수업 1이메일 및 메시징 출처: 메일박스 내보내기, SMTP/IMAP 로그, 메시지 헤더, 보존 정책, eDiscovery 고려사항이 섹션에서는 이메일 및 메시징 플랫폼의 증거 유물(메일박스 내보내기, 프로토콜 로그, 메시지 헤더, 보존 규칙, eDiscovery 워크플로우)을 다루며, 진위성, 완전성, 방어 가능한 수집 방법을 강조합니다.
Mailbox export formats and toolsSMTP, IMAP, and POP server logsMessage headers and routing analysisRetention and legal hold policiesChat and collaboration message exports수업 2기업 증거 출처 개요: 엔드포인트, 서버, 클라우드 서비스, 이메일, 협업 플랫폼, VPN, DLP, MDM, SaaS 감사 로그이 섹션에서는 엔드포인트, 서버, 클라우드 서비스, 이메일, 협업 플랫폼, VPN, DLP, MDM, SaaS 감사 로그 등 일반적인 기업 증거 출처를 구조화된 방식으로 개요하며, 전형적인 유물과 접근 고려사항을 강조합니다.
Endpoint and workstation artifactsServer and database log sourcesEmail and collaboration platformsNetwork, VPN, and remote access logsDLP, MDM, and SaaS audit telemetry수업 3데이터 유출 방지 및 SIEM 출처: DLP 경고, 콘텐츠 검사 로그, SIEM 이벤트 상관관계 및 경고 수집 패턴이 섹션에서는 데이터 유출 방지(DLP) 및 SIEM 플랫폼을 풍부한 증거 출처로 탐구하며, DLP 경고 유물, 콘텐츠 검사 로그, SIEM 정규화, 상관관계 규칙, 경고 분류, 수집 패턴이 완전성과 조사 가치에 미치는 영향을 설명합니다.
DLP alert metadata and contextContent inspection and fingerprint logsEndpoint versus network DLP signalsSIEM parsing and normalization rulesCorrelation rules and use case tuning수업 4애플리케이션 및 협업 플랫폼 증거: 감사 로그, 파일 버전 기록, 공유 링크, 액세스 제어 목록, 협업 메타데이터이 섹션에서는 애플리케이션 및 협업 플랫폼에 초점을 맞춰 감사 로그, 파일 버전 기록, 공유 링크, 액세스 제어 목록, 협업 메타데이터를 검토하며, 조사를 통해 사용자 작업과 문서 액세스를 재구성하는 방법을 설명합니다.
Application audit and activity logsFile version history and recoverySharing links and external accessAccess control lists and permissionsCollaboration comments and reactionsExporting workspace audit trails수업 5우선순위 지정 및 법적 보류: 빠른 보존을 위한 범위 결정 및 관리자 및 시스템에 법적 보류 통지 발행이 섹션에서는 증거 우선순위 지정 및 법적 보류 구현 방법을 설명하며, 범위 정의, 관리자 및 시스템 식별, 보류 통지 발행, 법무 및 HR 팀과의 조정, 규정 준수 모니터링을 통해 증거 파괴나 조기 삭제를 방지합니다.
Scoping custodians and data sourcesRisk-based evidence prioritizationDrafting and issuing legal holdsCoordinating with legal and HR teamsMonitoring hold compliance and release수업 6네트워크 및 경계 증거: VPN 로그, 프록시 및 방화벽 로그, NetFlow, 패킷 캡처(PCAP) 수집 및 보존 모범 사례이 섹션에서는 VPN, 프록시, 방화벽 로그, NetFlow 및 IPFIX 기록, 패킷 캡처를 포함한 네트워크 및 경계 증거를 상세히 설명하며, 시간 동기화, 저장, 필터링, 조사에 대한 방어 가능한 보존 전략에 대한 지침을 제공합니다.
VPN authentication and session logsProxy and web gateway activity logsFirewall rule hits and deny eventsNetFlow and IPFIX flow recordsPacket capture collection strategiesNetwork log retention and rotation수업 7모바일 및 이동식 미디어: 모바일 기기 백업, MDM 로그, USB 기기 기록 및 Windows 기기 설치 로그이 섹션에서는 백업 유물, MDM 텔레메트리, USB 사용 흔적, Windows 기기 설치 로그에 초점을 맞춰 모바일 기기 및 이동식 미디어를 증거 출처로 검토하며, 보존, 검증, 보관 체인에 주의를 기울입니다.
iOS and Android backup artifactsMDM inventory and compliance logsUSB connection and usage historiesWindows device installation recordsPreserving mobile and USB evidence수업 8서버 및 클라우드 데이터 수집: API 기반 내보내기, 저장 스냅샷, 객체 저장소 메타데이터, 클라우드 제공자 감사 로그(AWS CloudTrail, Azure AD 로그, Google Workspace 감사)이 섹션에서는 API 기반 내보내기, 저장 스냅샷, 객체 저장소 메타데이터, 클라우드 제공자 감사 로그를 포함한 서버 및 클라우드 데이터 수집을 다루며, 범위 설정, 스로틀링, 무결성 검증, 지역 간 증거 보존에 중점을 둡니다.
Agent-based versus agentless collectionHypervisor and VM snapshot workflowsObject storage metadata and versionsAWS CloudTrail and CloudWatch logsAzure AD and Microsoft 365 auditsGoogle Workspace and GCP audit logs수업 9엔드포인트 데이터 수집: 라이브 응답, 휘발성 데이터 캡처, 전체 디스크 이미징, 파일시스템 스냅샷이 섹션에서는 라이브 응답, 휘발성 메모리 캡처, 전체 디스크 이미징, 파일시스템 스냅샷을 포함한 엔드포인트 데이터 수집 기법을 다루며, 도구 선택, 영향 최소화, 증거 무결성 및 문서화 유지에 주의를 기울입니다.
Live response triage proceduresRAM and volatile data collectionFull disk and partition imagingFilesystem and volume snapshotsValidating hashes and chain of custody
