Digital Forensic & Incident Response
1.
Objetivos y competencias
En este curso el alumno
adquirirá los conocimientos y habilidades necesarias para realizar un peritaje
forense, crear un informe y defenderlo en las causas oportunas.
Las competencias y
conocimientos que los alumnos adquirirán tras finalizar el curso son las
siguientes:
Conceptos básicos y
fundamentales de la informática forense.
Conocimiento en
profundidad de cómo realizar una auditoría forense sobre distintos sistemas
operativos y dispositivos.
Conocimiento de la
cadena de custodia.
Los métodos y técnicas
para la obtención de evidencias utilizando diferentes herramientas.
Creación de un informe
forense
¿A
quién va dirigido?
Recién licenciados en
ingeniería informática o que deseen enfocar su carrera profesional al análisis
forense.
Perfiles junior que
estén ya trabajando pero que requieran de un nivel de especialización mayor.
Perfiles profesionales
con experiencia en algún ámbito de la ingeniería, programación o administración
de sistemas y que deseen dar un cambio a su carrera profesional adentrándose en
el ámbito del análisis forense.
Miembros de las Fuerzas
y Cuerpos de Seguridad del Estado relacionados con el ámbito de la seguridad de
la información y la ciberdelincuencia.
1.
Requisitos o
conocimientos previos
Para la realización de
este curso se requieren las siguientes aptitudes y conocimientos básicos
previos:
Redes informáticas.
GNU/Linux (sistemas
operativos).
Entornos de
virtualización.
Conocimientos generales
de informática.
1.
Material y Metodología
del curso
La estructura de este
curso se compone de un 30% de teoría y un 70% de práctica. No existe una parte
diferenciada entre ambas, sino que están mutuamente integradas para poder
visualizar mejor los conceptos y facilitar el aprendizaje al alumno.
En este curso se
proporcionarán los siguientes recursos y materiales didácticos:
El alumno dispondrá de
las diapositivas que se irán exponiendo durante el curso. También se le ofrecerán
lecturas, estudios de casos y documentación para que profundice en su
aprendizaje.
Dentro del marco
práctico, el alumno dispondrá de máquinas virtuales individuales y laboratorios
con distintos niveles de dificultad con los que se realizarán las prácticas del
curso.
Adicionalmente, el
alumno dispondrá de material de apoyo y ayuda como foros y páginas web, donde
podrá estar en contacto con los tutores y los demás alumnos de los distintos
cursos.
1.
Certificación
Una vez el alumno haya
completado el curso, realizado el respectivo proceso de evaluación y superado
la calificación mínima de corte, se le remitirá un certificado digital de
cumplimiento del curso con sus respectivos datos.
1.
Duración
La duración estimada del
curso es:
200 horas
aproximadamente de trabajo.
1 examen final.
1.
Contenido del curso
El curso en Digital
Forensics & Incident Response se divide en 12 módulos:
MÓDULO
1 – INTRODUCCIÓN:
El proceso de
investigación.
Pruebas y evidencias.
Legislación en materia
de evidencias digitales.
Las preguntas a
responder por el análisis forense.
Los dos enfoques,
pericial y el de respuesta ante incidentes, enfocado a la mejora de la
seguridad.
El flujo de trabajo en
la gestión de incidentes.
1.
MÓDULO – ADQUISICION DE
PRUEBAS:
Volatilidad. Orden de
adquisición de datos.
El entorno. Información
de interés, fotografías y croquis. Herramientas
Forense tradicional, en
frío. Imágenes y herramientas.
Forense en caliente.
Adquisición de memoria RAM y otros datos volátiles.
Herramientas para Linux
y Windows.
1.
MÓDULO – MEDIOS DE
ALMACENAMIENTO:
Medios físicos y sus
particularidades: Discos duros, HDD y SSD.
Organización lógica del
almacenamiento: Sistemas de ficheros. EXT y NTFS.
Particularidades del
NTFS. $MFT y $LOG. Extracción de estos ficheros.
Concepto de “Artifact”
Las instantáneas de
volumen en Windows.
Instantáneas de volumen
en Windows.
Recuperación de
información de medios físicos. Carving. Herramientas
1.
MÓDULO – ARTIFACTS
WINDOWS I. EL REGISTRO:
Ficheros que dan soporte
al registro.
Las distintas ramas del
registro. Información almacenada. Herramientas.
Obtención de cuentas de
usuario. Los ficheros SYSTEM y SAM. Herramientas.
Identificando la zona
horaria y el horario de verano.
Dispositivos conectados.
Ficheros recientes,
MRU’s.
Shellbags.
1.
MÓDULO – ARTIFACTS
WINDOWS II. EL REGISTRO DE EVENTOS:
Ficheros y estructura de
los registros de Eventos.
Filtrado avanzado de
eventos. Herramientas.
Eventos y tipos de
inicio de sesión en Windows.
1.
MÓDULO – ARTIFACTS
WINDOWS III. OTROS ARTIFACTS DE INTERÉS:
Ubicaciones jugosas del
sistema de ficheros.
Prefecth. Mecanismo y
análisis.
Navegadores
Obtención de información
en live. Process Monitor y process Explorer.
Análisis de memoria RAM
en Windows. Volatility.
1.
MÓDULO – OBTENCIÓN DE
INFORMACIÓN EN LINUX:
Ficheros de
configuración del usuario. History.
Ficheros de
configuración del sistema.
Logs mas interesantes
según distribución.
Obtención de información
en live. Scripts de incident response.
Análisis de memoria RAM
en Linux. Volatility.
1.
MÓDULO – GESTIÓN DE
LOGS:
Conceptos y tipos
de log.
Consideraciones
importantes. Gestión del timestamp.
Concentración y análisis
de logs. Windows Event Collector.
Concepto de SIEM.
Práctica con Graylog,
con Splunk y NXlog.
Servicio de registro de
eventos sysmon. Configuración básica y XML de configuración.
Extrayendo información
de Sysmon con NXlog.
1.
MÓDULO – FORENSE DE
EMAIL:
Estudio de una cabecera
smtp
Mecanismos SPF y DKIM,
registros DNS asociados.
1.
MÓDULO – FORENSE DE
DISPOSITIVOS MÓVILES:
Artifacts iPhone.
Herramientas.
Artifacts Android.
Herramientas.
Análisis de una APP.
1.
MÓDULO – ANÁLISIS DE
SOFTWARE MEDIANTE SANDBOX:
Análisis estático VS
análisis dinámico
Implementación de una
solución de Sandbox.
Servicios online para el
análisis dinámico de software.
1.
MÓDULO – ELABORACIÓN DE
INFORME Y CONCLUSIONES:
Creación de un informe
forense.
Defensa del informe
forense.
