ScriptForgeガイド
ScriptForgeガイド#
ScriptForgeは証拠の判断を代行するサービスではありません。反復するフォレンジック・セキュリティ作業を、レビュー可能な自動化コードへ変換する生成型ワークスペースです。調査意図、対象ツール、入力形式、出力形式を指定し、生成結果を確認してから利用します。
利用する場面#
- EnCase EnScriptで選択証拠の処理やタグ付けを自動化したい場合
- C# X-TensionまたはDLLベースの補助ツールを作りたい場合
- 反復トリアージ向けのPython、YARA/Sigma、Velociraptor VQLが必要な場合
- 分析者の手順書をチームで再利用できるコードにしたい場合
対応出力#
| 種類 | 例 | レビュー観点 |
|---|---|---|
| EnScript | 選択証拠メタデータの出力、ファイル一覧処理 | EnCaseバージョン、権限、選択範囲 |
| C# X-Tension | 拡張DLLの雛形、結果変換ユーティリティ | API互換性、例外処理、配布方法 |
| Python | ログ変換、IOC整理、レポート前処理 | 入力形式、エンコーディング、テストデータ |
| YARA/Sigma | サンプルトリアージルール、挙動検知ルール | 誤検知、ルール公開リスク |
| VQL | エンドポイントトリアージクエリ | 権限、収集範囲、性能 |
安全な利用手順#
- 自動化したい手作業を短く説明します。
- 対象ツール、入力形式、期待する出力、制約を指定します。
- 生成コードは本番利用前にテストデータで確認します。
- 証拠を変更・削除するコードは避け、読み取り専用の流れを優先します。
- チーム標準のログ、エラー処理、ハッシュ検証、出力形式を追加します。
ラボとの関係#
Forensic LabとMalware Labは証拠やサンプルを分析します。ScriptForgeは、その後の反復作業を自動化へつなげます。例えばMalware LabのIOCをYARA/Sigmaドラフトにしたり、フォレンジックケースで繰り返し確認するブラウザ痕跡をEnScriptやPythonユーティリティにできます。