AI分析は素早い出発点です。アーティファクトビューア、手動レビュー、タイムライン分析は、元の文脈を確認し、何が起きたかを再構成する検証ツールです。
| 機能 | 役割 | 確認項目 |
|---|
| アーティファクトビューア | パース済み証拠を種類別に閲覧 | 元パス、時刻、ユーザー、ハッシュ、メタデータ |
| 手動レビュー | 証拠を直接検索・フィルタリング | 特定時間帯、ファイル、アーティファクト種別 |
| タイムライン分析 | イベントを時系列に接続 | 実行、アクセス、接続、削除、アップロードの順序 |
| AI分析 | 証拠検索と自然言語回答 | 要約、相関、次の調査方向 |
- AI分析で広い質問を行い不審領域を見つけます。
- 引用証拠をアーティファクトビューアで開きます。
- 手動レビューで周辺のユーザー、ファイル、時間を検索します。
- タイムラインで前後活動を再構成します。
- 確認済み証拠だけをレポートに含め、推測は別に示します。
- 通常時間外に活動が集中しているか
- USB接続後にファイルアクセスや圧縮が続くか
- アカウント作成後に権限変更やリモートログインがあるか
- 不審ファイル実行後に自動実行や外部通信があるか
- 削除イベント後にログの空白やクリーンアップ痕跡があるか
| 調査目的 | フィルタ例 |
|---|
| USB持ち出し | USB、Shellbags、RecentDocs、LNK、ファイルアクセス時刻 |
| マルウェア実行 | Prefetch、AmCache、Shimcache、EventLog、自動実行 |
| アカウント侵害 | ログオン、アカウント変更、リモートアクセス、権限変更 |
| クラウド流出 | ブラウザ履歴、ダウンロード、キャッシュ、同期ログ、アーカイブ |
| AI利用痕跡 | ブラウザAIサービス、コーディングツール、プロジェクト変更、ダウンロードファイル |
- タイムラインは最終判断ではなく順序確認に強い画面です。
- AIが見つけた手がかりの正確なフィールド確認には手動レビューが有効です。
- パス、ユーザー、時刻が合わない場合は信頼度を下げます。
- 複数のアーティファクトが同じ時間と行為を示すほど信頼度は高くなります。