Aperçu du cours
Doel van de training : Verwerven van de nodige vaardigheden om digitale artefacten uit verschillende omgevingen (besturingssystemen, applicaties, logs) te identificeren, extraheren en analyseren. Deelnemers leren een tijdlijn van gebeurtenissen reconstrueren en bewijsmateriaal correleren voor een gerechtelijk of intern onderzoek.
Prérequis
- Basiskennis van digitale forensische onderzoeken
- Ervaring met loganalyse en besturingssystemen (Windows, Linux)
Fonctionnalités
- Begrijpen van de aard en het belang van digitale artefacten in cyberonderzoek.
- Beheersen van technieken voor het verzamelen en analyseren van artefacten uit Windows, macOS en Linux.
- Gegevens uit verschillende bronnen correleren om verbanden tussen gebeurtenissen te leggen.
- Identificeren van technieken voor het verbergen van sporen door cybercriminelen en hoe deze te omzeilen.
- Gebruik maken van gespecialiseerde tools voor geavanceerde analyse van digitale artefacten.
Public ciblé
- Digitale forensische onderzoekers en analisten
- Cybersecurity-professionals en SOC-analisten
- Incident response-specialisten
- Opsporingsdiensten en juridische autoriteiten
Détails
- 9 Sections
- 33 Lessons
- 3 Days
Expand all sectionsCollapse all sections
- Wat zijn digitale artefacten en hun rol in forensisch onderzoek? (1,5 uur)3
- Identificatie en extractie van artefacten uit verschillende besturingssystemen (2 uur)4
- 2.1Artefacten in Windows (Prefetch, Amcache, SRUM, Event Logs).
- 2.2Artefacten in Linux en macOS (bash history, systeemlogs, applicatielogs).
- 2.3Methoden voor forensische verzameling: fysieke en logische extractie van artefacten.
- 2.4Praktijkoefening : Extractie van artefacten uit een gecompromitteerde Windows-machine met behulp van FTK Imager.
- Analyse van gebruikersactiviteit via digitale artefacten (2,5 uur)4
- 3.1Analyse van browsergeschiedenis, cookies, cachebestanden en sessiedata.
- 3.2Onderzoek van laatst geopende bestanden en uitgevoerde applicaties (Jump Lists, ShellBags, MRU).
- 3.3Windows-loganalyse en hoe deze forensisch te benutten.
- 3.4Praktijkoefening : Analyse van browserartefacten om het gedrag van een verdachte gebruiker te reconstrueren.
- Werken met event logs en correlatie van systeemlogs (3 uur)3
- Reconstructie van een chronologie van digitale gebeurtenissen (2,5 uur)4
- 5.1Tijdlijnen creëren met Plaso en Timesketch.
- 5.2Extractie en analyse van timestamps in artefacten ($MFT, MACB timestamps).
- 5.3Correlatie van logs, netwerkverkeer en applicatiegegevens om verdachte activiteiten te reconstrueren.
- 5.4Praktijkcase : Reconstructie van een verdachte gebruikersactiviteit door verschillende artefacten te combineren (webgeschiedenis, toegangslogs, uitgevoerde bestanden).
- Geavanceerde technieken voor het terughalen en analyseren van verwijderde of vluchtige artefacten (2,5 uur)4
- 6.1Detectie en analyse van verborgen of verwijderde artefacten (Shadow Copies, Restore Points).
- 6.2Onderzoek van vluchtige artefacten: RAM-geheugen en swap/pagefile-analyse.
- 6.3Gebruik van hibernation-bestanden en crash dumps voor forensische analyse.
- 6.4Praktijkoefening : Herstel en analyse van verwijderde artefacten met Autopsy en Volatility.
- Detectie van technieken die cybercriminelen gebruiken om sporen te wissen (2 uur)3
- Forensisch onderzoek op gevirtualiseerde systemen en containers (2,5 uur)4
- 8.1Onderzoek op virtuele machines: specifieke artefacten van VM’s (snapshot, vmem, vmdk).
- 8.2Analyse van logs en sporen in Docker en Kubernetes omgevingen.
- 8.3Correlatie van gegevens tussen de host en containers om afwijkingen te detecteren.
- 8.4Praktijkcase : Onderzoek van een gecompromitteerde virtuele machine.
- Gebruik van geavanceerde tools en AI in forensisch onderzoek (2,5 uur)4
- 9.1AI-gebaseerde analyse tools en automatisering in forensisch onderzoek.
- 9.2Gebruik van machine learning om afwijkende patronen te detecteren.
- 9.3Experimenteren met geavanceerde forensic tools (Magnet Axiom, Cyber Triage).
- 9.4Eindcase : Volledige analyse van een aanvalsscenario met verschillende soorten artefacten.
Instructeur
