Módulo: Análisis y Cómputo Forense (10 hrs.)
- 1. Respuesta a incidentes
- 1.1. ¿Qué significa Respuesta a Incidentes en Ciber Seguridad?
- 1.2. Metodologías de Respuesta a Incidentes
- 2. Análisis Forense Digital
- 2.1. Metodología de Forense Digital
- 2.1.1. NIST
- 2.1.1.1. Collection
- 2.1.1.2. Examination
- 2.1.1.3. Analysis
- 2.1.1.4. Reporting
- 2.2. Adquisición forense
- 2.2.1. Proceso de creación de una copia exacta de la evidencia
- 2.2.2. Bloqueadores contra escritura
- 2.3. Validación de evidencia
- 2.4. Funciones Hash
- 2.5. Imágen forense
- 2.5.1. Unallocated Space
- 2.5.2. Deleted Files
- 2.5.3. Slack Space
- 2.6. Particionamiento
- 2.6.1. MBR = Master Boot Record
- 2.6.2. GPT (GUID Partition Table)
- 2.7. Sistemas de archivos
- 2.7.1. NTFS
- 2.7.1.1. Master File Table
- 2.7.1.2. Timestamps
- 2.7.2. Métodos de Recuperación de Archivos
- 2.7.2.1. Metadata
- 2.7.2.2. Data Carving
- 2.7.2.3. Herramientas
- 2.8. Herramientas: Adquisición Forense y Visualización de Evidencia
- 2.8.1. Memoria
- 2.8.2. Tráfico de red
- 2.8.3. Disco
- 3. Indicadores de Compromiso (IoCs)
- 3.1. IoCs basados en Host
- 3.2. IoCs basados en Red
- 3.3. MITRE ATT&CK
- 3.4. TTPs (Tactics, Techniques and Procedures)
- 3.5. Advanced Persistent Threat (APT)
- 3.6. Registry Hives
- 3.7. AutoStart Extension Points (ASEPs)
- 3.8. UserAssist
- 3.9. Scheduled Tasks
- 3.10. Prefetch Files
- 3.11. Amcache.hve
- 3.12. Windows Events
- 4. Forense en Memoria
- 4.1. Ventajas del Análisis de Memoria
- 4.2. Adquisición de Memoria
- 4.3. Análisis del Archivo de Hibernación
- 4.4. Adquisición de Memoria de Máquinas Virtuales
- 4.5. Análisis de Memoria
- 4.5.1. Procesos
- 4.5.2. Threads (Hilos)
- 4.5.3. Sockets
- 4.5.4. Handles
- 4.5.5. Memory Sections
- 4.5.6. Tokens
- 5. Forense en Linux
