Pelajaran 1Sumber email dan pesan: ekspor kotak surat, log SMTP/IMAP, header pesan, kebijakan retensi, dan pertimbangan eDiscoveryBagian ini membahas artefak bukti dari platform email dan pesan, termasuk ekspor kotak surat, log protokol, header pesan, aturan retensi, dan alur kerja eDiscovery, dengan menekankan autentisitas, kelengkapan, dan metode pengumpulan yang dapat dipertahankan.
Format dan alat ekspor kotak suratLog server SMTP, IMAP, dan POPAnalisis header pesan dan ruteKebijakan retensi dan legal holdEkspor pesan chat dan kolaborasiPelajaran 2Ikhtisar sumber bukti perusahaan: endpoint, server, layanan cloud, email, platform kolaborasi, VPN, DLP, MDM, log audit SaaSBagian ini memberikan ikhtisar terstruktur tentang sumber bukti perusahaan umum, termasuk endpoint, server, layanan cloud, email, platform kolaborasi, VPN, DLP, MDM, dan log audit SaaS, menyoroti artefak khas dan pertimbangan akses.
Artefak endpoint dan workstationSumber log server dan databasePlatform email dan kolaborasiLog jaringan, VPN, dan akses jarak jauhTelemetri audit DLP, MDM, dan SaaSPelajaran 3Sumber Data Loss Prevention dan SIEM: peringatan DLP, log inspeksi konten, korelasi peristiwa SIEM dan pola ingest peringatanBagian ini mengeksplorasi platform Data Loss Prevention dan SIEM sebagai sumber bukti yang kaya, menjelaskan artefak peringatan DLP, log inspeksi konten, normalisasi SIEM, aturan korelasi, triase peringatan, dan pola ingest yang memengaruhi kelengkapan dan nilai investigasi.
Metadata dan konteks peringatan DLPLog inspeksi dan sidik jari kontenSinyal DLP endpoint versus jaringanAturan parsing dan normalisasi SIEMAturan korelasi dan penyetelan kasus penggunaanPelajaran 4Bukti platform aplikasi dan kolaborasi: log audit, riwayat versi file, tautan berbagi, daftar kontrol akses, dan metadata kolaborasiBagian ini berfokus pada platform aplikasi dan kolaborasi, memeriksa log audit, riwayat versi file, tautan berbagi, daftar kontrol akses, dan metadata kolaborasi, serta menjelaskan cara merekonstruksi tindakan pengguna dan akses dokumen selama investigasi.
Log audit dan aktivitas aplikasiRiwayat versi file dan pemulihanTautan berbagi dan akses eksternalDaftar kontrol akses dan izinKomentar dan reaksi kolaborasiEkspor jejak audit ruang kerjaPelajaran 5Prioritisasi dan legal hold: menentukan ruang lingkup untuk preservasi cepat dan menerbitkan pemberitahuan legal hold kepada kustodian dan sistemBagian ini menjelaskan cara memprioritaskan bukti dan menerapkan legal hold, mendefinisikan ruang lingkup, mengidentifikasi kustodian dan sistem, menerbitkan pemberitahuan hold, berkoordinasi dengan tim hukum dan SDM, serta memantau kepatuhan untuk mencegah spoliation atau penghapusan prematur.
Merumuskan kustodian dan sumber dataPrioritisasi bukti berbasis risikoMenyusun dan menerbitkan legal holdBerkoordinasi dengan tim hukum dan SDMMemantau kepatuhan hold dan pelepasanPelajaran 6Bukti jaringan dan perimeter: log VPN, log proxy dan firewall, NetFlow, pengumpulan dan praktik retensi penangkapan paket (PCAP)Bagian ini merinci bukti jaringan dan perimeter, termasuk log VPN, proxy, dan firewall, catatan NetFlow dan IPFIX, serta penangkapan paket, dengan panduan sinkronisasi waktu, penyimpanan, penyaringan, dan strategi retensi yang dapat dipertahankan untuk investigasi.
Log autentikasi dan sesi VPNLog aktivitas proxy dan gerbang webPukulan aturan firewall dan peristiwa penolakanCatatan alur NetFlow dan IPFIXStrategi pengumpulan penangkapan paketRetensi dan rotasi log jaringanPelajaran 7Media seluler dan removable: cadangan perangkat seluler, log MDM, riwayat perangkat USB dan log instalasi perangkat WindowsBagian ini memeriksa perangkat seluler dan media removable sebagai sumber bukti, berfokus pada artefak cadangan, telemetri MDM, jejak penggunaan USB, dan log instalasi perangkat Windows, dengan perhatian pada preservasi, validasi, dan rantai kustodi.
Artefak cadangan iOS dan AndroidLog inventaris dan kepatuhan MDMRiwayat koneksi dan penggunaan USBCatatan instalasi perangkat WindowsMempertahankan bukti seluler dan USBPelajaran 8Pengumpulan data server dan cloud: ekspor berbasis API, snapshot penyimpanan, metadata penyimpanan objek, log audit penyedia cloud (AWS CloudTrail, log Azure AD, audit Google Workspace)Bagian ini membahas pengumpulan data server dan cloud, termasuk ekspor berbasis API, snapshot penyimpanan, metadata penyimpanan objek, dan log audit penyedia cloud, dengan penekanan pada ruang lingkup, throttling, validasi integritas, dan preservasi bukti lintas wilayah.
Pengumpulan berbasis agen versus tanpa agenAlur kerja snapshot hypervisor dan VMMetadata dan versi penyimpanan objekLog AWS CloudTrail dan CloudWatchAudit Azure AD dan Microsoft 365Log audit Google Workspace dan GCPPelajaran 9Pengumpulan data endpoint: respons langsung, penangkapan data volatil, pencitraan disk penuh, snapshot sistem fileBagian ini membahas teknik pengumpulan data endpoint, termasuk respons langsung, penangkapan memori volatil, pencitraan disk penuh, dan snapshot sistem file, dengan perhatian pada pemilihan alat, meminimalkan dampak, dan menjaga integritas bukti serta dokumentasi.
Prosedur triase respons langsungPengumpulan RAM dan data volatilPencitraan disk dan partisi penuhSnapshot sistem file dan volumeMemvalidasi hash dan rantai kustodi
