FOR500: Análise Forense em Windows (36 CPEs)

Todas as organizações devem se preparar para os crimes cibernéticos que ocorrem em sistemas de computador e em redes corporativas. A demanda nunca foi maior por analistas que podem investigar crimes como fraude, ameaças internas, espionagem industrial, uso indevido de funcionários e invasões de computador. As agências governamentais exigem cada vez mais especialistas em exploração de mídia treinados para recuperar inteligência vital dos sistemas Windows, bem como investigadores da lei para chegar à raiz de um crime. Para ajudar a resolver esses casos, o SANS está treinando um novo quadro dos melhores profissionais forenses digitais, respondentes a incidentes e especialistas em exploração de mídia, capazes de reunir o que aconteceu nos sistemas de computador segundo a segundo.

O curso Análise Forense em Windows concentra-se na construção de conhecimento forense digital aprofundado dos sistemas operacionais Microsoft Windows. Você não pode proteger o que não conhece, e compreender os recursos forenses e os artefatos disponíveis é um componente essencial da segurança da informação. Você aprenderá como recuperar, analisar e autenticar dados forenses em sistemas Windows, rastrear atividades de usuários individuais em sua rede e organizar descobertas para uso em resposta a incidentes, investigações internas, investigações de roubo de propriedade intelectual e litígios civis ou criminais. Você poderá validar ferramentas de segurança, aprimorar avaliações de vulnerabilidade, identificar ameaças internas, rastrear hackers e melhorar as políticas de segurança. Quer você saiba ou não, o Windows está gravando silenciosamente uma quantidade inacreditável de dados sobre você e seus usuários. O curso Análise Forense em Windows ensina como explorar essa montanha de dados e usá-la a seu favor.

A análise adequada requer dados reais para os alunos examinarem. Este curso atualizado continuamente treina analistas forenses digitais por meio de uma série de novos exercícios práticos de laboratório que incorporam evidências encontradas nas tecnologias mais recentes, incluindo Microsoft Windows 7, Windows 8 / 8.1, Windows 10, Office e Microsoft 365, Google Workspace (G Suite ), Cloud Storage, SharePoint, Exchange e Outlook. Os alunos sairão do curso munidos das ferramentas e técnicas mais recentes e preparados para investigar até os sistemas mais complicados que possam encontrar. Nada fica de fora – os participantes aprendem a analisar tudo, desde sistemas herdados do Windows 7 até artefatos do Windows 10 recém-descobertos.

O curso Análise Forense em Windows irá ensiná-lo a:

• Realizar análises forenses aprofundadas dos sistemas operacionais Windows e da exploração de mídia nos produtos Windows 7, Windows 8 / 8.1, Windows 10 e Windows Server.
• Identificar locais de artefatos e evidências para responder a perguntas cruciais, incluindo execução de aplicativos, acesso a arquivos, roubo de dados, uso de dispositivos externos, serviços em nuvem, geolocalização de dispositivos, download de arquivos, anti-forense e sistema detalhado e atividade do usuário.
• Tornar-se agnóstico em relação a ferramentas, concentrando seus recursos na análise, em vez de em como usar uma ferramenta específica.
• Extrair respostas críticas e construa uma capacidade forense interna por meio de uma variedade de ferramentas gratuitas, de código aberto e comerciais fornecidas no SANS Windows SIFT Workstation.

O curso Análise Forense em Windows começa com um caso de roubo de propriedade intelectual e espionagem corporativa que levou mais de seis meses para ser criado. Você trabalha no mundo real, portanto, seu treinamento deve incluir dados de prática do mundo real. Nossa equipe de desenvolvimento do curso de instrutor usou incidentes de suas próprias investigações e experiências para criar um cenário incrivelmente rico e detalhado, projetado para envolver os alunos em uma investigação real. O caso demonstra os artefatos e tecnologias mais recentes que um investigador pode encontrar ao analisar sistemas Windows. A pasta de trabalho detalhada mostra as ferramentas e técnicas que cada investigador deve empregar passo a passo para resolver um caso forense. As ferramentas podem ser usadas muito depois do final da aula.

!! IMPORTANTE – TRAGA SEU PRÓPRIO SISTEMA CONFIGURADO UTILIZANDO ESTAS DIREÇÕES !!

TODO CONTEÚDO DO CURSO É MINISTRADO EM INGLÊS.

Um sistema devidamente configurado é necessário para cada aluno participante deste curso. Antes de vir para a aula, leia atentamente e siga exatamente estas instruções.

Você pode usar qualquer versão de 64 bits do Windows, Mac OSX ou Linux como seu sistema operacional principal, desde que você possa instalar e executar produtos de virtualização VMware. Os alunos recebem um laboratório forense digital integrado em uma máquina virtual VMware. Você deve ter um mínimo de 8 gigabytes (GB) de RAM ou superior para que a máquina virtual da classe funcione, mas 16 GB de RAM é altamente recomendado para a melhor experiência.

