1. Objetivos y competencias

En este curso el alumno adquirirá los conocimientos y habilidades necesarias para realizar un peritaje forense, crear un informe y defenderlo en las causas oportunas.

Las competencias y conocimientos que los alumnos adquirirán tras finalizar el curso son las siguientes:

• Conceptos básicos y fundamentales de la informática forense.
• Conocimiento en profundidad de cómo realizar una auditoría forense sobre distintos sistemas operativos y dispositivos.
• Conocimiento de la cadena de custodia.
• Los métodos y técnicas para la obtención de evidencias utilizando diferentes herramientas.
• Creación de un informe forense

2. Requisitos o conocimientos previos

Para la realización de este curso se requieren las siguientes aptitudes y conocimientos básicos previos:

• Redes informáticas.
• GNU/Linux (sistemas operativos).
• Entornos de virtualización.
• Conocimientos generales de informática.

3. Material y Metodología del curso

La estructura de este curso se compone de un 30% de teoría y un 70% de práctica. No existe una parte diferenciada entre ambas, sino que están mutuamente integradas para poder visualizar mejor los conceptos y facilitar el aprendizaje al alumno.

En este curso se proporcionarán los siguientes recursos y materiales didácticos:

• El alumno dispondrá de las diapositivas que se irán exponiendo durante el curso. También se le ofrecerán lecturas, estudios de casos y documentación para que profundice en su aprendizaje. 
• Dentro del marco práctico, el alumno dispondrá de máquinas virtuales individuales y laboratorios con distintos niveles de dificultad con los que se realizarán las prácticas del curso.

Adicionalmente, el alumno dispondrá de material de apoyo y ayuda como foros, páginas web y canales de Telegram, donde podrá estar en contacto con los tutores y los demás alumnos de los distintos cursos.

4. Certificación

Una vez el alumno haya completado el curso, realizado el respectivo proceso de evaluación y superado la calificación mínima de corte, se le remitirá un certificado digital de cumplimiento del curso con sus respectivos datos.

5. Duración

La duración estimada del curso es:

• 200 horas aproximadamente de trabajo.
• 1 examen final.

6. Contenido del curso

El curso en Digital Forensics & Incident Response se divide en 12 módulos:

1. MÓDULO 1 – INTRODUCCIÓN:
   1. El proceso de investigación.
   2. Pruebas y evidencias.
   3. Legislación en materia de evidencias digitales.
   4. Las preguntas a responder por el análisis forense.
   5. Los dos enfoques, pericial y el de respuesta ante incidentes, enfocado a la mejora de la seguridad.
   6. El flujo de trabajo en la gestión de incidentes.

        2. MÓDULO 2 - ADQUISICION DE PRUEBAS: 

1. Volatilidad. Orden de adquisición de datos.
2. El entorno. Información de interés, fotografías y croquis. Herramientas
3. Forense tradicional, en frío. Imágenes y herramientas.
4. Forense en caliente. Adquisición de memoria RAM y otros datos volátiles.
5. Herramientas para Linux y Windows.

        3. MÓDULO 3 - MEDIOS DE ALMACENAMIENTO: 

1. Medios físicos y sus particularidades: Discos duros, HDD y SSD.
2. Organización lógica del almacenamiento: Sistemas de ficheros. EXT y NTFS.
3. Particularidades del NTFS. $MFT y $LOG. Extracción de estos ficheros.
4. Concepto de “Artifact”
5. Las instantáneas de volumen en Windows.
6. Instantáneas de volumen en Windows.
7. Recuperación de información de medios físicos. Carving. Herramientas

       4. MÓDULO 4 - ARTIFACTS WINDOWS I. EL REGISTRO: 

1. Ficheros que dan soporte al registro.
2. Las distintas ramas del registro. Información almacenada. Herramientas.
3. Obtención de cuentas de usuario. Los ficheros SYSTEM y SAM. Herramientas.
4. Identificando la zona horaria y el horario de verano.
5. Dispositivos conectados.
6. Ficheros recientes, MRU’s.
7. Shellbags.

       5. MÓDULO 5 - ARTIFACTS WINDOWS II. EL REGISTRO DE EVENTOS: 

1. Ficheros y estructura de los registros de Eventos.
2. Filtrado avanzado de eventos. Herramientas.
3. Eventos y tipos de inicio de sesión en Windows.

       6. MÓDULO 6 - ARTIFACTS WINDOWS III. OTROS ARTIFACTS DE INTERÉS: 

1. Ubicaciones jugosas del sistema de ficheros.
2. Prefecth. Mecanismo y análisis.
3. Navegadores
4. Obtención de información en live. Process Monitor y process Explorer.
5. Análisis de memoria RAM en Windows. Volatility.

       7. MÓDULO 7 - OBTENCIÓN DE INFORMACIÓN EN LINUX: 

1. Ficheros de configuración del usuario. History.
2. Ficheros de configuración del sistema.
3. Logs mas interesantes según distribución.
4. Obtención de información en live. Scripts de incident response.
5. Análisis de memoria RAM en Linux. Volatility.

       8. MÓDULO 8 - GESTIÓN DE LOGS: 

1.  Conceptos y tipos de log.
2. Consideraciones importantes. Gestión del timestamp.
3. Concentración y análisis de logs. Windows Event Collector.
4. Concepto de SIEM.
5. Práctica con Graylog, con Splunk y NXlog.
6. Servicio de registro de eventos sysmon. Configuración básica y XML de configuración.
7. Extrayendo información de Sysmon con NXlog.

       9. MÓDULO 9 - FORENSE DE EMAIL: 

1. Estudio de una cabecera smtp
2. Mecanismos SPF y DKIM, registros DNS asociados.

       10. MÓDULO 10 - FORENSE DE DISPOSITIVOS MÓVILES: 

1. Artifacts iPhone. Herramientas.
2. Artifacts Android. Herramientas.
3. Análisis de una APP.

       11. MÓDULO 11 - ANÁLISIS DE SOFTWARE MEDIANTE SANDBOX: 

1. Análisis estático VS análisis dinámico
2. Implementación de una solución de Sandbox.
3. Servicios online para el análisis dinámico de software.

12. MÓDULO 12 - ELABORACIÓN DE INFORME Y CONCLUSIONES: 

1. Creación de un informe forense.
2. Defensa del informe forense.