インシデント発生時のデータ収集ツール 【KAPE編】

前回のブログで、インシデント発生時のデータ収集ツール、【 CDIR-C 】【 Magnet RESPONSE 】をご紹介しました。本編では、もう一歩進んで、収集したデータを解析したりデータ構造を変換したり、いわゆるパースすることができる【 KAPE 】をご紹介します。前回のブログをまだ読んでいない、という方は是非ご覧ください。

【 KAPE 】で何ができる？

一例として Windows イベントログを収集した後に CSV 形式などにパースしたい場合、KAPE 内に用意されている EZTools の EVTXECmd ツールを利用することで、収集からパースまでを一括して進めることができます。EVTXECmd などのツールを単体実行する以外に、複数のツールをバインドしたモジュールを利用、あるいは、作成することで、複数の処理を一括で実行することも可能です。

どのように操作ができるのか次章にて紹介していきます。
下記の公式ページから無償でダウンロードできますので、良ければ一緒に試してみてください。

【 KAPE 】を実行したデータ収集 & パース処理の例

今回は、以下のパースを試してみます。

KAPE は、CUI と GUI のどちらでも実行することが可能です。今回は、CUI と GUI の両方の手順を紹介します。

CUI で試してみる

1. 先ほどのパースを試す場合、下記コマンドで実行できます。

kape.exe –tsource C: –tdest {収集するデータの保存場所} –target KapeTriage –mdest {パース処理を実行した結果の保存場所} –module !EZParser

収集データ、および、パース処理の実行結果の保存場所はカスタマイズ可能ですので、保存したい場所に変更して実行ください。

2. コマンドを実行すると、”C” ディレクトリが自動的に作成され、そこに C ドライブの Windows イベントログや Web ブラウザの情報などが格納されます。またデータが収集されると同時に、収集した情報をパースすることができます。

3. パース処理後の出力結果は、 “module” ディレクトリに下記のように格納されます。

Windows イベントログの中身は下記のように evtx 形式にて保存されます。

4. パース後の Windows イベントログです。
   収集した際は evtx 形式でしたが、解析しやすいように CSV 形式になります。

GUI で試してみる

1. KAPE には CUI の他に、GUI アプリケーションが用意されています。”gkape” という名前の実行ファイルをダブルクリックして起動します。

2. 左側が target、右側が module の設定になります。
   まず、左側の “Target source” は収集対象になります。今回は C ドライブ（C:\）を選択します。”Target destination” は収集した情報をどこに保存するかを選択します。任意の場所を選択します。”Target” は KapeTriage を選択します。
3. 次に、右側の “module destination” はパースしたデータを保存する先を選択します。”Module” は !EZParser を選択します。
4. 設定が完了したら、右下の “Executed!” をクリックして実行します。

5. 実行結果は、先ほどの CUI と同じになります。実行結果は CUI の方をご参照ください。

このように KAPE を用いることで、下図のようにデータ収集からパース処理までを一気通貫で行うことができます。解析までの時間や解析時間を大幅に削減できるため、解析担当者にとって大きなメリットがあると言えるのではないでしょうか。

なお、 KAPE 内には複数のターゲットやモジュールが用意されているので、実行したい内容によって色々と試してみてください。

まとめ

KAPE を用いることで、以下が可能になります。

パースまで行いたい場合の選択肢の一つとして、 KAPE を加えてみてはいかがでしょうか。

セキュリティに関するちょっとしたお悩みごとはございませんか？
無料相談も承りますので、ぜひお気軽にお問い合わせください。

著者：大西　翔太
セキュリティコンサルタント、企業様向けのセキュリティ製品導入サポート、
インシデント対応などにより企業のセキュリティ対策をご支援した実績多数あり。
情報処理安全確保支援士、CASP+、AWS Certified Security – Specialty、など資格も多数保有。