1. Objetivos y competencias
En este curso el alumno adquirirá los conocimientos y habilidades necesarias para realizar un peritaje forense, crear un informe y defenderlo en las causas oportunas.
Las competencias y conocimientos que los alumnos adquirirán tras finalizar el curso son las siguientes:
- Conceptos básicos y fundamentales de la informática forense.
- Conocimiento en profundidad de cómo realizar una auditoría forense sobre distintos sistemas operativos y dispositivos.
- Conocimiento de la cadena de custodia.
- Los métodos y técnicas para la obtención de evidencias utilizando diferentes herramientas.
- Creación de un informe forense
2. ¿A quién va dirigido?
- Recién licenciados en ingeniería informática o que deseen enfocar su carrera profesional al análisis forense.
- Perfiles junior que estén ya trabajando pero que requieran de un nivel de especialización mayor.
- Perfiles profesionales con experiencia en algún ámbito de la ingeniería, programación o administración de sistemas y que deseen dar un cambio a su carrera profesional adentrándose en el ámbito del análisis forense.
- Miembros de las Fuerzas y Cuerpos de Seguridad del Estado relacionados con el ámbito de la seguridad de la información y la ciberdelincuencia.
3. Requisitos o conocimientos previos
Para la realización de este curso se requieren las siguientes aptitudes y conocimientos básicos previos:
- Redes informáticas.
- GNU/Linux (sistemas operativos).
- Entornos de virtualización.
- Conocimientos generales de informática.
4. Material y Metodología del curso
La estructura de este curso se compone de un 30% de teoría y un 70% de práctica. No existe una parte diferenciada entre ambas, sino que están mutuamente integradas para poder visualizar mejor los conceptos y facilitar el aprendizaje al alumno.
En este curso se proporcionarán los siguientes recursos y materiales didácticos:
- El alumno dispondrá de las diapositivas que se irán exponiendo durante el curso. También se le ofrecerán lecturas, estudios de casos y documentación para que profundice en su aprendizaje.
- Dentro del marco práctico, el alumno dispondrá de máquinas virtuales individuales y laboratorios con distintos niveles de dificultad con los que se realizarán las prácticas del curso.
Adicionalmente, el alumno dispondrá de material de apoyo y ayuda como foros, páginas web y canales de Telegram, donde podrá estar en contacto con los tutores y los demás alumnos de los distintos cursos.
5. Certificación
Una vez el alumno haya completado el curso, realizado el respectivo proceso de evaluación y superado la calificación mínima de corte, se le remitirá un certificado digital de cumplimiento del curso con sus respectivos datos.
6. Duración
La duración estimada del curso es:
- 200 horas aproximadamente de trabajo.
- 1 examen final.
7. Contenido del curso
El curso en Digital Forensics & Incident Response se divide en 12 módulos:
- MÓDULO 1 – INTRODUCCIÓN:
- El proceso de investigación.
- Pruebas y evidencias.
- Legislación en materia de evidencias digitales.
- Las preguntas a responder por el análisis forense.
- Los dos enfoques, pericial y el de respuesta ante incidentes, enfocado a la mejora de la seguridad.
- El flujo de trabajo en la gestión de incidentes.
2. MÓDULO 2 - ADQUISICION DE PRUEBAS:
- Volatilidad. Orden de adquisición de datos.
- El entorno. Información de interés, fotografías y croquis. Herramientas
- Forense tradicional, en frío. Imágenes y herramientas.
- Forense en caliente. Adquisición de memoria RAM y otros datos volátiles.
- Herramientas para Linux y Windows.
3. MÓDULO 3 - MEDIOS DE ALMACENAMIENTO:
- Medios físicos y sus particularidades: Discos duros, HDD y SSD.
- Organización lógica del almacenamiento: Sistemas de ficheros. EXT y NTFS.
- Particularidades del NTFS. $MFT y $LOG. Extracción de estos ficheros.
- Concepto de “Artifact”
- Las instantáneas de volumen en Windows.
- Instantáneas de volumen en Windows.
- Recuperación de información de medios físicos. Carving. Herramientas
4. MÓDULO 4 - ARTIFACTS WINDOWS I. EL REGISTRO:
- Ficheros que dan soporte al registro.
- Las distintas ramas del registro. Información almacenada. Herramientas.
- Obtención de cuentas de usuario. Los ficheros SYSTEM y SAM. Herramientas.
- Identificando la zona horaria y el horario de verano.
- Dispositivos conectados.
- Ficheros recientes, MRU’s.
- Shellbags.
5. MÓDULO 5 - ARTIFACTS WINDOWS II. EL REGISTRO DE EVENTOS:
- Ficheros y estructura de los registros de Eventos.
- Filtrado avanzado de eventos. Herramientas.
- Eventos y tipos de inicio de sesión en Windows.
6. MÓDULO 6 - ARTIFACTS WINDOWS III. OTROS ARTIFACTS DE INTERÉS:
- Ubicaciones jugosas del sistema de ficheros.
- Prefecth. Mecanismo y análisis.
- Navegadores
- Obtención de información en live. Process Monitor y process Explorer.
- Análisis de memoria RAM en Windows. Volatility.
7. MÓDULO 7 - OBTENCIÓN DE INFORMACIÓN EN LINUX:
- Ficheros de configuración del usuario. History.
- Ficheros de configuración del sistema.
- Logs mas interesantes según distribución.
- Obtención de información en live. Scripts de incident response.
- Análisis de memoria RAM en Linux. Volatility.
8. MÓDULO 8 - GESTIÓN DE LOGS:
- Conceptos y tipos de log.
- Consideraciones importantes. Gestión del timestamp.
- Concentración y análisis de logs. Windows Event Collector.
- Concepto de SIEM.
- Práctica con Graylog, con Splunk y NXlog.
- Servicio de registro de eventos sysmon. Configuración básica y XML de configuración.
- Extrayendo información de Sysmon con NXlog.
9. MÓDULO 9 - FORENSE DE EMAIL:
- Estudio de una cabecera smtp
- Mecanismos SPF y DKIM, registros DNS asociados.
10. MÓDULO 10 - FORENSE DE DISPOSITIVOS MÓVILES:
- Artifacts iPhone. Herramientas.
- Artifacts Android. Herramientas.
- Análisis de una APP.
11. MÓDULO 11 - ANÁLISIS DE SOFTWARE MEDIANTE SANDBOX:
- Análisis estático VS análisis dinámico
- Implementación de una solución de Sandbox.
- Servicios online para el análisis dinámico de software.
12. MÓDULO 12 - ELABORACIÓN DE INFORME Y CONCLUSIONES:
- Creación de un informe forense.
- Defensa del informe forense.
8. Mail de contacto
Si necesitas más información puedes comunicarte con nosotros através de la dirección:
Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo.