mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 17 Pull Requests Projects Releases Activity

knowledgebase overhaul

Browse Source
This commit is contained in:
overcuriousity
2025-07-20 22:59:08 +02:00
parent e7800724bb
commit e78e738295
21 changed files with 2575 additions and 1582 deletions
Download Patch File Download Diff File Expand all files Collapse all files

29
src/content/config.ts Normal file
View File

@@ -0,0 +1,29 @@
import { defineCollection, z } from 'astro:content';
const knowledgebaseCollection = defineCollection({
type: 'content',
schema: z.object({
title: z.string(),
tool_name: z.string(),
description: z.string(),
last_updated: z.date(),
author: z.string().default('CC24-Team'),
difficulty: z.enum(['novice', 'beginner', 'intermediate', 'advanced', 'expert']),
categories: z.array(z.string()).default([]),
tags: z.array(z.string()).default([]),
sections: z.object({
overview: z.boolean().default(true),
installation: z.boolean().default(false),
configuration: z.boolean().default(false),
usage_examples: z.boolean().default(true),
best_practices: z.boolean().default(true),
troubleshooting: z.boolean().default(false),
advanced_topics: z.boolean().default(false),
}).default({}),
review_status: z.enum(['draft', 'review', 'published']).default('published'),
})
});
export const collections = {
knowledgebase: knowledgebaseCollection,
};

141
src/content/knowledgebase/kali-linux.md Normal file
View File

@@ -0,0 +1,141 @@
---
title: "Kali Linux - Die Hacker-Distribution für Forensik & Penetration Testing"
tool_name: "Kali Linux"
description: "Leitfaden zur Installation, Nutzung und Best Practices für Kali Linux die All-in-One-Plattform für Security-Profis."
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "intermediate"
categories: ["incident-response", "forensics", "penetration-testing"]
tags: ["live-boot", "tool-collection", "penetration-testing", "forensics-suite", "virtualization", "arm-support"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: true
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
Kali Linux ist eine auf Debian basierende Linux-Distribution, die speziell für Penetration Testing, digitale Forensik, Reverse Engineering und Incident Response entwickelt wurde. Mit über 600 vorinstallierten Tools ist sie ein unverzichtbares Werkzeug für Security-Experten, Ermittler und forensische Analysten. Die Live-Boot-Funktion erlaubt es, Systeme ohne Spuren zu hinterlassen zu analysieren ideal für forensische Untersuchungen.
## Installation
### Option 1: Live-System (USB/DVD)
1. ISO-Image von [kali.org](https://www.kali.org/get-kali/) herunterladen.
2. Mit **Rufus** oder **balenaEtcher** auf einen USB-Stick schreiben.
3. Vom USB-Stick booten (ggf. Boot-Reihenfolge im BIOS anpassen).
4. Kali kann direkt ohne Installation im Live-Modus verwendet werden.
### Option 2: Installation auf Festplatte
1. ISO-Image booten und **Graphical Install** wählen.
2. Schritt-für-Schritt durch den Installationsassistenten navigieren:
- Sprache, Zeitzone und Tastaturlayout auswählen
- Partitionierung konfigurieren (automatisch oder manuell)
- Benutzerkonten erstellen
3. Nach Installation Neustart durchführen.
### Option 3: Virtuelle Maschine (VM)
- Offizielle VM-Images für VirtualBox und VMware von der [Kali-Website](https://www.kali.org/get-kali/#kali-virtual-machines)
- Importieren, ggf. Netzwerkbrücke und Shared Folders aktivieren
## Konfiguration
### Netzwerkeinstellungen
- Konfiguration über `nmtui` oder `/etc/network/interfaces`
- VPN und Proxy-Integration über GUI oder Terminal
### Updates & Paketquellen
```bash
sudo apt update && sudo apt full-upgrade
````
> Hinweis: `kali-rolling` ist die Standard-Distribution für kontinuierliche Updates.
### Sprache & Lokalisierung
```bash
sudo dpkg-reconfigure locales
sudo dpkg-reconfigure keyboard-configuration
```
## Verwendungsbeispiele
### 1. Netzwerkscan mit Nmap
```bash
nmap -sS -T4 -A 192.168.1.0/24
```
### 2. Passwort-Cracking mit John the Ripper
```bash
john --wordlist=/usr/share/wordlists/rockyou.txt hashes.txt
```
### 3. Forensik mit Autopsy
```bash
autopsy &
```
### 4. Android-Analyse mit MobSF (in Docker)
```bash
docker pull opensecurity/mobile-security-framework-mobsf
docker run -it -p 8000:8000 mobsf
```
## Best Practices
* Nutze immer **aktuelle Snapshots** oder VM-Clones vor gefährlichen Tests
* Verwende separate Netzwerke (z.B. Host-only oder NAT) für Tests
* Deaktiviere automatisches WLAN bei forensischen Analysen
* Prüfe und aktualisiere regelmäßig Toolsets (`apt`, `git`, `pip`)
* Halte deine ISO-Images versioniert für forensische Reproduzierbarkeit
## Troubleshooting
### Problem: Keine Internetverbindung nach Installation
**Lösung:** Netzwerkadapter prüfen, ggf. mit `ifconfig` oder `ip a` überprüfen, DHCP aktivieren.
### Problem: Tools fehlen nach Update
**Lösung:** Tool-Gruppen wie `kali-linux-default` manuell nachinstallieren:
```bash
sudo apt install kali-linux-default
```
### Problem: „Permission Denied“ bei Tools
**Lösung:** Root-Rechte nutzen oder mit `sudo` ausführen.
## Weiterführende Themen
* **Kustomisierung von Kali ISOs** mit `live-build`
* **NetHunter**: Kali für mobile Geräte (Android)
* **Kali Purple**: Defensive Security Suite
* Integration mit **Cloud-Infrastrukturen** via WSL oder Azure
---
**Links & Ressourcen:**
* Offizielle Website: [https://kali.org](https://kali.org/)
* Dokumentation: [https://docs.kali.org/](https://docs.kali.org/)
* GitLab Repo: [https://gitlab.com/kalilinux](https://gitlab.com/kalilinux)
* Discord-Community: [https://discord.com/invite/kali-linux](https://discord.com/invite/kali-linux)

