ナレッジ | フォーカスシステムズサイバーフォレンジックセンター

お問い合わせはこちら
東京証券取引所 プライバシーマーク ISMS JUSE

ナレッジ

ホーム > ナレッジ > Articles > EnCase入門 ~ケース作成とエビデンスのマウント~
«  |  Articles トップへ

EnCase入門 ~ブックマークとレポート作成~

EnCase Forensic入門第5回 ~ブックマークとレポート作成~

 

前回はEnCase 入門第4回ということで、EnCase の2つの検索機能「Rawキーワード検索」と「インデックス検索」についてご紹介しました。

 

Rawキーワード検索実行画面

 

インデックス検索実行画面

 

 

今回は、これまでの作業で得られた「証拠となる情報」をブックマークとして登録し、最終的に一つのレポートとしてまとめあげる手法をご案内いたします。

特にブックマーク機能に関しては、重要なデータの見直しや再確認といった活用方法も期待できますので、是非参考にしていただければと思います。

 

では早速、ブックマークの作成方法からみてみましょう。

 

 

 

ブックマークの作成

 

ブックマークの作成および登録は、様々な画面から行うことができます。今回は代表例として、Evidence タブのテーブルペイン上から行っていきたいと思います。

 

まずは、ブックマークを付けたいアイテムに対し、右クリックメニューから Bookmark → Single Item を選択します。

(複数のアイテムを同時にブックマークしたい場合は、対象のアイテムのチェックボックスにチェックをつけ、右クリックメニューから Bookmark → Selected Items を選択します。)

 

Bookmark → Single Item

 

 

選択しますと、次のようなコメント入力欄のある画面が表示されます。

(デフォルトでは何も入力されていない状態になります。)

 

 

Single Item「Properties」

 

この「Properties」タブでは、これからブックマークするアイテムに対してコメントを付与することができます。

 

例として「単一アイテムのブックマークを行っていきます。」というコメントを入力しておりますが、他にも「〇〇のメールデータ一覧」や「□月△日以降に削除されたファイル」というようにわかりやすい情報を付与することで、このファイルが一体どういうファイルだったのかを区別しやすくなります。

 

コメントを入力しましたら、次に保存場所を設定します。「Destination Folder」タブに切り替えてみましょう。

 

Single Item「Destination Folder」

 

ここでは、画面上のディレクトリツリーから既存のブックマークフォルダを選択するだけで簡単にブックマークをすることができます。

 

もし画面上部の「New Folder」に任意の文字を入力した場合、その入力した名前を持つブックマークフォルダを新たに作成しながらブックマークの登録を行うことが可能となります。

その際のブックマークフォルダの作成先は、ディレクトリツリーで選択しているブックマークフォルダの直下(この場合は「Examination」の直下)になりますので、名前・保存先の確認をした上で登録しましょう。

 

なお、複数アイテムのブックマーク(Selected Items)ではコメントを入力する欄は表示されず、保存先を指定するだけとなりますのでご注意ください。

 

 

コメントと保存先を確認しましたら、画面右下の OK ボタンからブックマークの登録を完了します。

 

それでは、ブックマークがどのように作成されたか見てみましょう。

メニューバーの View から「Bookmarks」を選択することで、登録したブックマークを確認することができます。

 

Bookmarksタブ

 

Bookmarks タブを見てみると、先ほど作成した「観葉植物のドキュメント」という名のブックマークフォルダと、その中に単一アイテムのブックマークが登録されていることがお分かりいただけるかと思います。

 

このように、様々なアイテムを任意のブックマークとして登録することで、エビデンス内にどんなアイテムがどれぐらい存在していたのか、自分好みの分類分けを行えるようになります。

また、今回は「ファイル」を対象としてテーブルペインからブックマークを行いましたが、他にもビューペインの txtタブや transcriptタブ上の文字列に対してもブックマークを行うこともできますので、用途に合わせて使い分けていただければと思います。

 

 

次にご紹介するレポート作成は、実際に登録してきたブックマークの情報を一つのレポートとしてまとめあげる機能になります。

 

 

レポートの作成

 

EnCase でレポートを作成する際ですが、実はすでに作業の大半は完了しています。

メニューバーの View より、「Reports」を選択してみましょう。

 

View → Reports

 

ここで開かれるタブは、今現在レポートにどのような内容が反映されているかを表示してくれる画面になります。

 

Reportsタブ

 

おそらくデフォルトでは「Examination Report」というタイトルページから始まり、Evidence の情報やこれまで登録してきたブックマークのアイテムたちがそれぞれ記載されているかと思います。

 

すでに触れておりますように、EnCase のレポート機能はブックマークを基に反映・作成していきます。

そのため、これまで扱ってきたブックマークがそのままレポートに反映されており、後はこの画面から出力の操作を行うだけで簡単にレポートの作成が行えるよ...という仕組みになっております。

 

では、レポートの画面上でしたらどこでも問題ございませんので、右クリックメニューから「Save As…」を選択してみてください。

 

右クリック → Save As…

 

 

Save As 設定画面

 

この Save As… の画面では、保存形式と保存先を設定するだけで簡単に現在のレポートを出力することが可能となっております。

さらに、RTF、HTML、PDF の形式であれば右上の「Export Items」も選択可能となり、出力したレポートから直接該当するエビデンスのファイルを開くことができるようになります。

 

※この「Export Items」は、レポート出力と同時にレポートに含まれる”ブックマークされたアイテムすべて”をエクスポートする機能です。マルウェアなどの意図しないアイテムまでエクスポートしてしまう可能性がございますので、使用する際にはご注意ください。

 

 

OKボタンを押したら出力が開始され、指定した保存先にレポートが作成されるようになります。

後は実際にそのレポートを開いてみて、内容に問題が無いようであればレポート作成は完了となります。

 

 

 

まとめ

 

今回のナレッジでは、ブックマーク機能とそれを基にしたレポート作成をご紹介致しました。

 

簡単に流れをまとめますと、

ブックマーク

(1)テーブルペインでブックマークしたいアイテムに対し、右クリックから Bookmark → Single Item を選択します。

(2)表示される画面において任意でコメントを入力し、Destination Folder タブでブックマークの登録先を指定して OK をクリックします。

(3)メニューバーの View から「Bookmarks」タブを開き、先ほど登録したブックマークが反映されていることを確認します。

 

レポート作成

(1)メニューバーの View から「Report」を選択します。

(2)これまでの作業で登録したブックマークがレポートに反映されていることを確認します。

(3)画面上で右クリックから Save As… を選択します。

(4)出力形式や保存先を設定し OK をクリックします。

 

以上が、ブックマークとレポートの作成方法になります。

今回ご紹介した操作以外にも、ブックマークの登録やレポートの編集方法など様々な設定が行えるようになっておりますので、ご興味がありましたら是非活用していただければと思います。

 

EnCase入門のナレッジは本章で掲載終了となりますが、もしこれまでのナレッジで「EnCase に興味がわいた!」「もっと詳しい操作が知りたい!」という方がいらっしゃいましたら、弊社より商品のご案内やトレーニングのサポートも実施しておりますのでお気軽にお声掛けいただければと思います。

 

 

それでは、EnCase入門を最後まで読んでいただき、誠にありがとうございました。