AX200 Magnet Action Examination
Descripción
Magnet AXIOM Examinations (AX200) es ideal para aquellos que requieren capacitación de nivel intermedio con una plataforma de investigación digital que cubre casos que involucran teléfonos inteligentes, tabletas, computadoras y datos en la nube en una única interfaz colaborativa. Este curso es el punto de entrada perfecto para los examinadores que son nuevos en AXIOM.
Qué Esperar
Escuche directamente a Christopher Cone, un capacitador forense en Magnet Forensics, sobre quién debe tomar nuestro curso Magnet AXIOM Examinations (AX200), qué puede esperar cuando lo toma y qué tipo de experiencia de la vida real trae al salón de clases.
Requisitos previos del curso
Ninguno
Objetivos del Curso
MÓDULO 1: INTRODUCCIÓN E INSTALACIÓN DE MAGNET AXIOM
Los objetivos de aprendizaje se presentarán junto con los resultados esperados durante los cuatro días del curso.
Los ejercicios prácticos le permitirán instalar Magnet AXIOM y conocer sus componentes programáticos asociados: AXIOM Process y AXIOM Examine
MÓDULO 2: PROCESAMIENTO DE PRUEBAS Y CREACIÓN DE CASOS
Se discutirán todas las configuraciones en AXIOM Process para garantizar que el uso y la efectividad de Magnet AXIOM se maximicen durante el procesamiento, todo mientras se reduce el tiempo de procesamiento y se aumenta la efectividad.
Se discutirá y demostrará la recopilación de diferentes fuentes de evidencia, como medios informáticos (discos duros, tarjetas de memoria, dispositivos USB), datos en la nube y dispositivos móviles.
Los ejercicios prácticos se centrarán en los detalles de procesamiento, como agregar palabras clave para buscar y la importancia de seleccionar las diferentes codificaciones disponibles para las búsquedas de «Todo el contenido» (ASCII, Unicode…), la funcionalidad de hash y los distintos tipos de conjuntos de hash como NSRL, Proyecto VIC y hashes de imagen de construcción dorada. Durante este ejercicio, a los estudiantes también se les mostrarán las capacidades de configuración de opciones para cada artefacto admitido y cómo desactivar artefactos específicos para acelerar el procesamiento de archivos de evidencia.
Al finalizar este módulo, los estudiantes podrán adquirir con éxito imágenes forenses de varias fuentes de evidencia; configurar ajustes globales y específicos del caso en AXIOM Process para la recuperación de artefactos clave; y crear un caso para el análisis en AXIOM Examine.
MÓDULO 3: ARTEFACTOS DEL SISTEMA OPERATIVO Parte 1
Este módulo se centrará en los artefactos del sistema operativo que se encuentran con mayor frecuencia durante el análisis de la evidencia informática recuperada del Registro de Windows.
El Explorador del registro se utilizará para validar los artefactos recuperados del registro y se completarán en la Categoría de artefactos del sistema operativo.
Los estudiantes aprenderán a recopilar información básica del sistema operativo mediante el uso de artefactos clave como información del sistema operativo, información del sistema de archivos, cuentas de usuario y aplicaciones instaladas.
MÓDULO 4: CIFRADO/ANTI-FORENSE
Comprenda la importancia de buscar herramientas de encriptación y antiforenses y cómo AXIOM clasifica esos artefactos en una categoría específica de artefactos, lo que permite una identificación rápida si alguna de las categorías de software se está empleando en los medios sospechosos.
Realice un seguimiento de las claves utilizadas para descifrar los discos cifrados y luego vuelva a ingerir esa información mediante el posprocesamiento de AXIOM.
MÓDULO 5: RESULTADOS REFINADOS
La categoría de artefactos de resultados refinados de AXIOM Examine se define para combinar y refinar artefactos recuperados en subcategorías específicas de artefactos para los elementos de evidencia más comúnmente buscados.
Aprender el enfoque forense de artefactos primero de Magnet AXIOM es una parte importante de esta lección y los resultados refinados juegan un papel importante en eso. Por ejemplo, la mayoría de los examinadores en algún momento durante un examen forense informático querrán saber qué buscó el sujeto en Google, ya que Google es el motor de búsqueda más utilizado. Los resultados refinados contienen una categoría de artefactos acertadamente llamada Búsquedas de Google donde todas las búsquedas de Google, independientemente del navegador utilizado, se clasifican en un solo lugar para facilitar su uso.
