Mac Forensics MCP

macOSデジタルフォレンジックとイベントレスポンスMCPサーバーは、23種類の構造化フォレンジック分析ツールを提供し、統一ログ、ファイルシステムイベント、ユーザー活動などの証拠間の関連分析をサポートし、調査員がmacOSイベントの調査を効率的に行えるように支援します。

セキュリティオペレーティングシステム自動化 #macOSフォレンジック #イベントレスポンス #ログ分析 #証拠関連付け .Python

スコア : 2.5ポイント

ダウンロード数 : 4.2K

更新時間 : 2026-03-13

サイトを開く

macOSデジタルフォレンジックMCPサーバーとは？

これは、macOSシステムのデジタルフォレンジックとイベントレスポンス（DFIR）に特化して設計されたMCPサーバーです。複雑なmacOSフォレンジックデータ（システムログ、ファイルシステムイベント、ユーザー活動記録など）を構造化クエリインターフェースに変換し、調査員が簡単なクエリで重要な証拠を迅速に取得できるようにします。大量の元データファイルを手動で解析する必要はありません。

macOSデジタルフォレンジックMCPサーバーの使い方は？

インストールと設定を行った後、ClaudeなどのMCPプロトコルをサポートするAIアシスタントを通じて、直接macOSフォレンジックデータをクエリできます。フォレンジックデータのディレクトリパスを指定するだけで、23種類の専用ツールを使用して分析を行うことができます。これには、セキュリティイベントの検索、タイムラインの構築、ユーザー活動の分析などが含まれます。

適用シナリオ

セキュリティイベントの調査、内部脅威の検出、コンプライアンス監査、マルウェア分析などのシナリオに適用されます。macOSシステムの活動を迅速に分析し、ユーザーの行動を追跡し、異常な活動を検出する必要があるセキュリティチームやフォレンジックアナリストに特に適しています。

