Taller 5 Respuesta a Incidentes y análisis forense

Contenidos:

• Introducción DFIR.
• Recolección, herramientas, triaje local/remoto.
• Eventos de Windows: inspección ad-hoc / SIEM /EDR, preconfiguración.
  
  • Detectando movimiento lateral:
    
    • RDP.
    • WMI.
    • Powershell.
    • …
  • Ejecución de binarios.
• Malware.
  
  • Evidencias de ejecución (Prefetch, shimcache,…).
• Forense de memoria.
  
  • Conexiones de red.
  • Ejecución.
  • Recuperación artefactos.
• Análisis de línea de tiempo.
• Técnicas antiforense.

Requisitos:

• RQs hardware: Portátil con OS Windows 10/11 con al menos 4GB de RAM y conectividad WIFI.
• RQs software: Máquina virtual con al menos 4GB de RAM. 2 alternativas:
  
  • Máquina Windows con FlareVM
  • SIFT Workstation
• Conocimientos previos: Conocimientos de informática, sistemas operativos y protocolos de red. Recomendado: Experiencia en ciberseguridad.