KAPE (Kroll Artifact Parser and Extractor)
KAPE (Kroll Artifact Parser and Extractor) とは何ですか?
KAPE (Kroll Artifact Parser and Extractor)Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。
KAPE は Kroll の Eric Zimmerman が開発した、Windows DFIR 向けの無料トリアージフレームワークです。Targets と Modules という 2 つの拡張可能なライブラリを使い、Targets ではコピー対象のフォレンジックアーティファクト (Prefetch、レジストリハイブ、イベントログ、$MFT、ブラウザ履歴など) を、Modules では EZ Tools や Volatility といったサードパーティツールで解析する方法を記述します。調査員は稼働中のエンドポイント・マウント済みイメージ・ボリュームシャドウコピーに対して KAPE を実行し、タイムスタンプと取得元パスを保持したまま、数時間ではなく数分でデータを収集できます。出力は CSV、JSON、あるいは Timeline Explorer や Elastic で扱える形式です。KAPE は今やインシデント対応プレイブックの定番ツールです。
● 例
- 01
`kape.exe --tsource C: --tdest D:\Triage --target KapeTriage` を実行して基本アーティファクトを収集する。
- 02
Targets 実行に `--module !EZParser` を連結し、解析済み CSV を 1 回のジョブで生成する。
● よくある質問
KAPE (Kroll Artifact Parser and Extractor) とは何ですか?
Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
KAPE (Kroll Artifact Parser and Extractor) とはどういう意味ですか?
Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。
KAPE (Kroll Artifact Parser and Extractor) からどのように防御しますか?
KAPE (Kroll Artifact Parser and Extractor) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
KAPE (Kroll Artifact Parser and Extractor) の別名は何ですか?
一般的な別名: Kroll Artifact Parser and Extractor。