KAPE (Kroll Artifact Parser and Extractor).

Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.

Outil de triage Windows edite par Kroll qui collecte des artefacts forensiques sur des systemes vivants ou des images, puis execute des modules de parsing pour livrer une sortie exploitable.

KAPE, ecrit par Eric Zimmerman chez Kroll, est un framework de triage gratuit dedie au DFIR Windows. Il s'appuie sur deux bibliotheques extensibles : Targets decrit les artefacts forensiques a copier (Prefetch, ruches du registre, journaux d'evenements, $MFT, historique des navigateurs, etc.) et Modules decrit comment les parser avec des outils tiers comme les EZ Tools ou Volatility. Les analystes lancent KAPE sur un endpoint vivant, une image montee ou une copie d'instantane pour collecter des donnees en minutes au lieu d'heures, en preservant horodatages et chemins d'origine. Les sorties peuvent etre CSV, JSON ou des formats consommables par Timeline Explorer et Elastic. KAPE est devenu un standard des playbooks de reponse a incident.

Les défenses contre KAPE (Kroll Artifact Parser and Extractor) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.

Noms alternatifs courants : Kroll Artifact Parser and Extractor.