多くのフォレンジックツールでは処理結果を「ケース」という単位で特定のフォルダーにまとめて管理します。
AXIOM Process で初めてケースを作成する場合は、Magnet AXIOM Process の起動画面から「新規ケースを作成する」を押下します。

画面が切り替わり、詳細情報の入力画面が表示されます。
ケース内容に応じて各項目の詳細を入力します。

• 「ケース番号」: 各ケースの識別用の番号を入力します。(本項目は必須項目ではありません)
• 「ケースの種類」: プルダウンから該当するケースの種類を選択します。
  (本項目もAXIOM のアップデートに伴い、必須項目ではなくなりました)

「ケースファイルの場所」では AXIOM Process がケースフォルダーを作成する場所を指定します。

• 「フォルダー名」: 作成されるケースフォルダーの名称を指定します。
• 「ファイルパス」: 上記フォルダーを保存する場所を指定します。

「取得したエビデンスの場所」では AXIOM Process が取得したイメージファイルを保存する場所を指定します。
(ここで指定したフォルダーはAXIOM Process がドライブやスマートフォンなどのデータ取得を行う際に、デフォルトの保存場所として使用されます)

• 「フォルダー名」: 取得データを保存するフォルダーの名称を指定します。
• 「ファイルパス」: 上記フォルダーを保存する場所を指定します。

必要に応じて他の項目も入力します。入力は任意です。

• 「スキャン実行者」: AXIOM Process の処理を実行した担当者の名前を入力します。
• 「説明」: ケースや処理に関する詳細やメモなどを記入します
• 「カバーロゴ」: レポート出力時に使用するアイコンを指定します。

入力後、画面右下の「エビデンスソースを選択する」からエビデンスの追加画面に移動します。

AXIOM Process の処理対象となるエビデンスファイルを選択します。

• 「コンピューター」: Windows/Mac のエビデンスを解析する場合に選択します。
• 「モバイル」: Android/iOS/Windows Phone などモバイル端末のエビデンスを解析する場合に選択します。
• 「CLOUD」: Dropbox/iCloud/Google アカウントなどのエビデンスを解析する場合に選択します。
• 「リモートコンピューター」: エージェントを用いてリモートからエビデンスを取得する場合に選択します。

※ 表示はライセンス形態によって変化します。一部の項目が表示されない、グレーアウトして選択できない場合があります。

※以下では、デュプリケーターで取得した Windows の物理イメージファイル (拡張子 .E01) を追加する場合を例に説明します。

「コンピューター」を選択後、「WINDOWS」を選択します。

「エビデンスを読み込む」を選択します。

「イメージファイル」を選択し、解析対象の物理イメージの保存場所を指定します。

イメージファイルが複数のファイルにセグメント分けされている場合でも、先頭の E01 イメージのみ表示されます。先頭の E01 を指定すれば自動的に連続する複数ファイルを読み込みます。読込完了後は以下の画面が表示されますので「OK」を押下して続けます。

エビデンスを追加すると、AXIOM Process が自動的に対象となるエビデンスのパーティションテーブル、ファイルシステムの情報を読み取り表示します。

解析対象にチェックを付け、「次へ」を押下します。

チェックしたパーティション毎に、検索の種類を指定します。

• 「完全な」: 解析対象の全領域を対象にアーティファクトを検索します。
  ファイルシステムを認識し解析するため、断片化したファイルの処理も可能です。
• 「クイック」: 各アーティファクトがデフォルトで保存される場所に限定して検索を行います。
• 「セクターレベル」: 解析対象ドライブの先頭から順にデータを読み込み、カービング可能なアーティファクトを検索します。ファイルシステムの解析をしないため断片化されたファイルは部分的にしか処理できませんが、ファイルシステムの破損などがある場合に有効なオプションです。
• 「カスタム」: チェックボックスで指定された項目のみ処理を行います

通常、各パーティションに応じて最適な項目が自動的に指定されます。
確認後、「次へ」を押下してエビデンスの選択画面に戻ります。

エビデンスが一覧に追加されます。「処理の詳細を選択する」を押下して続けます。

ここでは AXIOM Process の処理内容をより細かく設定することが可能です。
以下の項目が含まれますが、本ガイドでは割愛します。

• 検索キーワードの追加
• Magnet.AI によるチャット、画像の分類
• アーカイブファイル、モバイルバックアップの検索
• ハッシュ値計算
• その他のアーティファクトの検索

※ AXIOM Process で処理するファイルの追加例

ここでは追加設定を行わず、画面右下の「アーティファクトの詳細を選択する」を押下して次へ進みます。

処理の詳細設定は当社が開催する Magnet AXIOM Examinations (AX200) で扱われます。

本項では選択されたエビデンスソースに応じて、対応するアーティファクトの検索有無を設定します。

各アーティファクトは基本的にチェックが付いた状態 (=検索を行う設定) となっていますが、定型的に多くの処理時間を要するアーティファクトからはチェックが外されています。

(チェックが外れているアーティファクトの例)

事案の性質上、処理が必要な場合は手動でチェックを付けてください。

画面右上の「プロファイルのオプション」から、「名前をつけてプロファイルを保存する」を選択することで選択内容を保存、再利用することが可能です。

以上までの設定を完了した後、「エビデンスを分析する」を押下すると処理が開始されます。

同時に、AXIOM Examine が自動的に起動し、終了した処理結果を適宜表示します。