読者です 読者をやめる 読者になる 読者になる

アンタイ・フォレンジック伝道者の独り言

基本的にはデジタル・フォレンジックの技術について取り扱っていますが、記載内容には高確率で誤りが含まれる可能性があります。

CrowdResponseを試してみる(5)

フォレンジック

SANS Forensics Blogで紹介されている CrowdResponse の基本機能を確認してきましたが、最後にレポートの変換ツール CRconvert.exe を見ておきたいと思います。

 

CrowdResponseは出力結果を XML 形式で出力します。そのまま読む事もできますが、XMLを CSV,TSV または HTML 形式に変換する為のツールとして CRconvert が同梱されています。

マニュアル P20 からオプションの説明がされていますが、基本的には -c で CSV、-t で TSV、-h で HTML と分かりやすいオプション構成になっていますね。(CSVとHTMLを同時に出力する事も可能)

-e オプションを指定すると、ファイル名にプレフィックスを設定する事も可能です、ケース管理番号なりを付与してレポートを出力(変換)するといった事が可能です。

 

試しにYaraでスキャンした結果のXMLファイルをCSVへ変換してみます。

 >CRconvert.exe -f outy.xml -v -c

File: 1

  "c:\temp\CrowdResponse\outy.xml"

  Size: 1128 bytes

  Loaded successfully

  Parsed successfully

 

 出力結果のファイル名ですが、デフォルトではセクション名が付与された形になるようです、例えば上記では結果としてCrowdResponse_yara.csv が生成されます。

 system yarafile pid file identifie rresult

outy *built-in-config* C:\temp\sample\notepad.exe Notepad TRUE

 

出力したCSVはExcelで確認する事もできますが、CrowdResponseのマニュアルでは P22 から Splunk へロードする流れについて説明されています。大量の出力結果を扱う場合にはSplunkなりで整理すると便利そうですが、Splunkは使った経験がありませんので興味のある方はいかがでしょうか?