Pelajaran 1Sumber e-mel dan mesej: eksport peti mel, log SMTP/IMAP, header mesej, dasar pengekalan, dan pertimbangan eDiscoveryBahagian ini meliputi artifak bukti daripada platform e-mel dan mesej, termasuk eksport peti mel, log protokol, header mesej, peraturan pengekalan, dan aliran kerja eDiscovery, menekankan keaslian, kelengkapan, dan kaedah pengumpulan yang boleh dipertahankan.
Format dan alat eksport peti melLog pelayan SMTP, IMAP, dan POPAnalisis header mesej dan laluanDasar pengekalan dan tahan undang-undangEksport mesej sembang dan kerjasamaPelajaran 2Gambaran keseluruhan sumber bukti korporat: titik akhir, pelayan, perkhidmatan awan, e-mel, platform kerjasama, VPN, DLP, MDM, log audit SaaSBahagian ini memberikan gambaran keseluruhan berstruktur tentang sumber bukti korporat biasa, termasuk titik akhir, pelayan, perkhidmatan awan, e-mel, platform kerjasama, VPN, DLP, MDM, dan log audit SaaS, menyerlahkan artifak biasa dan pertimbangan akses.
Artifak titik akhir dan stesen kerjaSumber log pelayan dan pangkalan dataPlatform e-mel dan kerjasamaLog rangkaian, VPN, dan akses jauhTelemetri audit DLP, MDM, dan SaaSPelajaran 3Sumber Pencegahan Kehilangan Data dan SIEM: amaran DLP, log pemeriksaan kandungan, korelasi peristiwa SIEM dan corak pengambilan amaranBahagian ini meneroka platform Pencegahan Kehilangan Data dan SIEM sebagai sumber bukti yang kaya, menerangkan artifak amaran DLP, log pemeriksaan kandungan, normalisasi SIEM, peraturan korelasi, triase amaran, dan corak pengambilan yang mempengaruhi kelengkapan dan nilai penyiasatan.
Metadata dan konteks amaran DLPLog pemeriksaan dan cap jari kandunganIsyarat DLP titik akhir berbanding rangkaianPeraturan penghuraian dan normalisasi SIEMPeraturan korelasi dan penalaan kes penggunaanPelajaran 4Bukti platform aplikasi dan kerjasama: log audit, sejarah versi fail, pautan perkongsian, senarai kawalan akses, dan metadata kerjasamaBahagian ini memberi tumpuan kepada platform aplikasi dan kerjasama, memeriksa log audit, sejarah versi fail, pautan perkongsian, senarai kawalan akses, dan metadata kerjasama, serta menerangkan cara menyusun semula tindakan pengguna dan akses dokumen semasa penyiasatan.
Log audit dan aktiviti aplikasiSejarah versi fail dan pemulihanPautan perkongsian dan akses luaranSenarai kawalan akses dan kebenaranKomen dan reaksi kerjasamaEksport jejak audit ruang kerjaPelajaran 5Pengutamakan dan tahan undang-undang: menentukan skop untuk pemeliharaan cepat dan mengeluarkan notis tahan undang-undang kepada penjaga dan sistemBahagian ini menerangkan cara mengutamakan bukti dan melaksanakan tahan undang-undang, mentakrif skop, mengenal pasti penjaga dan sistem, mengeluarkan notis tahan, menyelaraskan dengan undang-undang dan HR, serta memantau pematuhan untuk mengelakkan pemusnahan atau pemadaman pramatang.
Skop penjaga dan sumber dataPengutamakan bukti berdasarkan risikoMenyediakan dan mengeluarkan tahan undang-undangMenyelaraskan dengan pasukan undang-undang dan HRMemantau pematuhan tahan dan pelepasanPelajaran 6Bukti rangkaian dan perimeter: log VPN, log proksi dan firewall, NetFlow, pengumpulan dan amalan pengekalan tangkapan paket (PCAP)Bahagian ini mengperincikan bukti rangkaian dan perimeter, termasuk log VPN, proksi, dan firewall, rekod NetFlow dan IPFIX, serta tangkapan paket, dengan panduan mengenai penyelarasan masa, penyimpanan, penapisan, dan strategi pengekalan yang boleh dipertahankan untuk penyiasatan.
Log pengesahan dan sesi VPNLog aktiviti proksi dan pintu gerbang webPukulan peraturan firewall dan peristiwa tolakRekod aliran NetFlow dan IPFIXStrategi pengumpulan tangkapan paketPengekalan dan putaran log rangkaianPelajaran 7Media mudah alih dan boleh alih: sandaran peranti mudah alih, log MDM, sejarah peranti USB dan log pemasangan peranti WindowsBahagian ini memeriksa peranti mudah alih dan media boleh alih sebagai sumber bukti, memberi tumpuan kepada artifak sandaran, telemetri MDM, jejak penggunaan USB, dan log pemasangan peranti Windows, dengan perhatian kepada pemeliharaan, pengesahan, dan rantaian tugas.
Artifak sandaran iOS dan AndroidLog inventori dan pematuhan MDMSejarah sambungan dan penggunaan USBRekod pemasangan peranti WindowsMempelihara bukti mudah alih dan USBPelajaran 8Pengumpulan data pelayan dan awan: eksport berasaskan API, snap cetak penyimpanan, metadata penyimpanan objek, log audit penyedia awan (AWS CloudTrail, log Azure AD, audit Google Workspace)Bahagian ini membincangkan pengumpulan data pelayan dan awan, termasuk eksport berasaskan API, snap cetak penyimpanan, metadata penyimpanan objek, dan log audit penyedia awan, dengan penekanan kepada skop, sekatan, pengesahan integriti, dan pemeliharaan bukti rentas rantau.
Pengumpulan berasaskan ejen berbanding tanpa ejenAliran kerja snap cetak hypervisor dan VMMetadata dan versi penyimpanan objekLog AWS CloudTrail dan CloudWatchAudit Azure AD dan Microsoft 365Log audit Google Workspace dan GCPPelajaran 9Pengumpulan data titik akhir: tindak balas langsung, tangkapan data meruap, imej cakera penuh, snap cetak fail sistemBahagian ini meliputi teknik pengumpulan data titik akhir, termasuk tindak balas langsung, tangkapan memori meruap, imej cakera penuh, dan snap cetak fail sistem, dengan perhatian kepada pemilihan alat, meminimumkan kesan, dan mengekalkan integriti bukti serta dokumentasi.
Prosedur triase tindak balas langsungPengumpulan RAM dan data meruapImej cakera dan petak penuhSnap cetak fail sistem dan volumMengesahkan hash dan rantaian tugas
