Opzioni di iscrizione

DFIR Baseline - Digital Forensics

— CERT TECNICA · RESPONSE TRACK

DFIR Baseline - Digital Forensics

Percorso intensivo di Digital Forensics e Incident Response di base. Focus applicativo su artefatti reali Windows/Linux + tool DFIR open source (Velociraptor, Plaso).

Livello
Advanced
Durata
32 ore
Certificazione
Attestato Forge verificabile

Obiettivi di apprendimento

Al termine del corso saprai:

  • Applicare il lifecycle PICERL (Preparation, Identification, Containment, Eradication, Recovery, Lessons Learned)
  • Effettuare acquisition forense endpoint Windows e Linux rispettando catena di custodia
  • Analizzare artefatti Windows chiave: Registry, Event Log, Prefetch, AmCache, SRUM, LNK, Jump Lists
  • Condurre memory analysis con Velociraptor e Volatility (flow di base)
  • Ricostruire timeline forense usando Plaso/log2timeline e supertimeline
  • Scrivere report incident per audience tecnica e management

Moduli del corso

ModuloArgomentiOre
1. Fondamenti DFIRPrincipi forensi (repeatability, chain of custody), differenze IR vs Forensic2h
2. Incident Response lifecycle (PICERL)Fasi, responsabilita', decision point, war room setup3h
3. Acquisition endpointLive response vs dead, tool (FTK Imager, dd), hash verification, chain of custody template4h
4. Artefatti WindowsRegistry hives, Event Logs, Prefetch, AmCache, ShimCache, SRUM, LNK, UsnJrnl, MFT6h
5. Artefatti Linuxbash_history, auth.log, systemd journal, /var/log, cron jobs, rootkit detection basics3h
6. Memory analysisVolatility 3 framework, Velociraptor live memory collection, process tree analysis4h
7. Timeline forensePlaso/log2timeline, supertimeline generation, TLN format, anomaly detection4h
8. Network forensics basicsPacket capture analysis (Wireshark), flow data, DNS logs forensics3h
9. Malware triageStatic analysis (strings, PE header), dynamic (sandbox), IoC extraction, YARA rules basics3h
10. Report incidentTechnical report structure, executive summary, timeline visualization, lessons learned2h

A chi si rivolge

  • Incident responder junior che vogliono solidificare fondamenta forensi
  • Blue team senior in transizione verso DFIR dedicato
  • Consulenti security che vogliono aggiungere DFIR al proprio portfolio
  • Analisti SOC Tier 2 che vogliono crescere verso investigation

Prerequisiti

  • Esperienza sistemistica solida (Windows + Linux admin)
  • Capacita' di lavorare con CLI (bash, PowerShell)
  • Familiarita' con storage, filesystem, permessi
  • Idealmente esperienza SOC o incident handling pregressa (SOC Tier 1 Forge e' un ottimo warm-up)
  • Comfort con scripting basilare (grep, awk, Python)

Certificato rilasciato

Attestato Forge DFIR Baseline al completamento del corso (tutte le attivita' + quiz finale + case study risolto). Il certificato attesta le competenze di base DFIR per junior IR o consulenti security che iniziano a occuparsi di investigation.

Il certificato include codice univoco e URL di verifica pubblica valida a vita.

Come partecipare: clicca "Richiedi accesso" in cima alla pagina. Compila il form con i tuoi dati e il nostro team ti contattera' entro 2 giorni lavorativi per confermare l'iscrizione o proporre un percorso alternativo.
Gli ospiti non possono entrare in questo corso, per favore autenticati.