La creación de perfiles del sospechoso y la víctima en elementos de evidencia individuales a partir de la información recuperada en la categoría de «Artefacto de identificadores» de resultados refinados permitirá al examinador buscar en múltiples dispositivos en varias plataformas para recuperar y correlacionar datos de una evidencia a otra.
MÓDULO 6: RELACIONADO CON LA WEB
Aprenda cómo los navegadores más populares almacenan elementos como el historial de Internet, los favoritos y los marcadores, y cómo cada uno almacena información en sus respectivas bases de datos. Chrome, Firefox, Internet Explorer, Edge, Opera y Apple Safari almacenan artefactos de manera diferente y poder rastrear y recuperar artefactos de los navegadores web para correlacionar la información discutida en lecciones anteriores es fundamental para resolver casos.
Webcache se usará en esta lección para reconstruir páginas web de interés para el estudiante. La información de Autocompletar también se examinará en esta lección para obtener información que el usuario escribió y guardó.
MÓDULO 7: CORREO ELECTRÓNICO
Aprenda a recuperar correos electrónicos y archivos adjuntos de correo electrónico de clientes de correo.
Revise, clasifique, filtre y etiquete los correos electrónicos, así como busque en los encabezados de los mensajes de transporte y sus archivos adjuntos para recuperar información valiosa relacionada con la investigación.
Obtenga una comprensión de la vinculación de fuentes en relación con los correos electrónicos y comprenda los resultados que se encuentran en las tarjetas de Detalles y Contenido de AXIOM.
Finalmente, los estudiantes descubrirán la facilidad de la funcionalidad de exportación para exportar artefactos de correo electrónico y sus archivos adjuntos a numerosos formatos admitidos por AXIOM Examine.
MÓDULO 8: DOCUMENTOS
Obtenga una comprensión de las diferentes vistas de los documentos, así como de los metadatos de los archivos y cuál es la relevancia de las numerosas fechas y horas y lo que podrían significar para el examen.
Utilice Magnet AXIOM para guardar artefactos externamente desde AXIOM y los formatos utilizados durante la funcionalidad de exportación.
Explore la capacidad de maximizar el potencial de filtrado, clasificación y búsqueda de documentos mediante la barra de filtros y las búsquedas de metadatos mediante AXIOM. El uso de un enfoque de filtro apilado permitirá la separación de grandes cantidades de datos que se encuentran en los archivos de evidencia de los datos reales que se buscan.
MÓDULO 9: ARTEFACTOS DEL SISTEMA OPERATIVO Parte 2
Este módulo continuará enfocándose en los artefactos encontrados dentro de la categoría de Sistema Operativo y cómo esos artefactos ayudarán a dirigir la investigación.
Los estudiantes aprenderán a comprender la información del sistema operativo mediante el uso de artefactos clave como archivos LNK, dispositivos USB, UserAssist, Jump Lists y más.
MÓDULO 10: MEDIOS
Conozca los artefactos de imagen y video y cómo las diferentes vistas de Magnet AXIOM facilitan su revisión.
Se presentará la vista de tira de película de AXIOM con respecto a los videos y la vista en miniatura de las imágenes.
Se explicarán los datos EXIF y cómo se clasificarán y filtrarán los datos EXIF, incluida la información de geolocalización, la marca de la cámara, el modelo y el número de serie, para permitir la categorización de imágenes de manera conveniente y eficiente en preparación para escribir un informe final.
Comprenda la función Bienestar del oficial y cómo calificar los medios para casos de imágenes ilícitas dentro de AXIOM.
Maximice el uso de Magent.AI para categorizar automáticamente las imágenes utilizando la potencia de la CPU y la GPU en múltiples categorías, incluidos posibles documentos, tarjetas de identificación, capturas de pantalla, rostros humanos y muchos más.