É essencial que sua CPU e sistema operacional ofereçam suporte a aplicativos de 64 bits para que nossa máquina virtual convidada de 64 bits possa ser executada em seu laptop. A VMware oferece uma ferramenta gratuita para Windows e Linux que detecta se o seu host oferece suporte a máquinas virtuais convidadas de 64 bits. Para solucionar problemas adicionais, este artigo também fornece boas instruções para os usuários do Windows determinarem mais sobre os recursos da CPU e do sistema operacional. Para Macs, use esta página de suporte da Apple para determinar a capacidade de 64 bits.

Baixe e instale VMware Workstation, VMware Fusion ou VMware Player em seu sistema antes do início da aula. Sua versão do VMware não pode ser mais de uma versão anterior à versão mais recente disponível do software. Se você não possui uma cópia licenciada do VMware Workstation ou Fusion, pode baixar uma cópia de avaliação gratuita de 30 dias da VMware.

REQUISITOS DE HARDWARE DO SISTEMA OBRIGATÓRIO PARA 500:

• CPU: processador Intel i5 / i7 de 64 bits (4ª geração +) x64 bit 2.0+ GHz ou processador mais recente é obrigatório para esta classe (importante, um processador de sistema de 64 bits é OBRIGATÓRIO.)
• 8 GB de RAM ou superior são obrigatórios para esta classe (Importante – 8 GB de RAM ou superior de RAM é obrigatório e mínimo. Para a melhor experiência, 16 GB de RAM são recomendados.)
• USB 3.0
• Mais de 300 GB de disco rígido do sistema host
• Mínimo de 200 GB de espaço livre em seu disco rígido host: O espaço livre é absolutamente crítico para hospedar as máquinas virtuais e os arquivos de evidência fornecidos com a classe
• Os alunos devem ter acesso de Administrador Local em seu sistema operacional host e acesso às configurações do BIOS
• REQUISITOS DE HARDWARE DE SISTEMA OPCIONAL PARA 500:
• Um dispositivo de armazenamento removível USB é necessário para completar um exercício opcional no curso. O tamanho de armazenamento da mídia USB deve ser maior do que o tamanho da RAM do laptop do aluno.

REQUISITOS DE SOFTWARE DE SISTEMA OBRIGATÓRIOS PARA 500:

Sistema operacional host: Windows totalmente corrigido e atualizado, Mac OSX (10.10+) ou uma versão recente do sistema operacional Linux (lançado em 2016 ou posterior) que também pode instalar e executar produtos de virtualização VMware (VMware Workstation, VMware Fusion ou VMware Jogador). Observação: é necessário atualizar totalmente o sistema operacional host antes da aula para garantir que você tenha os drivers e patches corretos instalados para utilizar os dispositivos USB 3.0 mais recentes. Aqueles que usam um host Linux também devem ser capazes de acessar partições ExFAT usando o kernel apropriado ou módulos FUSE.

Nota: Os sistemas Apple que usam o processador M1 não podem realizar a virtualização necessária neste momento e não podem ser usados ??para este curso.

INSTALE O SEGUINTE SOFTWARE ANTES DA AULA:

• Microsoft Office (qualquer versão) com Excel ou OpenOffice com Calc instalado em seu host. Você pode baixar o Office Trial Software online (grátis por 30 dias)
• Instale VMware Workstation, VMware Fusion ou VMware Player (sua versão não deve ser mais do que uma versão anterior à mais recente disponível no VMware)
• Baixe e instale 7Zip em seu host (os usuários de Mac devem garantir que têm uma ferramenta de desarquivamento capaz, como Keka)
• EM RESUMO, ANTES DE COMEÇAR O CURSO, VOCÊ DEVE:
• Traga o hardware do sistema adequado (64 bits / 8 + GB de RAM) e a configuração do sistema operacional
• Instale VMware (Workstation, Player ou Fusion), MS Office e 7zip e certifique-se de que tudo funciona antes da aula.

