この章と次の12章は The Sleuth Kit の作者でもある Brian Carrier 氏が書かれています。11章は技術的なお話というよりは、まさにコンピュータ フォレンジックスの基本的なところを解説しているのですが、この後の技術的な解説が書かれている12章・13章を読む前にぜひ読むことをお勧めしたい内容になっています。
フォレンジックス方面で一般的な原則として守らなければいけない内容が、この章の「11.1.4 キーコンセプト」にまとめられていますので、12章・13章を読む際には P266 の内容を念頭に読む必要があると思います。もちろん、本番環境で実行する前に「インシデントレスポンス―不正アクセスの発見と対策」を読むことを強くお奨めします。（この辺りの注意点は本文中でも触れられています）
途中、The Sleuth Kit と Autopsy の概要説明が入りますが、この辺りはもう少し詳しく解説してくれたほうが嬉しい人が多い気もしますね。あと、多言語対応に関する記述がないのはやはり外部からの不正アクセスを対象としているのからかもしれません。
「11.3 データ捕捉」は、ちょっとわかりにくい部分かもしれませんが、11.1.4 で書かれているようにオリジナルを触らないために複製する際のガイドラインについて解説されています。ここで書かれているガイドラインは、インシデント レスポンスでも重要な意味を持つ項目だと思いますので要チェックですね。
データ捕捉を正しく行えていれば、後は保全（取得）したデータを解析するだけですので、最初の難関となるわけです・・・