Leçon 1Sources courriel et messagerie : exportations de boîtes de courrier, journaux SMTP/IMAP, en-têtes de messages, politiques de rétention et considérations eDiscoveryCette section couvre les artefacts probants des plateformes de courriel et de messagerie, incluant les exportations de boîtes de courrier, journaux de protocoles, en-têtes de messages, règles de rétention et flux de travail eDiscovery, en mettant l'accent sur l'authenticité, la complétude et les méthodes de collecte défendables.
Formats et outils d'exportation de boîtes de courrierJournaux de serveurs SMTP, IMAP et POPAnalyse des en-têtes de messages et du routagePolitiques de rétention et de mise en attente légaleExportations de messages de chat et de collaborationLeçon 2Aperçu des sources de preuves corporatives : points d'extrémité, serveurs, services cloud, courriel, plateformes de collaboration, VPN, DLP, MDM, journaux d'audit SaaSCette section fournit un aperçu structuré des sources de preuves corporatives courantes, incluant points d'extrémité, serveurs, services cloud, courriel, plateformes de collaboration, VPN, DLP, MDM et journaux d'audit SaaS, en soulignant les artefacts typiques et les considérations d'accès.
Artefacts des points d'extrémité et postes de travailSources de journaux de serveurs et bases de donnéesCourriel et plateformes de collaborationJournaux réseau, VPN et accès à distanceTélémesure d'audit DLP, MDM et SaaSLeçon 3Sources de prévention des pertes de données et SIEM : alertes DLP, journaux d'inspection de contenu, corrélation d'événements SIEM et modèles d'ingestion d'alertesCette section explore les plateformes de prévention des pertes de données et SIEM comme sources riches de preuves, expliquant les artefacts d'alertes DLP, journaux d'inspection de contenu, normalisation SIEM, règles de corrélation, triage d'alertes et modèles d'ingestion affectant la complétude et la valeur investigative.
Métadonnées et contexte des alertes DLPJournaux d'inspection et d'empreintes digitales de contenuSignaux DLP point d'extrémité versus réseauRègles d'analyse et de normalisation SIEMRègles de corrélation et réglage des cas d'usageLeçon 4Preuves des plateformes d'applications et de collaboration : journaux d'audit, historique des versions de fichiers, liens de partage, listes de contrôle d'accès et métadonnées de collaborationCette section se concentre sur les plateformes d'applications et de collaboration, examinant les journaux d'audit, historiques des versions de fichiers, liens de partage, listes de contrôle d'accès et métadonnées de collaboration, et explique comment reconstruire les actions des utilisateurs et l'accès aux documents lors des enquêtes.
Journaux d'audit et d'activité des applicationsHistorique et récupération des versions de fichiersLiens de partage et accès externeListes de contrôle d'accès et permissionsCommentaires et réactions de collaborationExportation des pistes d'audit d'espaces de travailLeçon 5Priorisation et mises en attente légales : détermination de la portée pour une préservation rapide et émission d'avis de mise en attente légale aux gardiens et systèmesCette section explique comment prioriser les preuves et mettre en œuvre des mises en attente légales, définissant la portée, identifiant les gardiens et systèmes, émettant des avis de mise en attente, coordonnant avec les équipes juridiques et RH, et surveillant la conformité pour prévenir la spoliation ou la suppression prématurée.
Délimitation des gardiens et sources de donnéesPriorisation des preuves basée sur les risquesRédaction et émission de mises en attente légalesCoordination avec les équipes juridiques et RHSurveillance de la conformité et libération des mises en attenteLeçon 6Preuves réseau et périmètre : journaux VPN, journaux proxy et pare-feu, NetFlow, collecte et meilleures pratiques de rétention des captures de paquets (PCAP)Cette section détaille les preuves réseau et périmètre, incluant VPN, proxy et journaux pare-feu, enregistrements NetFlow et IPFIX, et captures de paquets, avec des conseils sur la synchronisation temporelle, le stockage, le filtrage et les stratégies de rétention défendables pour les enquêtes.
Journaux d'authentification et de session VPNJournaux d'activité proxy et passerelle webÉvénements de règles pare-feu et refusEnregistrements de flux NetFlow et IPFIXStratégies de collecte de captures de paquetsRétention et rotation des journaux réseauLeçon 7Appareils mobiles et médias amovibles : sauvegardes d'appareils mobiles, journaux MDM, historiques d'appareils USB et journaux d'installation d'appareils WindowsCette section examine les appareils mobiles et médias amovibles comme sources de preuves, se concentrant sur les artefacts de sauvegarde, télémesure MDM, traces d'utilisation USB et journaux d'installation d'appareils Windows, avec attention à la préservation, validation et chaîne de custody.
Artefacts de sauvegarde iOS et AndroidJournaux d'inventaire et de conformité MDMHistoriques de connexion et d'utilisation USBEnregistrements d'installation d'appareils WindowsPréservation des preuves mobiles et USBLeçon 8Acquisition de données serveurs et cloud : exportations basées sur API, instantanés de stockage, métadonnées de stockage d'objets, journaux d'audit des fournisseurs cloud (AWS CloudTrail, journaux Azure AD, audit Google Workspace)Cette section aborde l'acquisition de données serveurs et cloud, incluant exportations basées sur API, instantanés de stockage, métadonnées de stockage d'objets et journaux d'audit des fournisseurs cloud, avec emphase sur la délimitation, limitation, validation d'intégrité et préservation de preuves inter-régions.
Collecte basée sur agents versus sans agentsFlux de travail d'instantanés d'hyperviseur et VMMétadonnées et versions de stockage d'objetsJournaux AWS CloudTrail et CloudWatchAudits Azure AD et Microsoft 365Journaux d'audit Google Workspace et GCPLeçon 9Acquisition de données points d'extrémité : réponse en direct, capture de données volatiles, imagerie complète de disque, instantanés de système de fichiersCette section couvre les techniques d'acquisition de données points d'extrémité, incluant réponse en direct, capture de mémoire volatile, imagerie complète de disque et instantanés de système de fichiers, avec attention au choix d'outils, minimisation d'impact et maintien de l'intégrité probante et documentation.
Procédures de triage de réponse en directCollecte de RAM et données volatilesImagerie complète de disque et partitionInstantanés de système de fichiers et volumesValidation des hachages et chaîne de custody
