Урок 1Джерела електронної пошти та повідомлень: експорт поштових скриньок, журнали SMTP/IMAP, заголовки повідомлень, політики зберігання та аспекти eDiscoveryЦей підрозділ охоплює доказові артефакти з платформ електронної пошти та обміну повідомленнями, включаючи експорт поштових скриньок, журнали протоколів, заголовки повідомлень, правила зберігання та робочі процеси eDiscovery, наголошуючи на автентичності, повноті та обґрунтованих методах збору.
Формати та інструменти експорту поштових скриньокЖурнали серверів SMTP, IMAP та POPАналіз заголовків та маршрутизації повідомленьПолітики зберігання та юридичного утриманняЕкспорт повідомлень чатів та платформ співпраціУрок 2Огляд корпоративних джерел доказів: кінцеві пристрої, сервери, хмарні сервіси, електронна пошта, платформи співпраці, VPN, DLP, MDM, журнали аудиту SaaSЦей підрозділ надає структурований огляд поширених корпоративних джерел доказів, включаючи кінцеві пристрої, сервери, хмарні сервіси, електронну пошту, платформи співпраці, VPN, DLP, MDM та журнали аудиту SaaS, виділяючи типові артефакти та аспекти доступу.
Артефакти кінцевих пристроїв та робочих станційДжерела журналів серверів та баз данихЕлектронна пошта та платформи співпраціЖурнали мережі, VPN та віддаленого доступуТелметрія аудиту DLP, MDM та SaaSУрок 3Джерела DLP та SIEM: сповіщення DLP, журнали перевірки вмісту, кореляція подій SIEM та шаблони поглинання сповіщеньЦей підрозділ досліджує платформи запобігання втраті даних (DLP) та SIEM як багаті джерела доказів, пояснюючи артефакти сповіщень DLP, журнали перевірки вмісту, нормалізацію SIEM, правила кореляції, триаж сповіщень та шаблони поглинання, що впливають на повноту та розслідувальну цінність.
Метадані та контекст сповіщень DLPЖурнали перевірки вмісту та відбитківСигнали DLP кінцевих пристроїв проти мережіПравила парсингу та нормалізації SIEMПравила кореляції та налаштування сценаріїв використанняУрок 4Докази додатків та платформ співпраці: журнали аудиту, історія версій файлів, посилання на поширення, списки контролю доступу та метадані співпраціЦей підрозділ фокусується на додатках та платформах співпраці, розглядаючи журнали аудиту, історію версій файлів, посилання на поширення, списки контролю доступу та метадані співпраці, та пояснює, як реконструювати дії користувачів та доступ до документів під час розслідувань.
Журнали аудиту та активності додатківІсторія версій файлів та відновленняПосилання на поширення та зовнішній доступСписки контролю доступу та дозволиКоментарі та реакції в співпраціЕкспорт трас аудиту робочих просторівУрок 5Пріоритизація та юридичні утримання: визначення обсягу для швидкого збереження та видача повідомлень про юридичне утримання зберігачам та системамЦей підрозділ пояснює, як пріоритизувати докази та впроваджувати юридичні утримання, визначаючи обсяг, ідентифікуючи зберігачів та системи, видаючи повідомлення про утримання, координуючи з юридичним та HR відділами та моніторячи дотримання для запобігання псуванню чи передчасному видаленню.
Визначення обсягу зберігачів та джерел данихПріоритизація доказів на основі ризиківСкладання та видача юридичних утриманьКоординація з юридичними та HR командамиМоніторинг дотримання утримань та їх скасуванняУрок 6Мережеві та периметрові докази: журнали VPN, проксі та фаєрволів, NetFlow, збір та зберігання захоплень пакетів (PCAP) найкращі практикиЦей підрозділ деталізує мережеві та периметрові докази, включаючи журнали VPN, проксі та фаєрволів, записи NetFlow та IPFIX, та захоплення пакетів, з рекомендаціями щодо синхронізації часу, зберігання, фільтрації та стратегій зберігання, що витримують перевірку в розслідуваннях.
Журнали автентифікації та сесій VPNЖурнали активності проксі та веб-шлюзівПопадання правил фаєрволів та події блокуванняЗаписи потоків NetFlow та IPFIXСтратегії збору захоплень пакетівЗберігання та ротація мережевих журналівУрок 7Мобільні пристрої та знімні носії: резервні копії мобільних пристроїв, журнали MDM, історія USB-пристроїв та журнали встановлення пристроїв WindowsЦей підрозділ розглядає мобільні пристрої та знімні носії як джерела доказів, фокусуючись на артефактах резервних копій, телеметрії MDM, слідах використання USB та журналах встановлення пристроїв Windows, з увагою до збереження, валідації та ланцюга зберігання.
Артефакти резервних копій iOS та AndroidЖурнали інвентаризації та дотримання MDMІсторія підключень та використання USBЗаписи встановлення пристроїв WindowsЗбереження мобільних та USB-доказівУрок 8Вилучення даних серверів та хмар: експорти на основі API, знімки зберігання, метадані об'єктного зберігання, журнали аудиту постачальників хмар (AWS CloudTrail, журнали Azure AD, аудит Google Workspace)Цей підрозділ розглядає вилучення даних серверів та хмар, включаючи експорти на основі API, знімки зберігання, метадані об'єктного зберігання та журнали аудиту постачальників хмар, з акцентом на визначення обсягу, обмеження, валідацію цілісності та збереження доказів між регіонами.
Збір на основі агентів проти безагентногоРобочі процеси знімків гіпервізора та VMМетадані та версії об'єктного зберіганняЖурнали AWS CloudTrail та CloudWatchАудити Azure AD та Microsoft 365Журнали аудиту Google Workspace та GCPУрок 9Вилучення даних кінцевих пристроїв: живий відгук, захоплення летких даних, повне зображення диска, знімки файлової системиЦей підрозділ охоплює техніки вилучення даних кінцевих пристроїв, включаючи живий відгук, захоплення леткої пам'яті, повне зображення диска та знімки файлової системи, з увагою до вибору інструментів, мінімізації впливу та збереження доказової цілісності та документації.
Процедури тріажу живого відгукуЗбір RAM та летких данихЗображення повного диска та розділівЗнімки файлової системи та томівВалідація хешів та ланцюг зберігання