133
src/content/knowledgebase/misp.md Normal file
View File

@@ -0,0 +1,133 @@
---
title: "MISP - Plattform für Threat Intelligence Sharing"
tool_name: "MISP"
description: "Das Rückgrat des modernen Threat-Intelligence-Sharings mit über 40.000 aktiven Instanzen weltweit."
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "intermediate"
categories: ["incident-response", "law-enforcement", "malware-analysis", "network-forensics", "cloud-forensics"]
tags: ["web-based", "threat-intelligence", "api", "correlation", "ioc-sharing", "automation"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: false
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
**MISP (Malware Information Sharing Platform & Threat Sharing)** ist eine freie Open-Source-Plattform zur strukturierten Erfassung, Speicherung, Analyse und gemeinsamen Nutzung von Cyber-Bedrohungsdaten. Mit über 40.000 Instanzen weltweit ist MISP der De-facto-Standard für den Austausch von Indicators of Compromise (IoCs) und Threat Intelligence zwischen CERTs, SOCs, Strafverfolgungsbehörden und anderen sicherheitsrelevanten Organisationen.
Die föderierte Architektur ermöglicht einen kontrollierten, dezentralen Austausch von Informationen über vertrauenswürdige Partner hinweg. Durch Taxonomien, Tags und integrierte APIs ist eine automatische Anreicherung, Korrelation und Verarbeitung von Informationen in SIEMs, Firewalls oder Endpoint-Lösungen möglich.
## Installation
### Voraussetzungen
- **Server-Betriebssystem:** Linux (empfohlen: Debian/Ubuntu)
- **Abhängigkeiten:** MariaDB/MySQL, PHP, Apache/Nginx, Redis
- **Ressourcen:** Mindestens 4 GB RAM, SSD empfohlen
### Installationsschritte
```bash
# Beispiel für Debian/Ubuntu:
sudo apt update && sudo apt install -y curl gnupg git python3 python3-pip redis-server mariadb-server apache2 php libapache2-mod-php
# MISP klonen
git clone https://github.com/MISP/MISP.git /var/www/MISP
# Setup-Skript nutzen
cd /var/www/MISP && bash INSTALL/INSTALL.debian.sh
````
Weitere Details: [Offizielle Installationsanleitung](https://misp.github.io/MISP/INSTALL.debian/)
## Konfiguration
### Webserver
* HTTPS aktivieren (Let's Encrypt oder Reverse Proxy)
* PHP-Konfiguration anpassen (`upload_max_filesize`, `memory_limit`, `post_max_size`)
### Benutzerrollen
* Administrator, Org-Admin, Analyst etc.
* Zugriffsbeschränkungen nach Organisation/Feed definierbar
### Feeds und Galaxies
* Aktivierung von Feeds (z.B. CIRCL, Abuse.ch, OpenCTI)
* Nutzung von Galaxies zur Klassifizierung (APT-Gruppen, Malware-Familien)
## Verwendungsbeispiele
### Beispiel 1: Import von IoCs aus externem Feed
1. Feed aktivieren unter **Administration → List Feeds**
2. Feed synchronisieren
3. Ereignisse durchsuchen, analysieren, ggf. mit eigenen Daten korrelieren
### Beispiel 2: Automatisierte Anbindung an SIEM
* REST-API-Token erstellen
* API-Calls zur Abfrage neuer Events (z.B. mit Python, Logstash oder MISP Workbench)
* Integration in Security-Systeme über JSON/STIX export
## Best Practices
* Regelmäßige Backups der Datenbank
* Taxonomien konsistent verwenden
* Nutzung der Sighting-Funktion zur Validierung von IoCs
* Vertrauensstufen (TLP, PAP) korrekt setzen
* Nicht nur konsumieren auch teilen!
## Troubleshooting
### Problem: MISP-Feeds laden nicht
**Lösung:**
* Internetverbindung prüfen
* Cronjobs aktiv?
* Logs prüfen: `/var/www/MISP/app/tmp/logs/error.log`
### Problem: API gibt 403 zurück
**Lösung:**
* Ist der API-Key korrekt und aktiv?
* Rechte des Benutzers überprüfen
* IP-Filter im MISP-Backend beachten
### Problem: Hohe Datenbanklast
**Lösung:**
* Indizes optimieren
* Redis aktivieren
* Alte Events regelmäßig archivieren oder löschen
## Weiterführende Themen
* STIX2-Import/Export
* Erweiterungen mit MISP Modules (z.B. für Virustotal, YARA)
* Föderierte Netzwerke und Community-Portale
* Integration mit OpenCTI oder TheHive
---
**Links:**
* 🌐 [Offizielle Projektseite](https://misp-project.org/)
* 📦 [CC24-MISP-Instanz](https://misp.cc24.dev)
* 📊 [Status-Monitoring](https://status.mikoshi.de/api/badge/34/status)
Lizenz: **AGPL-3.0**

