Lektion 1E-post- och meddelandekällor: brevlådeexport, SMTP/IMAP-loggar, meddelandehuvuden, bevarandeprinciper och eDiscovery-övervägandenDenna sektion täcker bevisartifakter från e-post- och meddelandeplattformar, inklusive brevlådeexport, protokoll-loggar, meddelandehuvuden, bevarandeprinciper och eDiscovery-arbetsflöden, med tonvikt på autenticitet, fullständighet och försvarbara insamlingsmetoder.
Brevlådeexportformat och verktygSMTP, IMAP och POP-serverloggarMeddelandehuvuden och ruttanalysBevarande- och legal hold-principerExport av chatt- och samarbetsmeddelandenLektion 2Översikt över företagsbevis-källor: slutpunkter, servrar, molntjänster, e-post, samarbetsplattformar, VPN, DLP, MDM, SaaS-granskningsloggarDenna sektion ger en strukturerad översikt över vanliga företagsbevis-källor, inklusive slutpunkter, servrar, molntjänster, e-post, samarbetsplattformar, VPN, DLP, MDM och SaaS-granskningsloggar, och belyser typiska artifakter och åtkomstöverväganden.
Slutpunkt- och arbetsstationsartifakterServer- och databaslogg-källorE-post- och samarbetsplattformarNätverks-, VPN- och fjärråtkomstloggarDLP, MDM och SaaS-granskningsdataLektion 3Dataförlustförebyggande och SIEM-källor: DLP-varningar, innehållsgranskningsloggar, SIEM-händelsekorrelation och varningsinsamlingsmönsterDenna sektion utforskar dataförlustförebyggande (DLP) och SIEM-plattformar som rika bevis-källor, och förklarar DLP-varningsartifakter, innehållsgranskningsloggar, SIEM-normalisering, korrelationsregler, varningssortering och insamlingsmönster som påverkar fullständighet och utredningsvärde.
DLP-varningsmetadata och kontextInnehållsgranskning och fingeravtryckloggarSlutpunkt vs nätverks-DLP-signalerSIEM-tolkning och normaliseringsreglerKorrelationsregler och användningsfallsinställningLektion 4Bevis från applikationer och samarbetsplattformar: granskningsloggar, filversionshistorik, delningslänkar, åtkomstkontrollistor och samarbetsmetadataDenna sektion fokuserar på applikations- och samarbetsplattformar, undersöker granskningsloggar, filversionshistoriker, delningslänkar, åtkomstkontrollistor och samarbetsmetadata, och förklarar hur man rekonstruerar användaråtgärder och dokumentåtkomst under utredningar.
Applikationsgranskning och aktivitetsloggarFilversionshistorik och återställningDelningslänkar och extern åtkomstÅtkomstkontrollistor och behörigheterSamarbetskommentarer och reaktionerExport av arbetsplatsgranskningsspårLektion 5Prioritering och legal holds: fastställa omfattning för snabb bevarande och utfärda legal hold-meddelanden till förvaltare och systemDenna sektion förklarar hur man prioriterar bevis och implementerar legal holds, definierar omfattning, identifierar förvaltare och system, utfärdar hold-meddelanden, samordnar med juridik och HR, och övervakar efterlevnad för att förhindra förstörelse eller för tidig radering.
Avgränsning av förvaltare och datakällorRiskbaserad bevisprioriteringUtarbeta och utfärda legal holdsSamordna med juridiska och HR-teamÖvervaka hold-efterlevnad och frigivningLektion 6Nätverks- och perimeterbevis: VPN-loggar, proxy- och brandväggsloggar, NetFlow, paketfångst (PCAP) insamling och bevarande bästa praxisDenna sektion beskriver nätverks- och perimeterbevis, inklusive VPN, proxy- och brandväggsloggar, NetFlow- och IPFIX-poster samt paketfångst, med vägledning om tidssynkronisering, lagring, filtrering och försvarbara bevarandestrategier för utredningar.
VPN-autentisering och sessionsloggarProxy- och web gateway-aktivitetsloggarBrandväggsregelträffar och nekade händelserNetFlow- och IPFIX-flödesposterPaketfångstinsamlingsstrategierNätverksloggbevarande och rotationLektion 7Mobil och flyttbar media: mobila enhetsbackup, MDM-loggar, USB-enhetshistorik och Windows-enhetsinstallationsloggarDenna sektion undersöker mobila enheter och flyttbar media som bevis-källor, med fokus på backup-artifakter, MDM-telemetri, USB-användningsspår och Windows-enhetsinstallationsloggar, med uppmärksamhet på bevarande, validering och beviskedja.
iOS- och Android-backupartifakterMDM-inventering och efterlevnadsloggarUSB-anslutning- och användningshistorikWindows-enhetsinstallationsposterBevara mobil- och USB-bevisLektion 8Server- och molndata-insamling: API-baserade export, lagringsögonblicksbilder, objektlagringsmetadata, molnleverantörers granskningsloggar (AWS CloudTrail, Azure AD-loggar, Google Workspace-granskning)Denna sektion behandlar server- och molndata-insamling, inklusive API-baserade export, lagringsögonblicksbilder, objektlagringsmetadata och molnleverantörers granskningsloggar, med tonvikt på avgränsning, strypning, integritetsvalidering och bevarande av bevis över regioner.
Agentbaserad vs agentlös insamlingHypervisor- och VM-ögonblicksbildsarbetsflödenObjektlagringsmetadata och versionerAWS CloudTrail- och CloudWatch-loggarAzure AD- och Microsoft 365-granskningarGoogle Workspace- och GCP-granskningsloggarLektion 9Slutpunktsdata-insamling: live-svar, flyktig datafångst, full diskinsamling, filsystemögonblicksbilderDenna sektion täcker slutpunktsdata-insamlingstekniker, inklusive live-svar, flyktigt minnesfångst, full diskinsamling och filsystemögonblicksbilder, med uppmärksamhet på verktygsval, minimering av inverkan och bibehållande av bevisintegritet och dokumentation.
Live-svarsrutinerRAM- och flyktig datainsamlingFull disk- och partitionavbildningFilsystem- och volymögonblicksbilderValidera hashvärden och beviskedja
