FORENSICS LINUX

Objectifs pédagogiques

• Le candidat puisse comprendre les méthodologies, approches de ces domaines ainsi que les contraintes de gestion des preuves.
• Le candidat doit pouvoir démontrer ses compétences techniques dans la réalisation des différents prélèvements et le respect des actions de préservation et d’intégrité.
• Le candidat doit analyser les nombreux prélèvements en s’appuyant sur une méthodologie éprouvée. La connaissance des outils, leur fonctionnement et l'impact sur le système sont au cœur de ce domaine.

Contenu de la formation

• Section 1 - La réponse à incident et l’investigation numérique
• Microsoft Windows : Concepts fondamentaux
• Méthodologie
• NIST/SANS/OODA
• PRIS/ISO
• Mise en place d’un laboratoire
• Section 2 - Live Forensic
• Sources et commandes associée
• Outils
• Section 3 - Analyse des journaux d’évènements
• Exploitation des Evtx / Etw
• Utilisation d’un SIEM
• Section 4 - Artefacts Windows
• Artefacts Windows
• Section 5 - La mémoire vive
• Prélèvement
• Analyse
• La mémoire vive
• Analyse. TP/TD
• Section 6 - La mémoire de masse
• Prélèvement
• La mémoire de masse
• Artefacts
• Cas d’étude 1, 2, 3

Suivi de l'exécution et évaluation des résultats

• Feuilles de présence
• Questions orales ou écrites (QCM)
• Formulaires d'évaluation de la formation

Diplôme visé par la formation

Certification (dont CQP) ou habilitation enregistrée au Répertoire National des Certifications Professionnelles (RNCP)

Obtention par certification

6 h de pratique + 2 h de rédaction d’un rapport d’investigation. La certification est en ligne et surveillée. Examen OPENBOOK avec le droit aux supports de formation. Un diplôme numérique et physique est attribué au candidat.

Certification ESD-FORENSICSWINDOWS

Durée de validité

3 années