Leson 1Sources email et messagerie : exports de boîtes mail, journaux SMTP/IMAP, en-têtes de messages, politiques de rétention et considérations eDiscoveryCette section couvre les artefacts probants des plateformes email et messagerie, incluant exports de boîtes mail, journaux de protocoles, en-têtes de messages, règles de rétention et workflows eDiscovery, en mettant l'accent sur l'authenticité, la complétude et les méthodes de collecte défendables.
Formats et outils d'export de boîtes mailJournaux serveurs SMTP, IMAP et POPAnalyse des en-têtes et routage des messagesPolitiques de rétention et mise en garde juridiqueExports de messages chat et collaborationLeson 2Aperçu des sources de preuves d'entreprise : points d'extrémité, serveurs, services cloud, email, plateformes de collaboration, VPN, DLP, MDM, journaux d'audit SaaSCette section fournit un aperçu structuré des sources de preuves courantes en entreprise, incluant points d'extrémité, serveurs, services cloud, email, plateformes de collaboration, VPN, DLP, MDM et journaux d'audit SaaS, en soulignant les artefacts typiques et les considérations d'accès.
Artefacts points d'extrémité et postes de travailSources de journaux serveurs et bases de donnéesPlateformes email et collaborationJournaux réseau, VPN et accès distantTélémetrie DLP, MDM et audit SaaSLeson 3Sources DLP et SIEM : alertes DLP, journaux d'inspection de contenu, corrélation d'événements SIEM et patterns d'ingestion d'alertesCette section explore les plateformes de Prévention des Fuites de Données et SIEM comme sources riches de preuves, expliquant les artefacts d'alertes DLP, journaux d'inspection de contenu, normalisation SIEM, règles de corrélation, triage d'alertes et patterns d'ingestion affectant la complétude et la valeur investigative.
Métadonnées et contexte des alertes DLPJournaux d'inspection et empreintes de contenuSignaux DLP point d'extrémité vs réseauRègles d'analyse et normalisation SIEMRègles de corrélation et ajustement des cas d'usageLeson 4Preuves des plateformes d'applications et de collaboration : journaux d'audit, historique des versions de fichiers, liens de partage, listes de contrôle d'accès et métadonnées de collaborationCette section se concentre sur les plateformes d'applications et de collaboration, examinant journaux d'audit, historiques de versions de fichiers, liens de partage, listes de contrôle d'accès et métadonnées de collaboration, et explique comment reconstruire les actions des utilisateurs et l'accès aux documents lors des enquêtes.
Journaux d'audit et d'activité des applicationsHistorique et récupération des versions de fichiersLiens de partage et accès externeListes de contrôle d'accès et permissionsCommentaires et réactions de collaborationExport des historiques d'audit d'espaces de travailLeson 5Priorisation et mises en garde juridique : détermination de la portée pour une préservation rapide et émission de notifications de mise en garde aux gardiens et systèmesCette section explique comment prioriser les preuves et mettre en œuvre des mises en garde juridiques, définissant la portée, identifiant les gardiens et systèmes, émettant des notifications de mise en garde, coordonnant avec les équipes juridiques et RH, et surveillant la conformité pour prévenir la spoliation ou la suppression prématurée.
Définition de la portée des gardiens et sources de donnéesPriorisation des preuves basée sur le risqueRédaction et émission de mises en garde juridiquesCoordination avec les équipes juridiques et RHSurveillance de la conformité et libération des mises en gardeLeson 6Preuves réseau et périmètre : journaux VPN, journaux proxy et pare-feu, NetFlow, collecte et meilleures pratiques de rétention des captures de paquets (PCAP)Cette section détaille les preuves réseau et périmètre, incluant VPN, proxy et journaux pare-feu, enregistrements NetFlow et IPFIX, et captures de paquets, avec des conseils sur la synchronisation temporelle, le stockage, le filtrage et les stratégies de rétention défendables pour les enquêtes.
Journaux d'authentification et de session VPNJournaux d'activité proxy et passerelle webÉvénements de règles pare-feu et refusEnregistrements de flux NetFlow et IPFIXStratégies de collecte de captures de paquetsRétention et rotation des journaux réseauLeson 7Mobile et médias amovibles : sauvegardes d'appareils mobiles, journaux MDM, historiques d'appareils USB et journaux d'installation d'appareils WindowsCette section examine les appareils mobiles et médias amovibles comme sources de preuves, se concentrant sur les artefacts de sauvegarde, télémetrie MDM, traces d'utilisation USB et journaux d'installation d'appareils Windows, avec attention à la préservation, la validation et la chaîne de custody.
Artefacts de sauvegarde iOS et AndroidJournaux d'inventaire et conformité MDMHistoriques de connexion et utilisation USBEnregistrements d'installation d'appareils WindowsPréservation des preuves mobiles et USBLeson 8Acquisition de données serveurs et cloud : exports basés sur API, instantanés de stockage, métadonnées de stockage objet, journaux d'audit fournisseurs cloud (AWS CloudTrail, journaux Azure AD, audit Google Workspace)Cette section aborde l'acquisition de données serveurs et cloud, incluant exports basés sur API, instantanés de stockage, métadonnées de stockage objet et journaux d'audit fournisseurs cloud, avec emphase sur la définition de portée, le throttling, la validation d'intégrité et la préservation de preuves multi-régions.
Collecte basée sur agent vs sans agentWorkflows d'instantanés hyperviseur et VMMétadonnées et versions de stockage objetJournaux AWS CloudTrail et CloudWatchAudits Azure AD et Microsoft 365Journaux d'audit Google Workspace et GCPLeson 9Acquisition de données points d'extrémité : réponse en direct, capture de données volatiles, imagerie complète du disque, instantanés système de fichiersCette section couvre les techniques d'acquisition de données points d'extrémité, incluant réponse en direct, capture de mémoire volatile, imagerie complète du disque et instantanés système de fichiers, avec attention au choix d'outils, minimisation de l'impact et maintien de l'intégrité probante et documentation.
Procédures de triage en réponse en directCollecte de RAM et données volatilesImagerie complète disque et partitionInstantanés système de fichiers et volumesValidation de hachages et chaîne de custody
