1. leckeE-mail és üzenetküldő források: postafiók exportok, SMTP/IMAP naplók, üzenetfejlécek, megőrzési szabályzatok és eDiscovery szempontokEz a rész az e-mail és üzenetküldő platformok bizonyítékos artefaktumait tárgyalja, beleértve a postafiók exportokat, protokoll naplókat, üzenetfejlécet, megőrzési szabályokat és eDiscovery munkafolyamatokat, hangsúlyozva az hitelességet, teljességet és védhető gyűjtési módszereket.
Postafiók export formátumok és eszközökSMTP, IMAP és POP szervernaplókÜzenetfejléc és útválasztás elemzésMegőrzési és jogi tartási szabályzatokChat és együttműködési üzenet exportok2. leckeVállalati bizonyítékforrások áttekintése: végpontok, szerverek, felhőszolgáltatások, e-mail, együttműködési platformok, VPN, DLP, MDM, SaaS naplókEz a rész strukturált áttekintést nyújt a gyakori vállalati bizonyítékforrásokról, beleértve a végpontokat, szervereket, felhőszolgáltatásokat, e-mailt, együttműködési platformokat, VPN-t, DLP-t, MDM-et és SaaS naplókat, kiemelve a tipikus artefaktumokat és hozzáférési szempontokat.
Végpont és munkastáció artefaktumokSzerver és adatbázis naplóforrásokE-mail és együttműködési platformokHálózati, VPN és távoli hozzáférési naplókDLP, MDM és SaaS audit telemetria3. leckeAdatvesztés-megelőzés és SIEM források: DLP riasztások, tartalomelemzési naplók, SIEM eseménykorreláció és riasztás-bevitel mintákEz a rész az Adatvesztés-megelőzés (DLP) és SIEM platformokat vizsgálja gazdag bizonyítékforrásként, magyarázva a DLP riasztás artefaktumokat, tartalomelemzési naplókat, SIEM normalizálást, korrelációs szabályokat, riasztás-triage-t és beviteli mintákat, amelyek befolyásolják a teljességet és a nyomozási értéket.
DLP riasztás metaadatok és kontextusTartalomelemzés és ujjlenyomat naplókVégponti vs hálózati DLP jelekSIEM elemzés és normalizálási szabályokKorrelációs szabályok és használati eset finomhangolás4. leckeAlkalmazás és együttműködési platform bizonyítékok: audit naplók, fájlverzió-történet, megosztási linkek, hozzáférés-vezérlési listák és együttműködési metaadatokEz a rész az alkalmazásokra és együttműködési platformokra összpontosít, vizsgálva az audit naplókat, fájlverzió-történeteket, megosztási linkeket, hozzáférés-vezérlési listákat és együttműködési metaadatokat, és elmagyarázza, hogyan rekonstruáljuk a felhasználói műveleteket és dokumentumhozzáféréseket a nyomozások során.
Alkalmazás audit és aktivitás naplókFájlverzió-történet és helyreállításMegosztási linkek és külső hozzáférésHozzáférés-vezérlési listák és engedélyekEgyüttműködési megjegyzések és reakciókMunkaterület audit nyomkövetés export5. leckePriorizálás és jogi tartások: hatókörcselekvés gyors megőrzéshez és jogi tartási értesítések kiadása gondnokoknak és rendszereknekEz a rész elmagyarázza, hogyan priorizáljuk a bizonyítékokat és valósítsuk meg a jogi tartásokat, meghatározva a hatókört, azonosítva a gondnokokat és rendszereket, kiadva tartási értesítéseket, koordinálva a jogi és HR csapattal, valamint monitorozva a megfelelőséget a spoliáció vagy korai törlés megelőzése érdekében.
Gondnokok és adatforrások hatókör meghatározásaKockázat alapú bizonyíték priorizálásJogi tartások tervezése és kiadásaJogi és HR csapatokkal való koordinációTartás megfelelőség monitorozása és feloldása6. leckeHálózati és perem bizonyítékok: VPN naplók, proxy és tűzfal naplók, NetFlow, csomagfogások (PCAP) gyűjtés és megőrzési legjobb gyakorlatokEz a rész részletezi a hálózati és perem bizonyítékokat, beleértve a VPN, proxy és tűzfal naplókat, NetFlow és IPFIX rekordokat, valamint csomagfogásokat, útmutatóval az időszinkronizáláshoz, tároláshoz, szűréshez és védhető megőrzési stratégiákhoz a nyomozásokhoz.
VPN hitelesítési és munkamenet naplókProxy és webkapu aktivitás naplókTűzfal szabály találatok és tiltó eseményekNetFlow és IPFIX áramlás rekordokCsomagfogás gyűjtési stratégiákHálózati napló megőrzés és forgás7. leckeMobil és eltávolítható média: mobil eszköz biztonsági mentések, MDM naplók, USB eszköz történetek és Windows eszköz telepítési naplókEz a rész a mobil eszközöket és eltávolítható médiát vizsgálja bizonyítékforrásként, összpontosítva a biztonsági mentés artefaktumokra, MDM telemetriára, USB használati nyomokra és Windows eszköz telepítési naplókra, figyelembe véve a megőrzést, validációt és lánc custodia.
iOS és Android biztonsági mentés artefaktumokMDM leltár és megfelelőség naplókUSB csatlakozás és használati történetekWindows eszköz telepítési rekordokMobil és USB bizonyítékok megőrzése8. leckeSzerver és felhő adatbegyűjtés: API-alapú exportok, tároló pillanatképek, objektumtároló metaadatok, felhőszolgáltató audit naplók (AWS CloudTrail, Azure AD naplók, Google Workspace audit)Ez a rész a szerver és felhő adatbegyűjtést tárgyalja, beleértve az API-alapú exportokat, tároló pillanatképeket, objektumtároló metaadatokat és felhőszolgáltató audit naplókat, hangsúlyozva a hatókör meghatározását, throttlings-t, integritás validációt és régiók közötti bizonyíték megőrzést.
Ügynök alapú vs ügynök nélküli gyűjtésHipervizor és VM pillanatkép munkafolyamatokObjektumtároló metaadatok és verziókAWS CloudTrail és CloudWatch naplókAzure AD és Microsoft 365 auditokGoogle Workspace és GCP audit naplók9. leckeVégponti adatbegyűjtés: élő válasz, illékony adatfogás, teljes lemez képalkotás, fájlrendszer pillanatképekEz a rész a végponti adatbegyűjtési technikákat tárgyalja, beleértve az élő választ, illékony memória fogást, teljes lemez képalkotást és fájlrendszer pillanatképeket, figyelembe véve az eszközválasztást, hatás minimalizálását és bizonyítékos integritás fenntartását valamint dokumentációt.
Élő válasz triage eljárásokRAM és illékony adat gyűjtésTeljes lemez és partíció képalkotásFájlrendszer és kötet pillanatképekHash-ek validálása és lánc custodia
