— CERT TECNICA · RESPONSE TRACK
DFIR Baseline - Digital Forensics
Percorso intensivo di Digital Forensics e Incident Response di base. Focus applicativo su artefatti reali Windows/Linux + tool DFIR open source (Velociraptor, Plaso).
Livello
Advanced
Durata
32 ore
Certificazione
Attestato Forge verificabile
Obiettivi di apprendimento
Al termine del corso saprai:
- Applicare il lifecycle PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned)
- Effettuare acquisition forense endpoint Windows e Linux rispettando catena di custodia
- Analizzare artefatti Windows chiave: Registry, Event Log, Prefetch, AmCache, SRUM, LNK, Jump Lists
- Condurre memory analysis con Velociraptor e Volatility (flow di base)
- Ricostruire timeline forense usando Plaso/log2timeline e supertimeline
- Scrivere report incident per audience tecnica e management
Moduli del corso
| Modulo | Argomenti | Ore |
|---|---|---|
| 1. Fondamenti DFIR | Principi forensi (repeatability, chain of custody), differenze IR vs Forensic | 2h |
| 2. Incident Response lifecycle (PICERL) | Fasi, responsabilita', decision point, war room setup | 3h |
| 3. Acquisition endpoint | Live response vs dead, tool (FTK Imager, dd), hash verification, chain of custody template | 4h |
| 4. Artefatti Windows | Registry hives, Event Logs, Prefetch, AmCache, ShimCache, SRUM, LNK, UsnJrnl, MFT | 6h |
| 5. Artefatti Linux | bash_history, auth.log, systemd journal, /var/log, cron jobs, rootkit detection basics | 3h |
| 6. Memory analysis | Volatility 3 framework, Velociraptor live memory collection, process tree analysis | 4h |
| 7. Timeline forense | Plaso/log2timeline, supertimeline generation, TLN format, anomaly detection | 4h |
| 8. Network forensics basics | Packet capture analysis (Wireshark), flow data, DNS logs forensics | 3h |
| 9. Malware triage | Static analysis (strings, PE header), dynamic (sandbox), IoC extraction, YARA rules basics | 3h |
| 10. Report incident | Technical report structure, executive summary, timeline visualization, lessons learned | 2h |
A chi si rivolge
- Incident responder junior che vogliono solidificare fondamenta forensi
- Blue team senior in transizione verso DFIR dedicato
- Consulenti security che vogliono aggiungere DFIR al proprio portfolio
- Analisti SOC Tier 2 che vogliono crescere verso investigation
Prerequisiti
- Esperienza sistemistica solida (Windows + Linux admin)
- Capacita' di lavorare con CLI (bash, PowerShell)
- Familiarita' con storage, filesystem, permessi
- Idealmente esperienza SOC o incident handling pregressa (SOC Tier 1 Forge e' un ottimo warm-up)
- Comfort con scripting basilare (grep, awk, Python)
Certificato rilasciato
Attestato Forge DFIR Baseline al completamento del corso (tutte le attivita' + quiz finale + case study risolto). Il certificato attesta le competenze di base DFIR per junior IR o consulenti security che iniziano a occuparsi di investigation.
Il certificato include codice univoco e URL di verifica pubblica valida a vita.
Come partecipare: clicca "Richiedi accesso" in cima alla pagina. Compila il form con i tuoi dati e il nostro team ti contattera' entro 2 giorni lavorativi per confermare l'iscrizione o proporre un percorso alternativo.