主な機能

統一ログ分析

macOS統一ログシステムを自動的に解析し、ユーザー作成、SSHセッション、権限昇格などの事前定義されたセキュリティイベント検出パターンを提供します。

タイムライン構築

複数のフォレンジックデータソース（ログ、ファイルシステムイベント、データベース）から自動的に統一されたタイムラインを構築し、イベントの発生順序を表示します。

ユーザー活動分析

特定のユーザーのすべての活動を追跡します。これには、ログイン/ログアウト、ファイルアクセス、アプリケーションの使用、ネットワーク活動などが含まれます。

ファイルシステムフォレンジック

FSEventsファイルシステムイベント、Spotlightインデックス、拡張属性を分析し、ファイルの作成、変更、削除、アクセスを追跡します。

ブラウザ履歴分析

Safariの閲覧履歴、検索クエリ、ダウンロード記録を抽出して分析し、ユーザーのネットワーク活動を把握します。

権限監査

TCC（透明度、同意、制御）の権限設定を確認し、カメラ、マイク、画面録画などの敏感な権限を取得したアプリケーションを確認します。

外部デバイス検出

fsck_apfsログを分析することで、外部ストレージデバイスの接続と使用状況を検出します。

イベントの深層調査

特定のセキュリティイベントタイプ（ユーザー削除、マルウェア実行など）に対して、複数のデータソースをまたいで深層的な関連分析を行います。

利点

構造化クエリにより元データの検索を代替し、調査効率を大幅に向上させます

自動的にタイムスタンプを変換し、読みやすいUTC時間で統一表示します

事前定義されたセキュリティイベントパターンにより、疑わしい活動を迅速に発見できます

複数のデータソースを関連付けて分析し、イベントの全体像を提供します

ページング処理により、大規模なデータセットを処理し、コンテキストオーバーフローを回避します

利用可能なフォレンジックデータを自動的に検出し、手動でファイルを特定する必要がありません

制限

macOSシステムのフォレンジックデータを事前に収集する必要があります

一部の元データ形式を処理するには外部解析ツールに依存します

主にmacOSシステムを対象としており、他のオペレーティングシステムには適用できません

Python環境と関連する依存関係が必要です

一部の高度な機能を正しく解釈するには、専門的なフォレンジック知識が必要です

使い方

依存関係のインストール

システムにPython 3.10以上とuvパッケージマネージャーがインストールされていることを確認し、仮想環境を作成して依存関係をインストールします。

Claudeの設定

MCPサーバーをClaudeの設定に追加します。ユーザーレベルまたはプロジェクトレベルの設定を選択できます。

フォレンジックデータの準備

macOSシステムのフォレンジックデータを収集し、ログファイル、データベース、設定ファイルなどを指定されたディレクトリに整理します。

分析の開始

ClaudeなどのAIアシスタントを使用して、提供された23種類のツールを使ってフォレンジック分析を行います。

使用例

ユーザーアカウントの異常な削除を調査する

セキュリティチームがアラートを受け取り、特定のユーザーアカウントが異常に削除されたことを発見しました。MCPサーバーを使用して、削除イベントに関連する証拠を迅速に調査します。

疑わしいファイルのダウンロードを分析する

システムで疑わしいファイルがダウンロードされたことが検出され、ファイルのソース、ダウンロード時間、関連するユーザー活動を把握する必要があります。

侵入のタイムラインを構築する

システムが侵入された可能性があり、攻撃者の活動軌跡を把握するために完全なタイムラインを構築する必要があります。

権限の乱用を監査する

アプリケーションがシステム権限を乱用しているかどうかを調査します。例えば、許可なく画面録画やカメラアクセスを行っていないかを確認します。

よくある質問

このツールを使用するためにどのような種類のフォレンジックデータが必要ですか？

このツールはシステムをリアルタイムで監視できますか？

このツールを使用するために専門的なフォレンジック知識が必要ですか？

どのmacOSバージョンをサポートしていますか？

データはクラウドに送信されますか？

暗号化されたフォレンジックデータはどのように処理しますか？

🚀 mac_forensics - mcp

macOSのデジタルフォレンジックスとインシデントレスポンス（DFIR）用のMCP（Model Context Protocol）サーバーです。このサーバーは、macOSのトリアージ収集に対する構造化されたフォレンジック分析ツールを提供し、LLMを使用したインシデント調査時のコンテキストのオーバーヘッドを軽減します。

🚀 クイックスタート

このMCPサーバーは、macOSのトリアージ収集に対する構造化されたフォレンジック分析ツールを提供し、LLMを使用したインシデント調査時のコンテキストのオーバーヘッドを軽減します。

✨ 主な機能

大量のファイルを生のgrepで検索するのではなく、構造化されたクエリを使用できます。
自動的なタイムスタンプの正規化（Mac絶対時間 → UTC）を行います。
事前に構築されたセキュリティイベント検出パターンが用意されています。
クロスアーティファクトの相関分析とタイムラインの構築が可能です。
コンテキストのオーバーフローを避けるためのページネーション機能があります。
利用可能なアーティファクトを発見する機能が備わっています。

📦 インストール

cd /opt/macOS/mac_forensics-mcp

# 仮想環境を作成し、依存関係をインストールする
uv venv
uv pip install -e .

クロードコードの設定

オプション1: `claude mcp add` を使用する（推奨）

# ユーザー設定に追加する（すべてのプロジェクトで利用可能）
claude mcp add mac - forensics - s user -- /opt/macOS/mac_forensics-mcp/.venv/bin/python - m mac_forensics_mcp.server

# または、現在のプロジェクトのみに追加する
claude mcp add mac - forensics -- /opt/macOS/mac_forensics-mcp/.venv/bin/python - m mac_forensics_mcp.server

追加されたことを確認するには：

claude mcp list

削除するには：

claude mcp remove mac - forensics - s user

オプション2: 手動でJSONを設定する

~/.claude/settings.json（ユーザーレベル）または .claude/settings.json（プロジェクトレベル）に追加します：

{
  "mcpServers": {
    "mac - forensics": {
      "command": "/opt/macOS/mac_forensics-mcp/.venv/bin/python",
      "args": ["-m", "mac_forensics_mcp.server"],
      "env": {}
    }
  }
}

利用可能なツール（23個）

発見

ツール	説明
`mac_list_artifacts`	トリアージ収集内の利用可能なアーティファクトを発見します。

統合ログ

ツール	説明
`mac_unified_logs_search`	正規表現、フィルター、時間範囲でログを検索します。
`mac_unified_logs_security_events`	事前定義されたセキュリティイベント（ユーザー作成、SSHセッションなど）を取得します。
`mac_unified_logs_stats`	ログの統計情報（時間範囲、上位のサブシステム）を取得します。

