triagectl — macOS向けDFIRトリアージツール

Security
triagectl — macOS向けDFIRトリアージツール

triagectl — macOS向けDFIRトリアージツール

triagectlは、macOS環境向けに設計された高速な単一バイナリのトリアージツールです。26種類のコレクタで永続化設定やユーザー操作履歴、ネットワーク情報、セキュリティ設定などを収集し、自動解析(疑わしいプロセス検出、ネットワーク異常スコアリング、永続化解析)を行います。出力はSQLite、CSV、HTML、Timesketch互換のタイムライン形式に対応し、IOC(IP、ドメイン、ハッシュ等)照合が可能で、初動対応(DFIR)での迅速な状況把握に役立ちます。(約300字)

https://github.com/plonxyz/triagectl

概要

triagectlは「短時間で状況把握を行うこと」を目的としたmacOS専用のDFIRトリアージツールです。READMEによれば26個のコレクタを備え、永続化(LaunchAgents/Daemons等)、ユーザー活動、ネットワーク状態、セキュリティポスチャーなど多岐に渡るアーティファクトを収集します。収集後は自動解析フェーズにより疑わしいプロセスやネットワークの異常をスコアリングし、IOCファイル(IP、ドメイン、ハッシュ等)との突合を行います。出力はSQLiteデータベース、CSV、HTML、Timesketch互換のタイムライン等が選べ、現場での迅速な初動対応や後続調査基盤への連携が想定されています。

GitHub

リポジトリの統計情報

  • スター数: 4
  • フォーク数: 0
  • ウォッチャー数: 4
  • コミット数: 7
  • ファイル数: 8
  • メインの言語: Go

主な特徴

  • 単一バイナリで配布されるため依存関係が少なく現場での配備が容易
  • 26種類のコレクタで広範囲のmacOSアーティファクトを収集
  • 自動解析(疑わしいプロセス検出、ネットワーク異常スコアリング、永続化解析)を内蔵
  • SQLite/CSV/HTML/Timesketch互換タイムラインで出力可能、他ツールとの連携が容易

技術的なポイント

triagectlはGoで実装された単一バイナリ型のCLIツールという点が技術的な核です。Go製であることにより、クロスコンパイルや静的リンクを活かしてmacOS向けに配布しやすく、現場で追加のランタイムインストールが不要になります。アーキテクチャ的には「コレクタ(収集)→解析(自動化)→エクスポート(出力)」のパイプラインを採用しており、各コレクタは永続性(LaunchDaemons/LaunchAgents)、ユーザー活動(ログイン履歴、シェル履歴等)、ネットワーク(接続中のソケット、ルーティング情報等)、セキュリティ設定(Gatekeeper、SIPの状態など)に関するデータを掘り起こすことを想定しています。

自動解析機能は、収集したデータに対してルールベースやヒューリスティックな評価を行い、疑わしいプロセスや不自然なネットワークパターンにスコアを付与します。IOCマッチングはカスタムのインディケータファイルを参照し、IP・ドメイン・ハッシュといったIOCとローカルデータを突合してアラート候補を抽出します。出力面では、SQLiteは調査のための一元データストアとして便利で、クエリによる素早い抽出や永続保存に向きます。CSV/HTMLは即時の閲覧やレポーティングに有効、Timesketch互換のタイムライン出力はタイムライン分析と可視化ツールとの連携を容易にします。

実務上の利点としては、単一バイナリであるためエビデンス収集時の導入コストが低い点、複数の出力形式で後続ツールチェーン(例:Timesketch、SIEM、ローカル解析ワークフロー)へ繋げやすい点が挙げられます。一方で現状はコミット数や活動が少なく、ルールセットの網羅性や検出精度、長期的なメンテナンス性は今後の改善余地があります。また、macOS固有のアーティファクト取得は権限(root)やシステムバージョン差分の影響を受けやすいため、実運用では権限・互換性の確認と取得物の信頼性検証が必要です。拡張性については、Goのモジュール構造とcmdディレクトリからコマンド実装を拡張しやすい設計が期待できますが、具体的なプラグインAPIの有無はREADMEとソースを確認する必要があります。

プロジェクトの構成

主要なファイルとディレクトリ:

  • .gitattributes: file
  • .gitignore: file
  • Makefile: file
  • README.md: file
  • cmd: dir

…他 3 ファイル

(補足)メイン言語がGoで、cmdディレクトリにコマンド実体が配置されている点から、Makefileと合わせてビルド/インストールフローが用意されていることが推測されます。出力形式やコレクタ一覧はREADMEに記載された機能概要を参照してください。

まとめ

単一バイナリで手早く広範囲のmacOSアーティファクトを収集・解析できる有望なトリアージツールです(約50字)。

リポジトリ情報:

READMEの抜粋:

triagectl

A fast, single-binary macOS triage tool for Digital Forensics and Incident Response (DFIR). 26 collectors, automated analysis, and outputs to SQLite, CSV, HTML, and Timesketch-compatible timeline formats.

Features

  • 26 collectors covering persistence, user activity, network, security posture, and more
  • Automated analysis — suspicious process detection, network anomaly scoring, persistence analysis
  • IOC matching against a custom indicator file (IPs, domains, hashe…