Excelがない環境下でCSVを読むのに重宝するツール【Timeline Exproler】


 Timeline Explorer

Timeline Explorerはデジタルフォレンジック検査に特化した、無料の機能豊富なExcel代替ソフトです。分析を行う際にExcel/CSV出力で生活しているすべてのアナリストのために考慮する価値のあるExcel上の生活の質の機能のほんの一握りがあります。Timeline ExplorerはGUIのみのツールなので、このガイドで扱うのはそれだけです。

このガイドのいくつかの例では、Lone Wolf 2018 シナリオに対して実行された KAPE からの出力を使用しています。2020年12月現在、KAPEの出力は、このEZ Toolsガイドのために私がまとめたGitHubリポジトリから取得することができます。GitHubリポジトリは、こちらからご覧いただけます。

このガイドはTimeline Explorerを初めて使う方を対象に作成されています。このガイドの主な目的は、Timeline Explorerのような新しいツールを試してみることの怖さを取り除くことです。Timeline Explorerを活用する、より高度な方法もありますが、このガイドでは取り上げません。

また、Excelは非常に快適なユビキタスツールであり、多くのユースケースで「一長一短」の役割を果たし、仕事をこなすことができることも理解しています。しかし、このガイドは、Timeline Explorerが提供できる利点を知ってもらうことを目的としています。最終的には個人の好みの問題ですが、このガイドはあなたが情報に基づいた決定をし、視野を広げるのに役立ちます。

ダウンロードリンク: Eric Zimmerman’s GitHub

Timeline Explorerの使い方を説明する前に、なぜTimeline Explorerを使う必要があるのかを理解する必要があります。ありがたいことに、以下のガイドはビジュアルエイドと説明でWHYとHOWの両方をカバーするようにデザインされています。Timeline ExplorerはKAPEを使用しているアナリストを完璧に補完することができます。KAPEからのCSV出力をTimeline Explorerに取り込み、簡単に分析する事ができます。

ここでは、個人的に日々の分析に役立つと感じたTimeline Explorerの機能を紹介します。

  • ダークモード
    • これは個人的な好みですが、私はダークモードが利用できるときはいつでも大歓迎です。Office 2019 Black(私の好み)以外にも選択肢はありますが、その選択肢があるのはありがたいことです。

  • インスタント・フィルタリング
    • Excelでは、フィルタのオプションを選択しても、結果が表示されません。Excelでは、選択してからOKを押さないと、結果が目の前に表示されません。Timeline Explorerでは下記のようにリアルタイムでフィルターをかけることができるので、とても便利な機能です。


また、フィルタリング中にドラッグして連続した複数の項目を選択し、スペースバーを押すと一気に選択することができますよ。これは偶然知ったのですが、ここにそのためのGIFを追加することにしました。


  • 列ヘッダーのコンテキストメニュー
    • 列のヘッダーを右クリックすると、以下のような多くのオプションを利用することができます。昇順・降順のソート、ベストフィット(すべての列)


  • カラムチューザー
    • 列が多すぎる?いくつかの列を削除したり、表示されていない列を確認したいですか?
    • 列選択ツールで列をダブルクリックすると、スプレッドシート内の元の位置に戻すことができます。また、列選択ボックスから手動で列のヘッダーをスプレッドシート内の所定の位置にドラッグすることもできます。


  • 複雑なフィルタリング
    • 複雑なフィルタを作成するのはとても簡単で、それをクリアするのはさらに簡単です。左下で、AKMonitor.exe (キーロガー)を見つけるために、Timeline Explorer内で複数のフィルター変数を作成する様子をご覧ください。また、複雑なフィルタの1つの要素、またはフィルタ全体を一度にクリアする方法も紹介します。各ステップでのもう一つの注目点は、右下の「表示可能なライン」がフィルタを追加するたびに変化するところです。


例えば、すべての.docx, .pptx, .pdfファイルに対してフィルタリングを行いたい場合は、以下のデモを参照して、使用するケースに合わせて調整してください。以下の例では、フィルタを適用した後に値データ2でソートしているので、これらのファイルタイプが最後に開かれた時刻で効果的にソートできていることがわかります。注:ANDからORに変更した場合、下のフィルターにどのような影響があるか、またANDでは結果が出ないことに注意してください。同じ行に3つのクエリを含むエントリーはありません。


また、以下のようにフィルターを手動で調整することも可能です。


もう一つ注目すべきは、列のヘッダーからフィルタリングする場合と、「フィルタの編集」メニューからフィルタリングする場合のオプションの違いです。


フィルタリングに関して最後に強調しておきたいのは、複雑なフィルタを設定しても、下のチェックを外すことで一時的にそのフィルタを無効にできることです。これは、何か悪いものを見つけたときに、一時的にフィルターを無効にして、タイムスタンプ列でソートしたときにその前後に発生する他のものを確認するのに便利です。


  • タブ表示
    • KAPEを実行したエンドポイントで分析を行う場合、私は通常、関連するすべてのCSV出力ファイルを取り、そのエンドポイント用のTimeline Explorerの1つのインスタンスに放り込みます。出力はエンドポイントフォルダ内にネストされていることが多いので、左下隅にあるファイルパスを見れば、特定のエンドポイントに関連するTimeline Explorerのインスタンスを簡単に見分けることができます(例: C:\UsersAndrewDesktop\2019 Lone Wolf Scenario
    • 下の例では、FileFolderAccessのKAPE出力フォルダからすべてのファイルをドラッグ&ドロップしているのがわかります。これには、JLECmd、LECmd、SBECmdからの出力が含まれます。

  • タブ管理
    • バージョン1.1.0.0の新機能 - 検索バーは、以下の例のようにMFTを探している場合、MFTが入力されるとどのような結果が表示されるか、コンテナ検索のように動作します。

Labels: ,