Plistファイル

ツール	説明
`mac_plist_read`	Plistを読み取り、解析し、必要に応じてキーパスを抽出します。
`mac_plist_search`	パターンに一致するキーを検索します。
`mac_plist_timestamps`	すべてのタイムスタンプ値を抽出し、UTCに変換します。

データベース

ツール	説明
`mac_knowledgec_app_usage`	KnowledgeC.dbからアプリの使用状況を取得します。
`mac_safari_history`	Safariの閲覧履歴を取得します。
`mac_safari_searches`	Safariから検索クエリを抽出します。
`mac_tcc_permissions`	TCCのパーミッション（カメラ、マイク、画面録画）を取得します。
`mac_quarantine_events`	ファイルのダウンロード履歴を取得します。

ユーザー分析

ツール	説明
`mac_get_user_accounts`	削除されたアカウントを含むユーザーを一覧表示します。
`mac_get_user_timeline`	特定のユーザーアカウントのタイムラインを構築します。

FSEvents

ツール	説明
`mac_fsevents_search`	ファイルシステムイベント（作成、削除、変更、名前変更）を検索します。
`mac_fsevents_stats`	FSEventsの統計情報を取得します。

拡張属性とSpotlight

ツール	説明
`mac_get_extended_attributes`	ファイルの拡張属性（検疫、ダウンロードURLなど）を取得します。
`mac_spotlight_search`	ファイルのメタデータを対象にSpotlightインデックスを検索します。
`mac_spotlight_stats`	Spotlightインデックスの統計情報を取得します。

システムログ

ツール	説明
`mac_parse_fsck_apfs_log`	fsck_apfs.logを解析して、ボリュームの作成、外部デバイス、反フォレンジック対策を調査します。
`mac_fsck_apfs_stats`	fsck_apfs.logの統計情報（デバイス、ボリューム、時間範囲）を取得します。

相関分析と調査

ツール	説明
`mac_build_timeline`	複数のアーティファクトから統一されたタイムラインを構築します。
`mac_investigate_event`	証拠の相関分析を行い、イベントを深く調査します。

セキュリティイベントの種類

mac_unified_logs_security_events ツールは、以下のイベントタイプをサポートしています：

イベントタイプ	説明
`user_created`	ユーザーアカウントの作成
`user_deleted`	ユーザーアカウントの削除
`user_modified`	ユーザーアカウントの変更
`ssh_session`	SSH接続
`sudo_usage`	sudoコマンドの実行
`auth_success`	認証成功
`auth_failure`	認証失敗
`process_exec`	プロセスの実行
`gatekeeper`	ゲートキーパー/検疫イベント
`tcc_prompt`	TCCパーミッションのプロンプト
`login`	ユーザーのログイン
`logout`	ユーザーのログアウト
`screen_lock`	画面のロックイベント
`screen_unlock`	画面のロック解除イベント
`remote_login`	リモートログインサービス
`persistence`	永続化メカニズム

調査イベントの種類

mac_investigate_event ツールは、以下のイベントタイプの深い調査をサポートしています：

イベントタイプ	説明
`user_deletion`	タイムラインと証拠の相関分析を行い、ユーザーアカウントの削除を調査します。
`user_creation`	ユーザーアカウントの作成を調査します。
`file_download`	ファイルのダウンロード（検疫、拡張属性、ブラウザ履歴）を調査します。
`ssh_session`	SSHセッションのアクティビティを調査します。
`malware_execution`	潜在的なマルウェアの実行を調査します。
`privilege_escalation`	特権昇格の試みを調査します。

💻 使用例

トリアージ内のアーティファクトを発見する

mac_list_artifacts(artifacts_dir="/path/to/triage")

ユーザー削除イベントを見つける

mac_unified_logs_security_events(
    log_path="/path/to/unified_logs.csv",
    event_type="user_deleted"
)

ユーザー削除の深い調査

mac_investigate_event(
    artifacts_dir="/path/to/triage",
    event_type="user_deletion",
    target="username"
)

Safariの検索履歴を取得する

mac_safari_searches(
    db_path="/path/to/History.db",
    query_filter="delete"
)

Plistから削除されたユーザーを読み取る

mac_plist_read(
    plist_path="/path/to/com.apple.preferences.accounts.plist",
    key_path="deletedUsers"
)

