Forenzní trénink II – sylabus

Úvod do síťové forenzní analýzy

Připomenutí základů z FT1
Specifika síťového provozu
Různé úrovně podrobnosti záznamu
Technické základy (ISO/OSI, IP adresa, MAC adresa, NAT)
Zjišťování informací (whois, geolokace, výrobce MAC)
Přestavení virtuální společnosti, ve které budou prováděná praktická cvičení
Praktické cvičení – procvičení zjišťování informací

Síťové toky a Netflow

Co je to flow, jeho obsah
Jak a kde jsou flow získávána (včetně NAT)
Ukládání flows, protokoly pro posílání, ukázka konfigurace prvků
Specifika ukládání velkého množství dat
Využití flow v praxi
Indikátory kompromitace (IoC) + výhody síťových IoC
Nástroje pro analýzu flow (FTAS)
Praktické cvičení – řešení případu s využitím nástroje FTAS

Zajištění podkladů

Úplná data vs. flows
Kde lze data sbírat (koncový uzel, L2, TAP, SPAN, RSPAN, ERSPAN,virtualizace)
Výběr bodů pro nahrávání
Uložení dat (pcap, pcapng, způsoby záznamu)
Předzpracování (jak si vybrat jen data pro konkrétní subanalýzu)
Forenzní aspekty (původ data, konzistence dat)
Přestavení nástrojů (tcpdump, netsh, vboxmanage, capinfos, editcap,mergecap, wireshark) a jejich oblast vhodného použití
Praktické cvičení – řešení případu s nahráním a analýzou pořízených dat

DNS – Domain name system

Základy DNS (typy záznamů, hierarchická struktura, zóny, vyhledávání)
DNS protokoly (basic, DoT, DoH, DoH+proxy)
Úskalí živého dotazování (fast flux, split horizon DNS, možnost prozrazení)
Využití DNS v FA (doménové jméno -> IP [-> MAC], IP -> doménové jméno)
Passive DNS (sběr dat + využití)
Nástroje pro analýzy (whois, dig, host, nslookup, kdig, curl, tshark, passivedns)
Praktické cvičení – řešení případu s využitím passivedns a FTAS

Protokoly

Podrobnější pohled na ISO/OSI model
Představení vybraných protokolů (ARP, ICMP, IP, UDP, TCP, HTTP, TLS)
Přestavení nástrojů (tcpflow, tcpxtract)
Praktické cvičení – HTTP protokol a dešifrování s RSA klíčem

Závěrečný případ

Systematický přístup (supertimeline)
Vytvoření supertimeline (FTAS, tshark)
Práce se supertimeline (kvalifikované výběry)
Globální pohled (statistiky, agregace, anomálie)
Použití nástrojů (Wireshar, tshark)
Prezentace výsledků (připomenutí z FT1)
Praktické cvičení – praktický rozsáhlý případ, využívá znalosti z celého školení (vybraní absolventi prezentují své postupy)

Poslední změna: 18.1.2022