en la nube (AWS CloudTrail, registros Azure AD, auditoría Google Workspace)Esta sección aborda adquisición de datos de servidores y nube, incluyendo exportaciones basadas en API, instantáneas de almacenamiento, metadatos de almacenamiento de objetos y registros de auditoría de proveedores en la nube, con énfasis en definición de alcance, limitación, validación de integridad y preservación de evidencia entre regiones.
Recolección basada en agente vs. sin agenteFlujos de trabajo de instantáneas de hipervisor y VMMetadatos y versiones de almacenamiento de objetosRegistros AWS CloudTrail y CloudWatchAuditorías Azure AD y Microsoft 365Registros de auditoría Google Workspace y GCPLección 9Adquisición de datos de endpoints: respuesta en vivo, captura de datos volátiles, imagen completa de disco, instantáneas de sistema de archivosEsta sección cubre técnicas de adquisición de datos de endpoints, incluyendo respuesta en vivo, captura de memoria volátil, imagen completa de disco e instantáneas de sistema de archivos, con atención a selección de herramientas, minimización de impacto y mantenimiento de integridad probatoria y documentación.
Procedimientos de triaje de respuesta en vivoRecolección de RAM y datos volátilesImagen completa de disco y particiónInstantáneas de sistema de archivos y volúmenesValidación de hashes y cadena de custodia
