CrowdResponseを試してみる(5)
SANS Forensics Blogで紹介されている CrowdResponse の基本機能を確認してきましたが、最後にレポートの変換ツール CRconvert.exe を見ておきたいと思います。
CrowdResponseは出力結果を XML 形式で出力します。そのまま読む事もできますが、XMLを CSV,TSV または HTML 形式に変換する為のツールとして CRconvert が同梱されています。
マニュアル P20 からオプションの説明がされていますが、基本的には -c で CSV、-t で TSV、-h で HTML と分かりやすいオプション構成になっていますね。(CSVとHTMLを同時に出力する事も可能)
-e オプションを指定すると、ファイル名にプレフィックスを設定する事も可能です、ケース管理番号なりを付与してレポートを出力(変換)するといった事が可能です。
試しにYaraでスキャンした結果のXMLファイルをCSVへ変換してみます。
>CRconvert.exe -f outy.xml -v -c
File: 1
"c:\temp\CrowdResponse\outy.xml"
Size: 1128 bytes
Loaded successfully
Parsed successfully
出力結果のファイル名ですが、デフォルトではセクション名が付与された形になるようです、例えば上記では結果としてCrowdResponse_yara.csv が生成されます。
system yarafile pid file identifie rresult
outy *built-in-config* C:\temp\sample\notepad.exe Notepad TRUE
出力したCSVはExcelで確認する事もできますが、CrowdResponseのマニュアルでは P22 から Splunk へロードする流れについて説明されています。大量の出力結果を扱う場合にはSplunkなりで整理すると便利そうですが、Splunkは使った経験がありませんので興味のある方はいかがでしょうか?