No soy mucho de forensics, mas de incident response, pero si no queres llegar en blanco, lo que tenes que buscar es informacion de computer forensics fundamentals. Tenes que tener claro las técnicas forenses y anti-forenses como HDD imaging, saber que es la informacion volátil y en que orden trabajar con ella. Si, tiene un orden para recolectar. Seria bueno que lleves ya con conocimiento a cerca de recoleccion y parsing de logs tanto de Windows como en linux (grep, cut, diff, string, find, etc) Si aprendes como usar regex para trabajar con logs es una gran cosa. Ahora bien, seria bueno que estudies un poco de tecnicas anti-forenses como ADS, buffer overflow, golden tickets generators basados en Net-Bios, programas residentes en memoria, sandbox detection, borrado de logs.
Cybrary es uno de los mejores lugares para apreder CyberSec de choto.
https://www.cybrary.it/course/computer-hacking-forensics-analyst/En cuanto a la distro en especifico no tengo mucho conocimiento pero lo que podes hacer es revisar la lista de tools instaladas y practicar con ellas. Pero insisto que seria bueno llevar conocimiento fundamental de forensics y anti-forensic techniques antes del curso. Mi humilde opinion.
https://www.caine-live.net/page11/page11.html
