3行でまとめ
・SIFT WorkstationをWSL2上のUbuntuにインストールするには、WSL2上にインストールしたUbuntuに対して、以下からダウンロードできるスクリプトを使えばOK
https://github.com/teamdfir/sift-cli
・sudo sift install --mode=server だけでOK
・簡単、すぐ起動できる
SIFTとは
以下にあるフォレンジック、インシデントレスポンス用のツールが入ったLinuxディストリビューションです。
https://www.sans.org/tools/sift-workstation/
インストール方法は上記に書いたとおりです。
なぜWSL2上で動作させるか
単純に起動が早いからです。あと仮想マシンだとどうしてもディスクを食います。
WSL上で動作させる場合の注意点
WSLの仕様上、Windowsマシンに接続した物理ディスクをデバイスとして認識しないようです。(fdiskで出てこない)
Windows上でマウントされていれば、/mnt/d/などからディスク内のファイルにアクセスできます。
ほとんどの場合は問題ありませんが、Windowsで通常読み込めないファイルシステム内に必要なファイルがある場合はアクセスできません。
仮想マシン上のSIFTの場合、物理ディスクとして認識できれば(fdiskで出てくれば)、ext3やext4などLinuxが対応しているファイルシステムであればマウント可能です。
※Windowsでも特定のソフトを導入すればext3等のファイルシステムにアクセス可能です。
使用が想定されるケース
通常はWindowsマシンでフォレンジック調査、ログ解析などを行うが、時々LinuxのコマンドやSIFTに入っている各種ツールが使いたい場合に便利です。
保全したディスクイメージからタイムラインを作成する、メモリダンプをとりあえずvolatilityで見てみる、取り出したレジストリをパースするといった操作が簡単になります。
導入されているツールは公式サイト等を参照してください。
おまけ
SIFTを導入したユーザの/home//Desktop/以下にSANSのポスターが配置されます。同じものは以下からダウンロード可能ですが、このポスターは個人的に好きです。特にEvil Huntのポスターは困ったときに役に立っています。
https://www.sans.org/posters/