Velociraptor 是一种使用 Velociraptor 查询语言 (VQL) 查询收集基于主机的状态信息的工具。
Velociraptor 是一个独特、先进的开源端点监控、数字取证和网络响应平台。它使您能够更有效地应对各种数字取证和网络事件响应调查和数据泄露。
快速启动
如果你想看看什么是迅猛龙,可以简单看一下:
-
从您最喜欢的平台(Windows / Linux / MacOS)的发布页面下载二进制文件。
-
启动 GUI
$ velociraptor gui
这将启动 GUI、前端和本地客户端。您可以像往常一样从客户端(仅在您自己的机器上运行)收集工件。
收集
只需按下(几个)按钮,即可在各个端点同时快速、精确地进行有针对性的数字取证证据收集。
打猎
不要等到事件发生才采取行动。使用我们的取证文物库主动搜索可疑活动,然后根据您的特定威胁搜寻需求进行定制。
监视器
持续收集端点事件,如事件日志、文件修改和进程执行。无限期集中存储事件以供历史审查和分析。
Velociraptor 的灵感来自两个主要的开源项目:
-
Google 快速响应:https://github.com/google/grr
-
OS查询:https://github.com/osquery/osquery
如果您使用过其中任何一个项目,您可能会想知道 Velociraptor 与之前所做的工作相比如何。
让我们看看 Velociraptor、GRR 和 OSQuery 的主要设计差异和优先级。
部署
你可以使用以下任一方式部署全尺寸迅猛龙SSL 自签名或者云部署方法,或者在本地机器上设置 Velociraptor 环境以进行测试。
典型部署模式
主要部分包括:
-
这client是在端点上运行的 Velociraptor 代理的实例。
-
是frontend与客户端通信的服务器组件。
-
是gui提供管理界面的 Web 应用程序服务器。
-
服务器API用于接受API请求。
| 里程碑 | 描述 |
|---|---|
| 任务 1:部署服务器 | 选择最适合您的部署方法:
|
| 任务 2:部署客户端 | 使用以下推荐方法之一在您的端点上部署客户端:
|
| 任务 3:授权用户 | 授予用户访问 Velociraptor 控制台的权限。 |
-
为服务器和客户端生成配置文件。 -
创建包含生成的配置文件的服务器包。 -
为服务器设置云虚拟机(如果在云中部署)或创建新的物理服务器。 -
在虚拟机上安装服务器包。安装后,您将能够访问管理 GUI 和前端。 -
为目标操作系统创建客户端包(例如,适用于 Windows 的 MSI)。
部署操作细节请见:https://docs.velociraptor.app/docs/deployment/
Velociraptor 是一款开源软件,任何人都可以免费使用AGPL 许可证。
案例
保存证据
被攻陷的终端很可能会被破坏。您需要保留原始文件,直到有机会稍后对其进行分析。
分类日志
怀疑某个端点已被入侵,但您不知道具体发生了什么。您想通过检查实际端点上的日志来获得初步了解。
开源社区地址:
https://github.com/Velocidex/velociraptor
欢迎大家体验,更多的好用开源网络安全请关注“三沐数安”,感谢大家的支持!
原文始发于微信公众号(三沐数安):Velociraptor——端点可见性和收集工具
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论