Criterio de evaluación: a) Se han recopilado y almacenado de forma segura evidencias de incidentes de ciberseguridad que afectan a la organización.
- Contenido asociado: Recopilación de evidencias.
Herramientas
- DFIR: Velociraptor
- Imágenes Forenses: FTK Imager (gratuito),
dd/dc3dd(Linux).- Explicar formatos (E01, raw).
- Adquisición de Memoria: Volatility Framework (plugins de adquisición), Redline (FireEye).
- Cadena de Custodia: Plantillas de formularios.
- Hashing: Herramientas para calcular hashes (md5sum, sha256sum, FTK Imager).
- Almacenamiento Seguro: Contenedores cifrados (VeraCrypt).