שיעור 1מקורות דוא"ל ומסרים: ייצוא תיבות דואר, יומני SMTP/IMAP, כותרות הודעות, מדיניות שמירה ושיקולים ב-eDiscoveryחלק זה מכסה ממצאים ראייתיים מפלטפורמות דוא"ל ומסרים, כולל ייצוא תיבות דואר, יומני פרוטוקול, כותרות הודעות, כללי שמירה ותהליכי eDiscovery, תוך דגש על אותנטיות, שלמות ושיטות איסוף מוגנות.
Mailbox export formats and toolsSMTP, IMAP, and POP server logsMessage headers and routing analysisRetention and legal hold policiesChat and collaboration message exportsשיעור 2סקירה כללית של מקורות ראיות ארגוניים: נקודות קצה, שרתים, שירותי ענן, דוא"ל, פלטפורמות שיתוף, VPN, DLP, MDM, יומני ביקורת SaaSחלק זה מספק סקירה מובנית של מקורות ראיות ארגוניים נפוצים, כולל נקודות קצה, שרתים, שירותי ענן, דוא"ל, פלטפורמות שיתוף פעולה, VPN, DLP, MDM ויומני ביקורת SaaS, תוך הדגשת ממצאים טיפוסיים ושיקולי גישה.
Endpoint and workstation artifactsServer and database log sourcesEmail and collaboration platformsNetwork, VPN, and remote access logsDLP, MDM, and SaaS audit telemetryשיעור 3מקורות DLP ו-SIEM: התראות DLP, יומני בדיקת תוכן, קורלציית אירועי SIEM ודפוסי קלט התראותחלק זה בוחן פלטפורמות DLP ו-SIEM כמקורות ראיות עשירים, מסביר ממצאי התראות DLP, יומני בדיקת תוכן, נורמליזציה של SIEM, כללי קורלציה, סינון התראות ודפוסי קלט המשפיעים על שלמות וערך חקירתי.
DLP alert metadata and contextContent inspection and fingerprint logsEndpoint versus network DLP signalsSIEM parsing and normalization rulesCorrelation rules and use case tuningשיעור 4ראיות מיישומים ופלטפורמות שיתוף: יומני ביקורת, היסטוריית גרסאות קבצים, קישורי שיתוף, רשימות בקרת גישה ומטא-נתוני שיתוףחלק זה מתמקד בפלטפורמות יישומים ושיתוף פעולה, בוחן יומני ביקורת, היסטוריית גרסאות קבצים, קישורי שיתוף, רשימות בקרת גישה ומטא-נתוני שיתוף, ומסביר כיצד לשחזר פעולות משתמש וגישה למסמכים בחקירות.
Application audit and activity logsFile version history and recoverySharing links and external accessAccess control lists and permissionsCollaboration comments and reactionsExporting workspace audit trailsשיעור 5תיעדוף והקפאות משפטיות: קביעת היקף לשמירה מהירה והוצאת הודעות הקפאה לאחראים ומערכותחלק זה מסביר כיצד לתעדף ראיות ולממש הקפאות משפטיות, הגדרת היקף, זיהוי אחראים ומערכות, הוצאת הודעות הקפאה, תיאום עם משפטי ומשאבי אנוש ומעקב אחר ציות למניעת השמדה או מחיקה מוקדמת.
Scoping custodians and data sourcesRisk-based evidence prioritizationDrafting and issuing legal holdsCoordinating with legal and HR teamsMonitoring hold compliance and releaseשיעור 6ראיות רשת ופרימטר: יומני VPN, יומני פורוקסי וחומת אש, NetFlow, איסוף ולכידות חבילות (PCAP) ושיטות שמירה מומלצותחלק זה מפרט ראיות רשת ופרימטר, כולל VPN, פורוקסי ויומני חומת אש, רשומות NetFlow ו-IPFIX, ולכידות חבילות, עם הנחיות לסנכרון זמן, אחסון, סינון ואסטרטגיות שמירה מוגנות לחקירות.
VPN authentication and session logsProxy and web gateway activity logsFirewall rule hits and deny eventsNetFlow and IPFIX flow recordsPacket capture collection strategiesNetwork log retention and rotationשיעור 7נייד ומדיה נשלפת: גיבויי מכשירים ניידים, יומני MDM, היסטוריית התקנים USB ויומני התקנת התקנים בווינדוסחלק זה בוחן מכשירים ניידים ומדיה נשלפת כמקורות ראיות, מתמקד בממצאי גיבויים, טלמטריה MDM, עקבות שימוש USB ויומני התקנת התקנים בווינדוס, עם דגש על שמירה, אימות ושמירת שרשרת שליטה.
iOS and Android backup artifactsMDM inventory and compliance logsUSB connection and usage historiesWindows device installation recordsPreserving mobile and USB evidenceשיעור 8איסוף נתוני שרתים וענן: ייצוא מבוסס API, צילומי מצב אחסון, מטא-נתוני אחסון אובייקטים, יומני ביקורת ספקי ענן (AWS CloudTrail, יומני Azure AD, ביקורת Google Workspace)חלק זה עוסק באיסוף נתוני שרתים וענן, כולל ייצוא מבוסס API, צילומי מצב אחסון, מטא-נתוני אחסון אובייקטים ויומני ביקורת ספקי ענן, עם דגש על היקף, הגבלה, אימות שלמות ושמירת ראיות בין-אזורית.
Agent-based versus agentless collectionHypervisor and VM snapshot workflowsObject storage metadata and versionsAWS CloudTrail and CloudWatch logsAzure AD and Microsoft 365 auditsGoogle Workspace and GCP audit logsשיעור 9איסוף נתוני נקודות קצה: תגובה חיה, לכידת נתונים נדיפים, הדמיית דיסק מלאה, צילומי מערכת קבציםחלק זה מכסה טכניקות איסוף נתוני נקודות קצה, כולל תגובה חיה, לכידת נתונים נדיפים, הדמיה מלאה של דיסק וצילומי קבצים, עם דגש על בחירת כלים, מזעור השפעה ושמירה על שלמות ראייתית ותיעוד.
Live response triage proceduresRAM and volatile data collectionFull disk and partition imagingFilesystem and volume snapshotsValidating hashes and chain of custody