Obtenga información sobre los exploradores de línea de tiempo y conexiones y cómo la utilización de esos exploradores ayuda a visualizar cómo se conectan los artefactos entre sí. Los análisis de los exploradores Timeline y Connections también ayudarán a los examinadores a conectar piezas clave de evidencia para contar la historia completa de quién, qué, cuándo, dónde y cómo llegaron los artefactos sospechosos al sistema y si los artefactos se distribuyeron a través de la nube. almacenamiento, correo electrónico o chat.
MÓDULO 11: MÓVILES Y ARTEFACTOS MÓVILES
Este módulo consta de dos partes: extraer información de un dispositivo Android y explorar sus artefactos, así como los artefactos de la categoría CHAT en AXIOM.
Aprenda sobre los sistemas y estructuras de archivos del dispositivo para recuperar información adicional, incluida la información del propietario del dispositivo; datos de aplicaciones de terceros; datos básicos del sistema operativo; datos del navegador de Internet; y más.
El ejercicio práctico también funcionará a través del Buscador de aplicaciones dinámicas de AXIOM para que los examinadores que realizan exámenes de dispositivos móviles puedan buscar bases de datos SQL pertenecientes a aplicaciones que actualmente no son compatibles con AXIOM en el producto principal. Esto permitirá que se produzcan como un artefacto dentro de AXIOM Cyber como un artefacto dentro de AXIOM Examine, lo que respaldará las aplicaciones móviles que son nuevas.
Magnet AXIOM emplea varios exploradores diferentes que se pueden usar en Magnet AXIOM Examine para ver artefactos e información dentro del archivo de casos en un flujo de trabajo mucho más eficiente y conveniente. Los exploradores Dashboard, Artifact, File System y Connections se utilizan para buscar evidencia asociada con actividades relacionadas con el chat, incluidas Skype y Windows Your Phone.
Realice búsquedas y aprenda a utilizar las muchas opciones de filtrado y funcionalidad de AXIOM Examine para identificar artefactos clave de Chat a partir de estructuras de archivos, carpetas y bases de datos. Utilizando el navegador SQLite integrado en AXIOM Examine, los estudiantes validarán qué artefactos se recuperan de la base de datos SQLite de Your Phone.
AXIOM Examine se utilizará para reconstruir los chats en una vista de conversación, como se ve en la mayoría de los dispositivos móviles, comúnmente utilizados en los dispositivos móviles a los que están acostumbrados los examinadores y los usuarios.
También aprenda a etiquetar y comentar artefactos clave en preparación para la notificación de casos y cómo habilitar Magnet.AI para ayudar en las investigaciones relacionadas con la clasificación de Chat.
MÓDULO 12: NUBE
Con la proliferación del almacenamiento en la nube y su aceptación tanto en el entorno corporativo como en el entorno del usuario doméstico, es importante que todos los examinadores comprendan los artefactos que permanecen en la nube, que pueden no estar almacenados en los medios locales.
Se discutirá el descubrimiento de artefactos en la nube y la recopilación de las capacidades de AXIOM en referencia a la recopilación y el examen de la nube.
Ser capaz de combinar datos de computadoras, dispositivos móviles y la nube en un solo caso y utilizar el poder de AXIOM para correlacionar esos datos en caso de que estén en varios lugares en los muchos dispositivos de un sospechoso podría ser el catalizador para resolver una investigación. .
MÓDULO 13: INFORMES
Explore las diversas funciones de exportación e informes disponibles en AXIOM Examine que se utilizan para la presentación de pruebas de casos y la colaboración con otras partes interesadas en la investigación.
A través de los ejercicios prácticos para estudiantes y dirigidos por un instructor, aprenda a administrar la exportación de artefactos; producir y fusionar estuches portátiles; y crear un informe de caso de investigación final que sea fácilmente interpretado por destinatarios técnicos y no técnicos.
MÓDULO 14: EJERCICIOS DE REVISIÓN ACUMULATIVA
Se administrará un ejercicio práctico final basado en escenarios, que representa una revisión acumulativa de los ejercicios realizados en cada uno de los módulos anteriores.
Información Adicional
Quién debería asistir: Participantes que no están familiarizados con los principios del análisis forense digital
Preparación Avanzada: Ninguna
Nivel del programa: intermedio
Campo de estudio: software y aplicaciones informáticas
Método de entrega: Grupo en vivo
Contáctenos para más información