Урок 1Источники электронной почты и сообщений: экспорт почтовых ящиков, логи SMTP/IMAP, заголовки сообщений, политики хранения и соображения eDiscoveryЭтот раздел охватывает доказательные артефакты из платформ электронной почты и обмена сообщениями, включая экспорт почтовых ящиков, логи протоколов, заголовки сообщений, правила хранения и рабочие процессы eDiscovery, подчеркивая подлинность, полноту и методы сбора, устойчивые к оспариванию.
Mailbox export formats and toolsSMTP, IMAP, and POP server logsMessage headers and routing analysisRetention and legal hold policiesChat and collaboration message exportsУрок 2Обзор корпоративных источников доказательств: конечные устройства, серверы, облачные сервисы, электронная почта, платформы совместной работы, VPN, DLP, MDM, логи аудита SaaSЭтот раздел предоставляет структурированный обзор распространенных корпоративных источников доказательств, включая конечные устройства, серверы, облачные сервисы, электронную почту, платформы совместной работы, VPN, DLP, MDM и логи аудита SaaS, выделяя типичные артефакты и соображения доступа.
Endpoint and workstation artifactsServer and database log sourcesEmail and collaboration platformsNetwork, VPN, and remote access logsDLP, MDM, and SaaS audit telemetryУрок 3Источники предотвращения утечек данных и SIEM: оповещения DLP, логи инспекции содержимого, корреляция событий SIEM и шаблоны поглощения оповещенийЭтот раздел исследует платформы предотвращения утечек данных и SIEM как богатые источники доказательств, объясняя артефакты оповещений DLP, логи инспекции содержимого, нормализацию SIEM, правила корреляции, сортировку оповещений и шаблоны поглощения, влияющие на полноту и ценность расследования.
DLP alert metadata and contextContent inspection and fingerprint logsEndpoint versus network DLP signalsSIEM parsing and normalization rulesCorrelation rules and use case tuningУрок 4Доказательства приложений и платформ совместной работы: логи аудита, история версий файлов, ссылки на обмен, списки контроля доступа и метаданные совместной работыЭтот раздел фокусируется на приложениях и платформах совместной работы, изучая логи аудита, историю версий файлов, ссылки на обмен, списки контроля доступа и метаданные совместной работы, и объясняет, как реконструировать действия пользователей и доступ к документам во время расследований.
Application audit and activity logsFile version history and recoverySharing links and external accessAccess control lists and permissionsCollaboration comments and reactionsExporting workspace audit trailsУрок 5Приоритизация и правовые фиксации: определение объема для быстрого сохранения и выдача уведомлений о правовой фиксации хранителям и системамЭтот раздел объясняет, как приоритизировать доказательства и внедрять правовые фиксации, определяя объем, идентифицируя хранителей и системы, выдавая уведомления о фиксации, координируя с юридическим и HR отделами и мониторя соблюдение для предотвращения порчи или преждевременного удаления.
Scoping custodians and data sourcesRisk-based evidence prioritizationDrafting and issuing legal holdsCoordinating with legal and HR teamsMonitoring hold compliance and releaseУрок 6Сетевые и периметровые доказательства: логи VPN, логи прокси и файрволов, NetFlow, сбор и лучшие практики хранения захватов пакетов (PCAP)Этот раздел детализирует сетевые и периметровые доказательства, включая логи VPN, прокси и файрволов, записи NetFlow и IPFIX, и захваты пакетов, с рекомендациями по синхронизации времени, хранению, фильтрации и стратегиям хранения, устойчивым к оспариванию для расследований.
VPN authentication and session logsProxy and web gateway activity logsFirewall rule hits and deny eventsNetFlow and IPFIX flow recordsPacket capture collection strategiesNetwork log retention and rotationУрок 7Мобильные устройства и съемные носители: резервные копии мобильных устройств, логи MDM, история USB-устройств и логи установки устройств WindowsЭтот раздел изучает мобильные устройства и съемные носители как источники доказательств, фокусируясь на артефактах резервных копий, телеметрии MDM, следах использования USB и логах установки устройств Windows, с вниманием к сохранению, валидации и цепочке хранения.
iOS and Android backup artifactsMDM inventory and compliance logsUSB connection and usage historiesWindows device installation recordsPreserving mobile and USB evidenceУрок 8Сбор данных серверов и облака: экспорты на основе API, снимки хранения, метаданные объектного хранения, логи аудита облачных провайдеров (AWS CloudTrail, логи Azure AD, аудит Google Workspace)Этот раздел касается сбора данных серверов и облака, включая экспорты на основе API, снимки хранения, метаданные объектного хранения и логи аудита облачных провайдеров, с акцентом на объем, троттлинг, валидацию целостности и сохранение доказательств между регионами.
Agent-based versus agentless collectionHypervisor and VM snapshot workflowsObject storage metadata and versionsAWS CloudTrail and CloudWatch logsAzure AD and Microsoft 365 auditsGoogle Workspace and GCP audit logsУрок 9Сбор данных конечных устройств: живой отклик, захват летучих данных, полное создание образов диска, снимки файловой системыЭтот раздел охватывает техники сбора данных конечных устройств, включая живой отклик, захват летучих данных, полное создание образов диска и снимки файловой системы, с вниманием к выбору инструментов, минимизации воздействия и поддержанию целостности доказательств и документации.
Live response triage proceduresRAM and volatile data collectionFull disk and partition imagingFilesystem and volume snapshotsValidating hashes and chain of custody
