Lekcija 1Vir e-pošte in sporočil: izvozi poštnih nabiralnikov, SMTP/IMAP dnevnik, glave sporočil, politike zadrževanja in premisleki eDiscoveryTa del obravnava dokazne artefakte iz e-poštnih in sporočilnih platform, vključno z izvozi poštnih nabiralnikov, protokolskimi dnevnikami, glavami sporočil, pravili zadrževanja in postopki eDiscovery, s poudarkom na pristnosti, popolnosti in obrambnih metodah zbiranja.
Mailbox export formats and toolsSMTP, IMAP, and POP server logsMessage headers and routing analysisRetention and legal hold policiesChat and collaboration message exportsLekcija 2Pregled korporativnih virov dokazov: končne točke, strežniki, oblakne storitve, e-pošta, platforme za sodelovanje, VPN, DLP, MDM, dnevnik pregledov SaaSTa del podaja strukturiran pregled običajnih korporativnih virov dokazov, vključno s končnimi točkami, strežniki, oblaknimi storitvami, e-pošto, platformami za sodelovanje, VPN, DLP, MDM in dnevnikoma pregledov SaaS, s poudarkom na tipičnih artefaktih in dostopnih premislekih.
Endpoint and workstation artifactsServer and database log sourcesEmail and collaboration platformsNetwork, VPN, and remote access logsDLP, MDM, and SaaS audit telemetryLekcija 3Viri preprečevanja izgube podatkov in SIEM: opozorila DLP, dnevnik preiskave vsebine, korelacija dogodkov SIEM in vzorci vnosa opozorilTa del raziskuje platforme za preprečevanje izgube podatkov in SIEM kot bogate vire dokazov, razlaga artefakte opozoril DLP, dnevnik preiskave vsebine, normalizacijo SIEM, pravila korelacije, triažo opozoril in vzorce vnosa, ki vplivajo na popolnost in preiskovalno vrednost.
DLP alert metadata and contextContent inspection and fingerprint logsEndpoint versus network DLP signalsSIEM parsing and normalization rulesCorrelation rules and use case tuningLekcija 4Dokazi aplikacij in platform sodelovanja: dnevnik pregledov, zgodovina različic datotek, povezave za souporabo, seznami nadzora dostopa in metapodatki sodelovanjaTa del se osredotoča na aplikacijske in platforme za sodelovanje, preučuje dnevnik pregledu, zgodovino različic datotek, povezave za souporabo, sezname nadzora dostopa in metapodatke sodelovanja ter razlaga, kako rekonstruirati uporabnikove ukrepe in dostop do dokumentov med preiskavami.
Application audit and activity logsFile version history and recoverySharing links and external accessAccess control lists and permissionsCollaboration comments and reactionsExporting workspace audit trailsLekcija 5Prioritetizacija in pravni zadrževalniki: določanje obsega za hitro ohranitev in izdaja obvestil o pravnih zadrževalnikih skrbnikom in sistemomTa del razlaga, kako prioritetizirati dokaze in uvesti pravne zadrževalnike, opredeliti obseg, identificirati skrbniške osebe in sisteme, izdati obvestila o zadržitvi, usklajevati z pravno in kadrovsko službo ter spremljati skladnost, da preprečimo uničenje ali predčasno brisanje.
Scoping custodians and data sourcesRisk-based evidence prioritizationDrafting and issuing legal holdsCoordinating with legal and HR teamsMonitoring hold compliance and releaseLekcija 6Omrežni in obrobni dokazi: dnevnik VPN, proxy in požarni dnevnik, NetFlow, zbiranje in najboljše prakse zadrževanja zajetih paketov (PCAP)Ta del podrobno obravnava omrežne in obrobne dokaze, vključno z dnevnik VPN, proxy in požarnimi dnevnik, zapisi NetFlow in IPFIX ter zajemi paketov, z navodili za sinhronizacijo časa, shranjevanje, filtriranje in obrambne strategije zadrževanja za preiskave.
VPN authentication and session logsProxy and web gateway activity logsFirewall rule hits and deny eventsNetFlow and IPFIX flow recordsPacket capture collection strategiesNetwork log retention and rotationLekcija 7Mobilni in snemljivi mediji: varnostne kopije mobilnih naprav, dnevnik MDM, zgodovine USB naprav in dnevnik namestitve naprav WindowsTa del preučuje mobilne naprave in snemljive medije kot vire dokazov, se osredotoča na artefakte varnostnih kopij, telemetrijo MDM, sledi uporabe USB in dnevnik namestitve naprav Windows, s pozornostjo na ohranitev, preverjanje in verigo varstva.
iOS and Android backup artifactsMDM inventory and compliance logsUSB connection and usage historiesWindows device installation recordsPreserving mobile and USB evidenceLekcija 8Pridobivanje podatkov strežnikov in oblaka: izvozi na osnovi API, posnetki shrambe, metapodatki shrambe objektov, dnevnik pregledov ponudnikov oblaka (AWS CloudTrail, dnevnik Azure AD, pregled Google Workspace)Ta del obravnava pridobivanje podatkov strežnikov in oblaka, vključno z izvozi na osnovi API, posnetki shrambe, metapodatki shrambe objektov in dnevnik pregledov ponudnikov oblaka, s poudarkom na omejevanju, omejevanju, preverjanju integritete in ohranitvi dokazov čez regije.
Agent-based versus agentless collectionHypervisor and VM snapshot workflowsObject storage metadata and versionsAWS CloudTrail and CloudWatch logsAzure AD and Microsoft 365 auditsGoogle Workspace and GCP audit logsLekcija 9Pridobivanje podatkov končnih točk: živ odziv, zajem hlapnih podatkov, popolno slikanje diska, posnetki datotečnega sistemaTa del obravnava tehnike pridobivanja podatkov končnih točk, vključno z živim odzivom, zajemom hlapnih podatkov, popolnim slikanjem diska in posnetki datotečnega sistema, s pozornostjo na izbiro orodij, minimiziranje vpliva in ohranjanje dokazne integritete ter dokumentacije.
Live response triage proceduresRAM and volatile data collectionFull disk and partition imagingFilesystem and volume snapshotsValidating hashes and chain of custody
