Lección 1Fuentes de correo electrónico y mensajería: exportaciones de buzones, registros SMTP/IMAP, cabeceras de mensajes, políticas de retención y consideraciones de eDiscoveryEsta sección cubre artefactos probatorios de plataformas de correo electrónico y mensajería, incluyendo exportaciones de buzones, registros de protocolos, cabeceras de mensajes, reglas de retención y flujos de trabajo de eDiscovery, enfatizando autenticidad, integridad y métodos de recolección defendibles.
Formatos y herramientas de exportación de buzonesRegistros de servidores SMTP, IMAP y POPAnálisis de cabeceras y enrutamiento de mensajesPolíticas de retención y retención legalExportaciones de mensajes de chat y colaboraciónLección 2Visión general de fuentes de evidencia corporativas: endpoints, servidores, servicios en la nube, correo electrónico, plataformas de colaboración, VPN, DLP, MDM, registros de auditoría SaaSEsta sección proporciona una visión general estructurada de las fuentes comunes de evidencia corporativa, incluyendo endpoints, servidores, servicios en la nube, correo electrónico, plataformas de colaboración, VPN, DLP, MDM y registros de auditoría SaaS, destacando artefactos típicos y consideraciones de acceso.
Artefactos de endpoints y estaciones de trabajoFuentes de registros de servidores y bases de datosPlataformas de correo electrónico y colaboraciónRegistros de red, VPN y acceso remotoTelemetría de auditoría DLP, MDM y SaaSLección 3Fuentes de Prevención de Pérdida de Datos y SIEM: alertas DLP, registros de inspección de contenido, correlación de eventos SIEM y patrones de ingesta de alertasEsta sección explora plataformas de Prevención de Pérdida de Datos y SIEM como fuentes ricas de evidencia, explicando artefactos de alertas DLP, registros de inspección de contenido, normalización SIEM, reglas de correlación, triaje de alertas y patrones de ingesta que afectan la integridad y el valor investigativo.
Metadatos y contexto de alertas DLPRegistros de inspección y huellas dactilares de contenidoSeñales DLP de endpoint versus redReglas de análisis y normalización SIEMReglas de correlación y ajuste de casos de usoLección 4Evidencia de aplicaciones y plataformas de colaboración: registros de auditoría, historial de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboraciónEsta sección se centra en plataformas de aplicaciones y colaboración, examinando registros de auditoría, historiales de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboración, y explica cómo reconstruir acciones de usuarios y acceso a documentos durante investigaciones.
Registros de auditoría y actividad de aplicacionesHistorial de versiones de archivos y recuperaciónEnlaces de compartición y acceso externoListas de control de acceso y permisosComentarios y reacciones de colaboraciónExportación de rastros de auditoría de espacios de trabajoLección 5Priorización y retenciones legales: determinación del alcance para preservación rápida e emisión de notificaciones de retención legal a custodios y sistemasEsta sección explica cómo priorizar evidencia e implementar retenciones legales, definiendo alcance, identificando custodios y sistemas, emitiendo notificaciones de retención, coordinando con legal y RRHH, y monitoreando cumplimiento para prevenir destrucción o eliminación prematura.
Definición de alcance de custodios y fuentes de datosPriorización de evidencia basada en riesgoRedacción y emisión de retenciones legalesCoordinación con equipos legales y de RRHHMonitoreo de cumplimiento y liberación de retenciónLección 6Evidencia de red y perímetro: registros VPN, registros de proxy y firewall, NetFlow, capturas de paquetes (PCAP) recolección y mejores prácticas de retenciónEsta sección detalla evidencia de red y perímetro, incluyendo registros VPN, proxy y firewall, registros NetFlow e IPFIX, y capturas de paquetes, con orientación sobre sincronización de tiempo, almacenamiento, filtrado y estrategias de retención defendibles para investigaciones.
Registros de autenticación y sesiones VPNRegistros de actividad de proxy y pasarelas webImpactos de reglas de firewall y eventos denegadosRegistros de flujo NetFlow e IPFIXEstrategias de recolección de capturas de paquetesRetención y rotación de registros de redLección 7Móviles y medios extraíbles: copias de seguridad de dispositivos móviles, registros MDM, historiales de dispositivos USB y registros de instalación de dispositivos WindowsEsta sección examina dispositivos móviles y medios extraíbles como fuentes de evidencia, centrándose en artefactos de copias de seguridad, telemetría MDM, trazas de uso USB y registros de instalación de dispositivos Windows, con atención a preservación, validación y cadena de custodia.
Artefactos de copias de seguridad iOS y AndroidRegistros de inventario y cumplimiento MDMHistoriales de conexión y uso USBRegistros de instalación de dispositivos WindowsPreservación de evidencia móvil y USBLección 8Adquisición de datos de servidores y nube: exportaciones basadas en API, instantáneas de almacenamiento, metadatos de almacenamiento de objetos, registros de auditoría de proveedores en la nube (AWS CloudTrail, registros Azure AD, auditoría Google Workspace)Esta sección aborda la adquisición de datos de servidores y nube, incluyendo exportaciones basadas en API, instantáneas de almacenamiento, metadatos de almacenamiento de objetos y registros de auditoría de proveedores en la nube, con énfasis en definición de alcance, limitación, validación de integridad y preservación de evidencia entre regiones.
Recolección basada en agente versus sin agenteFlujos de trabajo de instantáneas de hipervisor y VMMetadatos y versiones de almacenamiento de objetosRegistros AWS CloudTrail y CloudWatchAuditorías Azure AD y Microsoft 365Registros de auditoría Google Workspace y GCPLección 9Adquisición de datos de endpoints: respuesta en vivo, captura de datos volátiles, imagen completa de disco, instantáneas de sistema de archivosEsta sección cubre técnicas de adquisición de datos de endpoints, incluyendo respuesta en vivo, captura de memoria volátil, imagen completa de disco e instantáneas de sistema de archivos, con atención a selección de herramientas, minimización de impacto y mantenimiento de integridad probatoria y documentación.
Procedimientos de triaje de respuesta en vivoRecolección de RAM y datos volátilesImagen completa de disco y particiónInstantáneas de sistema de archivos y volúmenesValidación de hashes y cadena de custodia
