Lección 1Fuentes de email y mensajería: exportaciones de buzones, logs SMTP/IMAP, cabeceras de mensajes, políticas de retención y consideraciones de eDiscoveryEsta sección cubre artefactos probatorios de plataformas de email y mensajería, incluyendo exportaciones de buzones, logs de protocolos, cabeceras de mensajes, reglas de retención y flujos de eDiscovery, enfatizando autenticidad, completitud y métodos de recolección defendibles.
Formatos y herramientas de exportación de buzonesLogs de servidores SMTP, IMAP y POPAnálisis de cabeceras y enrutamiento de mensajesPolíticas de retención y legal holdExportaciones de mensajes de chat y colaboraciónLección 2Resumen de fuentes de evidencia corporativa: endpoints, servidores, servicios en la nube, email, plataformas de colaboración, VPN, DLP, MDM, logs de auditoría SaaSEsta sección proporciona un resumen estructurado de fuentes comunes de evidencia corporativa, incluyendo endpoints, servidores, servicios en la nube, email, plataformas de colaboración, VPN, DLP, MDM y logs de auditoría SaaS, destacando artefactos típicos y consideraciones de acceso.
Artefactos de endpoints y estaciones de trabajoFuentes de logs de servidores y bases de datosPlataformas de email y colaboraciónLogs de red, VPN y acceso remotoTelemetría de auditoría DLP, MDM y SaaSLección 3Fuentes DLP y SIEM: alertas DLP, logs de inspección de contenido, correlación de eventos SIEM y patrones de ingesta de alertasEsta sección explora plataformas DLP y SIEM como fuentes ricas de evidencia, explicando artefactos de alertas DLP, logs de inspección de contenido, normalización SIEM, reglas de correlación, triaje de alertas y patrones de ingesta que afectan la completitud y valor investigativo.
Metadatos y contexto de alertas DLPLogs de inspección de contenido y huellas digitalesSeñales DLP de endpoint vs. redReglas de parsing y normalización SIEMReglas de correlación y ajuste de casos de usoLección 4Evidencia de aplicaciones y plataformas de colaboración: logs de auditoría, historial de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboraciónEsta sección se enfoca en plataformas de aplicaciones y colaboración, examinando logs de auditoría, historiales de versiones de archivos, enlaces de compartición, listas de control de acceso y metadatos de colaboración, y explica cómo reconstruir acciones de usuarios y acceso a documentos en investigaciones.
Logs de auditoría y actividad de aplicacionesHistorial de versiones de archivos y recuperaciónEnlaces de compartición y acceso externoListas de control de acceso y permisosComentarios y reacciones de colaboraciónExportación de rastros de auditoría de espacios de trabajoLección 5Priorización y legal holds: determinación de alcance para preservación rápida e issuing de notificaciones de legal hold a custodios y sistemasEsta sección explica cómo priorizar evidencia e implementar legal holds, definiendo alcance, identificando custodios y sistemas, emitiendo notificaciones de hold, coordinando con legal y RRHH, y monitoreando cumplimiento para prevenir destrucción o eliminación prematura.
Definición de alcance de custodios y fuentes de datosPriorización de evidencia basada en riesgoRedacción y emisión de legal holdsCoordinación con equipos legales y RRHHMonitoreo de cumplimiento y liberación de holdsLección 6Evidencia de red y perímetro: logs VPN, logs de proxy y firewall, NetFlow, recolección y mejores prácticas de retención de capturas de paquetes (PCAP)Esta sección detalla evidencia de red y perímetro, incluyendo logs VPN, proxy y firewall, registros NetFlow e IPFIX, y capturas de paquetes, con guía sobre sincronización de tiempo, almacenamiento, filtrado y estrategias de retención defendibles para investigaciones.
Logs de autenticación y sesiones VPNLogs de actividad de proxy y gateway webEventos de reglas de firewall y denegacionesRegistros de flujos NetFlow e IPFIXEstrategias de recolección de capturas de paquetesRetención y rotación de logs de redLección 7Móviles y medios removibles: backups de dispositivos móviles, logs MDM, historiales de dispositivos USB y logs de instalación de dispositivos WindowsEsta sección examina dispositivos móviles y medios removibles como fuentes de evidencia, enfocándose en artefactos de backups, telemetría MDM, trazas de uso USB y logs de instalación de dispositivos Windows, con atención a preservación, validación y cadena de custodia.
Artefactos de backups iOS y AndroidLogs de inventario y cumplimiento MDMHistoriales de conexión y uso USBRegistros de instalación de dispositivos WindowsPreservación de evidencia móvil y USBLección 8Adquisición de datos de servidores y nube: exportaciones basadas en API, snapshots de almacenamiento, metadatos de almacenamiento de objetos, logs de auditoría de proveedores en la nube (AWS CloudTrail, logs Azure AD, auditoría Google Workspace)Esta sección aborda adquisición de datos de servidores y nube, incluyendo exportaciones basadas en API, snapshots de almacenamiento, metadatos de almacenamiento de objetos y logs de auditoría de proveedores en la nube, enfatizando alcance, throttling, validación de integridad y preservación de evidencia cross-region.
Recolección con agente vs. sin agenteFlujos de trabajo de snapshots de hipervisor y VMMetadatos y versiones de almacenamiento de objetosLogs AWS CloudTrail y CloudWatchAuditorías Azure AD y Microsoft 365Logs de auditoría Google Workspace y GCPLección 9Adquisición de datos de endpoints: respuesta en vivo, captura de datos volátiles, imagen completa de disco, snapshots de filesystemEsta sección cubre técnicas de adquisición de datos de endpoints, incluyendo respuesta en vivo, captura de memoria volátil, imagen completa de disco y snapshots de filesystem, con atención a selección de herramientas, minimizando impacto y manteniendo integridad evidenciaria y documentación.
Procedimientos de triaje de respuesta en vivoRecolección de RAM y datos volátilesImagen completa de disco y particiónSnapshots de filesystem y volúmenesValidación de hashes y cadena de custodia
