QualityNet サイバーフォレンジック事業部

03-6260-9237

営業時間(9:00~17:30)定休日(土曜・日曜・祝祭日)

カタログ
ダウンロード お問い合わせ

Magnet AXIOM Examine: ケースの表示 ② - ナレッジ&テクニック

ホーム > 記事 > ナレッジ&テクニック > Magnet AXIOM Examine: ケースの表示 ②

Magnet AXIOM Examine: ケースの表示 ②

本項では、Magnet 社製フォレンジックツール Magnet AXIOM Examine を用いたケースの分析について解説します。

以下、Magnet AXIOM v4.0.1 を使用していますが、基本的な操作方法は他のバージョンでも同様です。
現在、日本語インターフェースの改善作業中のため、メニューの項目、表記は変化する場合があります。

AXIOM によるケース処理の詳細は、以下をご参照ください。

https://cyber.quality-net.co.jp/knowledge_detail/998/

アーティファクトのフィルタリング

AXIOM Examine 画面上部のフィルターバーを使用すると様々なデータの絞り込みが可能です。

フィルターを使用するには、フィルターバーからフィルターを選択後、表示されるチェックボックスから結果に含めたい項目、アーティファクト等を選択します。
項目は複数選択も可能です。

フィルターバーの右側にある検索ボックスではキーワード検索が可能です。
※ キーワード検索時の注意点は「AXIOM の検索で対象ドライブにあるはずの情報がヒットしません」をご参照ください。

日時フィルターを使用する場合は、絶対日付/時間、相対日付/時間を選択し対象範囲を限定します。

  • 絶対日付/時間: 日付、曜日、時間で表示対象を選択します。
    特定日時の前後や期間指定も可能です。その場合は開始・終了日時を指定します。
  • 相対日付/時間: 基準となる日時を指定し、その前後、何分/何時間/何日 といった形式で範囲を指定して絞り込みを行います。
    絶対日付/時間による指定でも同じ範囲を指定可能ですが、こちらは基準となる日時をもつアーティファクトがあり、そこから範囲を絞り込みたい場合に有効です。

スキントーン フィルターを使用する場合はスキントーンの割合を指定します。

フィルタリング適用後はメニューバーが灰色から黄色の背景に変わります。
適用したフィルターを削除するには各フィルターの選択画面にある「リセット」を押下します。
キーワード検索の場合は、検索語句の隣に表示される「×」ボタンを押下します。

「Chess」で検索した場合のキーワードフィルター

 

全てのフィルタリングを一括で解除する場合は、フィルターバーの検索窓の隣りに表示される、「フィルターを消去する」を押下します。

タイムライン エクスプローラー

各アーティファクトから取得された日時情報を用いて、アーティファクトを時間軸で並び替えた情報を表示します。
1つのアーティファクトが複数の日時情報を持つ場合は、日時情報ごとに複数行に別れて結果が表示されます。

タイムライン エクスプローラーを表示するには、AXIOM Examine の画面左上部にある プルダウンから、「タイムライン」を選択します。

AXIOM Process の処理が終了した時点では、通常、タイムラインは作成されていません。
(AXIOM Examine のツールメニューから、ケース閲覧時に自動的にタイムラインを作成するように設定可能です。)

タイムラインを表示するには下の画面で「タイムラインを構築する」を押下し、作成処理を行います。

処理の完了後、タイムラインエクスプローラーが使用できるようになります。
また、処理後はアーティファクト エクスプローラーの詳細ペインに時計型のアイコンが表示されるようになります。

このアイコンを押下すると、各タイムスタンプを基準とした相対時間によるフィルター設定画面が表示されます。各情報は予め入力されているため、ユーザーは「範囲の設定」欄だけ入力すれば対応するタイムラインに素早く移動できます。

接続 エクスプローラー

各アーティファクトから取得されたメタデータの関連性を表示します。

AXIOM Process の処理が終了した時点では、通常、接続 (コネクション) は作成されていません。
(AXIOM Examine のツールメニューから、ケース閲覧時に自動的に接続(コネクション) を作成するように設定可能です。)

接続 (コネクション) を作成するには画面の指示に従って、処理を実行します。

処理の完了後、アーティファクト エクスプローラーの詳細ペインにコネクション表示用のアイコン (下図赤枠部分) が表示されます。このアイコンから各メタデータ毎に、対応するコネクションの表示が可能です。

ポータブルケースの作成

ポータブルケースはAXIOM Examine のケースに可搬性をもたせたものです。
ポータブルケースを用いれば利害関係者間でのケースデータの共有やレビュー等の分担作業が容易になります。

ポータブルケースを作成するには、以下の手順に従います。

  1. AXIOM Examine のファイルメニューから「ポータブルケースを作成する」を選択します。
  2. 「エクスポート、レポートのフォーマット」で「ポータブルケース」を指定し、「次へ」を押下します。
  3. ポータブルケースとして出力する対象のアイテムを選択し、「次へ」を押下します。
  4. 出力結果の絞り込みを行いたい場合は、対象のアーティファクトを選択し、「次へ」を押下します。
  5. ポータブルケースの保存場所を選択し、「ファイルを保存する」を押下するとポータブルケースが作成されます。

作成されたポータブルケース内には、AXIOM Examineの実行ファイルとケースデータ、起動用のバッチファイル (OpenCase.bat) 等が含まれます。

ポータブルケースを開く場合は、.bat ファイルをダブルクリックします。

※ ポータブルケースの起動、閲覧には 64 bit 版の Windows PC が必要です。32 bit 版では動作しませんのでご注意ください。

TOP