外部デバイスのアクティビティを見つける

mac_parse_fsck_apfs_log(
    log_path="/path/to/fsck_apfs.log",
    external_only=True
)

特定のボリュームを検索する

mac_parse_fsck_apfs_log(
    log_path="/path/to/fsck_apfs.log",
    volume_filter="suspicious_volume"
)

ユーザーのアクティビティタイムラインを構築する

mac_get_user_timeline(
    artifacts_dir="/path/to/triage",
    username="username"
)

FSEventsを検索してファイルのアクティビティを見つける

mac_fsevents_search(
    fseventsd_path="/path/to/.fseventsd",
    path_filter="/Users/username",
    event_types=["created", "deleted"]
)

設定

外部ツールのパス

外部のフォレンジックツールは、環境変数を介して設定することができます。設定されていない場合、デフォルトは /opt/macOS/ パスになります。

環境変数	デフォルト	説明
`MAC_FORENSICS_UNIFIEDLOG_ITERATOR_PATH`	`/opt/macOS/unifiedlog_iterator`	unifiedlog_iteratorバイナリのパス
`MAC_FORENSICS_FSEPARSER_PATH`	`/opt/macOS/FSEventsParser/FSEParser_V4.1.py`	FSEParserスクリプトのパス
`MAC_FORENSICS_SPOTLIGHT_PARSER_PATH`	`/opt/macOS/spotlight_parser/spotlight_parser.py`	spotlight_parserスクリプトのパス

カスタムパスの例：

{
  "mcpServers": {
    "mac - forensics": {
      "command": "/opt/macOS/mac_forensics-mcp/.venv/bin/python",
      "args": ["-m", "mac_forensics_mcp.server"],
      "env": {
        "MAC_FORENSICS_UNIFIEDLOG_ITERATOR_PATH": "/custom/path/unifiedlog_iterator",
        "MAC_FORENSICS_FSEPARSER_PATH": "/custom/path/FSEParser.py",
        "MAC_FORENSICS_SPOTLIGHT_PARSER_PATH": "/custom/path/spotlight_parser.py"
      }
    }
  }
}

依存関係

Python 3.10以上
uv（仮想環境とパッケージ管理用）
mcp >= 1.0.0
biplist（オプション、不正なPlist用）

外部ツール（オプション、生のアーティファクトを解析するため）：

unifiedlog_iterator - .logarchiveバンドルを解析するため
FSEParser - FSEvents（.fseventsd）を解析するため
spotlight_parser - Spotlightインデックスを解析するため

アーキテクチャ

mac_forensics_mcp/
├── server.py                # MCPサーバーとツールの定義
├── config.py                # 設定可能な外部ツールのパス
├── parsers/
│   ├── plist_parser.py      # Plistファイルの解析
│   ├── unified_log_parser.py # 統合ログの分析
│   ├── sqlite_parser.py     # SQLiteデータベース（KnowledgeC、Safari、TCC）
│   ├── fsevents_parser.py   # FSEventsの解析
│   ├── spotlight_parser.py  # Spotlightインデックスの解析
│   ├── xattr_parser.py      # 拡張属性の解析
│   └── fsck_apfs_parser.py  # fsck_apfs.logの解析
├── correlation/
│   ├── timeline_builder.py  # クロスアーティファクトのタイムライン相関分析
│   └── event_investigator.py # イベント固有の調査
└── utils/
    ├── timestamps.py        # Mac/WebKit/HFSタイムスタンプの変換
    └── discovery.py         # アーティファクトの発見

フォレンジック価値

このMCPサーバーは、実際のmacOS DFIR調査に基づいて開発されました。主要なフォレンジック機能は以下の通りです：

機能	ツール
ユーザーアカウントのフォレンジック	`mac_get_user_accounts`, `mac_get_user_timeline`, `mac_investigate_event`
ファイルアクティビティの追跡	`mac_fsevents_search`, `mac_spotlight_search`
ダウンロード分析	`mac_quarantine_events`, `mac_get_extended_attributes`
セキュリティイベントの検出	`mac_unified_logs_security_events`
外部デバイスの検出	`mac_parse_fsck_apfs_log`
クロスアーティファクトの相関分析	`mac_build_timeline`, `mac_investigate_event`