Bienvenida y presentación general.

1

Todo lo que aprenderás sobre informática forense

2

Cómputo forense: qué es

3

Etapas I y II: Identificación y Preservación de Evidencia Digital

4

Etapas III y IV: Análisis y Presentación de Resultados

Etapa I: Identificación

5

Preparación de un kit para adquisición

6

Procedimientos de Cadena de Custodia

7

Identificación de fuentes de evidencia

8

Elaborar un inventario de evidencia y plan de adquisiciones en un escenario simulado

Etapa II: Preservación

9

Sistemas de protección contra escritura por hardware y software

10

Introducción a FTK Imager

11

Adquisición de imágenes forenses con FTK Imager

12

Adquisición de imágenes forenses con EnCase

13

Adquisición de imágenes lógicas, memoria volátil y sistemas operativos en vivo

14

Introducción a Paladin Forensics

15

Adquisición de imágenes forenses con DD

16

FTK Imager para Linux

17

Adquisición de imágenes forenses de Mac. (Paladin)

18

Adquisición de imágenes forenses de Mac. (Target Disk Mode)

19

Verificación de imágenes forenses. Explicación de algoritmos Hash

20

Adquirir imágenes forenses, utilizando las diferentes herramientas disponibles

21

Ejecutar la verificación con algoritmos HASH de las diferentes imágenes forenses generadas

Etapa III: Análisis de Evidencia Pt. 1

22

Sistemas de archivos Windows: FAT, NTFS

23

Sistemas de archivos Unix: EXT, HFS y APFS

24

Exportado de archivos a partir de imágenes forenses

25

Creación de imágenes parciales con FTK Imager

26

Análisis preliminar de sistemas Windows

27

Análisis preliminar de sistemas Unix (Linux y MacOS)

28

Elaboración de informe preliminar

29

Crear una imagen de contenido personalizado para análisis

30

Elaborar un informe de análisis preliminar de un entorno a partir de la evidencia preservada

Etapa III: Análisis de Evidencia Pt. 2

31

Análisis de Registro de Windows: SAM

32

Análisis de Registro de Windows: Software

33

Análisis de logs de un Sistema Windows

34

Análisis de listas recientes (MRU) y Shellbags

35

Referencia del registro de Windows

36

Análisis de procesos ejecutados

37

Análisis de bandejas de reciclaje

38

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa III: Análisis de Evidencia Pt. 3

39

Estructura de un sistema Unix

40

Arranque y ejecución de procesos en Linux

41

Análisis de archivos de autenticación

42

Análisis temporal del sistema

43

Autopsy y Sleuth Kit Suite

44

Elaborar un informe a partir de los resultados obtenidos en cada una de las etapas de análisis

Etapa IV: Presentación.

45

Elaboración de un informe ejecutivo

46

Elaboración de un informe técnico completo

47

Presentación ante autoridades judiciales

48

Consolidar los resultados en dos informes: técnico y ejecutivo, empleando el lenguaje adecuado para cada caso

Conclusiones Finales

49

Recomendaciones generales, resumen y sugerencias de material. Despedida y agradecimiento

No tienes acceso a esta clase

¡Continúa aprendiendo! Únete y comienza a potenciar tu carrera

Análisis de logs de un Sistema Windows

33/49
Recursos

Los logs o bitácoras del sistema operativos son el registro de los eventos, actividades y cosas que suceden en un sistema. Sirven para monitorear las actividades que se está realizando, por ejemplo, un inicio de sesión, una aplicación que se instala o ejecuta, entre otros.

Aportes 14

Preguntas 2

Ordenar por:

¿Quieres ver más aportes, preguntas y respuestas de la comunidad?

Mi resumen
Logs de Windows están en
Windows/System32/winevt/logs

Los tres archivos de log importantes son System, Aplication, Security

  • System: Contiene información relacionada con los servicios y sistemas propios del sistema operativo

  • Security: Contiene la información de eventos accesos permisos políticas del sistema operativo con un ID de seguridad en donde podemos ver el usuario del sistema que genero el evento

  • Aplication: Contiene la información de las aplicaciones instaladas y ejecutadas dentro del sistema operativo

Esta clase es esencial para quienes están aprendiendo Elasticsearch o Splunk, es decir, quienes se están iniciando al análisis de Logs de seguridad con gestores para visualización masiva. Todo esto beneficia a quien esté perfilándose para un trabajo tipo SOC (Security Operations Center, o Centro de Operaciones de Seguridad). Pienso que Platzi podría explorar este costado para ofrecer cursos de Eleasticsearch, Splunk, y analítica de Logs avanzadas.

Análisis de log y bitácoras del sistema operativo: Hacer trazabilidad de las actividades

- Widows
- System32
- Winevt
- logs
	○ System.evtx
		§ Servicios y propios del sistema operativo
	○ Application.evtx
		§ Logs de las aplicaciones en el SO
	○ Security.evtx
		§ Accesos, permisos, politicas
	○ Windows dhcp: el de las direcciones para navegar en la red

MRU: Listas recientes de los documentos que ha abierto un usuario

Me sucede que cuando abro el archivo System, me cambia la hora, el mismo dia mismo archivo pero ya me modifico la HORA, y se que es grave pero como evito eso; Es decir, leer el archivo logs sin que la altere

gracias

A mí me gusta mucho IBM QRadar que es la que utilizo actualmente y hace unos cuantos años usé RSA EnVision y era genial, aprendí mucho sobre el análisis de logs… Muy buena clase.

😎

Ahora entiendo porque python es popular en seguridad informática

Muy buena clase!

Gracias

Que bien!