FOR500.1: Digital Forensics and Advanced Data Triage

• Windows Operating System Components
• Core Forensic Principles
• Live Response and Triage-Based Acquisition Techniques
• Windows Image Mounting and Examination
• NTFS File System Overview
• Document and File Metadata
• File and Stream Carving
• Memory, Pagefile, and Unallocated Space Analysis

FOR500.2: Registry Analysis, Application Execution, and Cloud Storage Forensics

• Registry Forensics In-Depth
• Registry Core
• Profile Users and Groups
• Core System Information
• User Forensic Data
• Cloud Storage Forensics

FOR500.3: Shell Items and Removable Device Profiling

• Shell Item Forensics
• USB and BYOD Forensic Examinations

FOR500.4: Email Analysis, Windows Timeline, SRUM, and Event Logs

• Email Forensics
• Forensicating Additional Windows OS Artifacts
• Windows Event Log Analysis

FOR500.5: Web Browser Forensics

• Browser Forensics
• History
• Cache
• Searches
• Downloads
• Understanding Browser Timestamps
• Chrome
• Edge
• Internet Explorer
• Firefox
• Private Browsing and Browser Artifact Recovery
• SQLite and ESE Database Carving and Examination of Additional Browser Artifacts

FOR500.6: Windows Forensics Challenge

• Digital Forensics Capstone
• Analysis
• Start at the Beginning with a New Set of Evidence

• Inglês avançado para leitura e participação nas aulas ao vivo;
• Não há cursos pré-requisitos exigidos para fazer este curso. Os artefatos e técnicas independentes de ferramenta que você aprenderá levarão à análise bem-sucedida de qualquer incidente cibernético e crime envolvendo um sistema operacional Windows.

Todas as organizações devem se preparar para os crimes cibernéticos que ocorrem em sistemas e em redes corporativas. A demanda nunca foi maior por analistas que podem investigar crimes como fraude, ameaças internas, espionagem industrial, uso indevido de funcionários e invasões de computador. As agências governamentais exigem cada vez mais especialistas em exploração de mídia treinados para recuperar informações vitais de sistemas Windows, bem como investigadores da lei para chegar à raiz de um crime. Para ajudar a resolver esses casos, o SANS está treinando um novo quadro dos melhores profissionais forenses digitais, respondentes a incidentes e especialistas em exploração de mídia, capazes de reunir o que aconteceu nos sistemas de computador segundo a segundo.

Observe que este é um curso focado em análise; O curso Análise Forense em Windows não cobre os fundamentos do manuseio de evidências, a “cadeia de custódia” ou a aquisição introdutória da unidade. Os autores do curso atualizam o curso Análise Forense em Windows agresivamente para mantê-lo atualizado com os artefatos e técnicas mais recentes descobertos.

Com este curso o aluno será capaz de:

• Executar uma análise forense adequada do Windows aplicando técnicas-chave com foco no Windows 7, Windows 8 / 8.1 e Windows10
• Usar ferramentas forenses de última geração e métodos de análise para detalhar quase todas as ações realizadas por um suspeito em um sistema Windows, incluindo quem colocou um artefato no sistema e como, execução do programa, abertura de arquivo / pasta, geolocalização, histórico do navegador, perfil de uso de dispositivo USB, uso de armazenamento em nuvem e muito mais
• Descobrir a hora exata em que um usuário específico executou um programa pela última vez por meio da análise de artefato do Registro e do Windows e entenda como essas informações podem ser usadas para provar a intenção em casos como roubo de propriedade intelectual, sistemas violados por hackers e crimes tradicionais
• Determinar o número de vezes que os arquivos foram abertos por um suspeito por meio de análise forense do navegador, análise de arquivo de atalho (LNK), análise de e-mail e análise do Registro do Windows
• Auditar o uso de armazenamento em nuvem, incluindo atividades detalhadas do usuário, identificando arquivos excluídos e até mesmo documentando arquivos disponíveis apenas na nuvem
• Identificar palavras-chave pesquisadas por um usuário específico em um sistema Windows para localizar os dados e informações que o suspeito estava interessado em encontrar e realizar avaliações de danos detalhadas
• Usar as ferramentas de análise do Windows Shellbag para articular cada pasta e diretório com o qual um usuário ou invasor interagiu ao acessar unidades locais, removíveis e de rede
• Determinar cada vez que um dispositivo USB exclusivo e específico foi conectado ao sistema Windows, os arquivos e pastas acessados ??nele e que usuário o conectou analisando artefatos do Windows, como hives do Registro e arquivos de Log de eventos
• Aprender técnicas de análise de Log de eventos e use-as para determinar quando e como os usuários se conectam a um sistema Windows, seja por meio de uma sessão remota, no teclado ou simplesmente desbloqueando um protetor de tela
• Determinar onde um crime foi cometido usando dados do Registro e localize a geolocalização de um sistema examinando redes conectadas e pontos de acesso sem fio
• Usar ferramentas forenses do navegador para realizar análises detalhadas do navegador da web, analisar bancos de dados SQLite e ESE brutos e aproveitar os artefatos de recuperação de sessão para identificar a atividade da web, mesmo se limpadores de privacidade e software de navegação privado forem usados
• Determinar especificamente como os indivíduos usaram um sistema, com quem se comunicaram e os arquivos baixados, modificados e excluídos