KAPE (Kroll Artifact Parser and Extractor).

Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。

Kroll が提供する Windows 用トリアージツールで、稼働中のシステムやイメージからフォレンジックアーティファクトを収集し、パーサーモジュールで解析結果を出力する。

KAPE は Kroll の Eric Zimmerman が開発した、Windows DFIR 向けの無料トリアージフレームワークです。Targets と Modules という 2 つの拡張可能なライブラリを使い、Targets ではコピー対象のフォレンジックアーティファクト (Prefetch、レジストリハイブ、イベントログ、$MFT、ブラウザ履歴など) を、Modules では EZ Tools や Volatility といったサードパーティツールで解析する方法を記述します。調査員は稼働中のエンドポイント・マウント済みイメージ・ボリュームシャドウコピーに対して KAPE を実行し、タイムスタンプと取得元パスを保持したまま、数時間ではなく数分でデータを収集できます。出力は CSV、JSON、あるいは Timeline Explorer や Elastic で扱える形式です。KAPE は今やインシデント対応プレイブックの定番ツールです。

KAPE (Kroll Artifact Parser and Extractor) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。

一般的な別名: Kroll Artifact Parser and Extractor。