124
src/content/knowledgebase/nextcloud.md Normal file
View File

@@ -0,0 +1,124 @@
---
title: "Nextcloud - Sichere Kollaborationsplattform"
tool_name: "Nextcloud"
description: "Detaillierte Anleitung und Best Practices für Nextcloud in forensischen Einsatzszenarien"
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "novice"
categories: ["collaboration-general"]
tags: ["web-based", "collaboration", "file-sharing", "api", "encryption", "document-management"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: false
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
Nextcloud ist eine Open-Source-Cloud-Suite, die speziell für die sichere Zusammenarbeit entwickelt wurde. Sie eignet sich ideal für forensische Teams, da sie eine DSGVO-konforme Umgebung mit verschlüsselter Dateiablage, Office-Integration und Videokonferenzen bereitstellt. Zusätzlich bietet Nextcloud einen integrierten SSO-Provider, der das Identitätsmanagement für andere forensische Tools stark vereinfacht.
Skalierbar von kleinen Raspberry-Pi-Installationen bis hin zu hochverfügbaren Multi-Node-Setups.
- **Website:** [nextcloud.com](https://nextcloud.com/)
- **Demo/Projektinstanz:** [cloud.cc24.dev](https://cloud.cc24.dev)
- **Statusseite:** [Mikoshi Status](https://status.mikoshi.de/api/badge/11/status)
- **Lizenz:** AGPL-3.0
---
## Installation
### Voraussetzungen
- Linux-Server oder Raspberry Pi
- PHP 8.1 oder höher
- MariaDB/PostgreSQL
- Webserver (Apache/Nginx)
- SSL-Zertifikat (empfohlen: Let's Encrypt)
### Installationsschritte (Ubuntu Beispiel)
```bash
sudo apt update && sudo apt upgrade
sudo apt install apache2 mariadb-server libapache2-mod-php php php-mysql \
php-gd php-xml php-mbstring php-curl php-zip php-intl php-bcmath unzip
wget https://download.nextcloud.com/server/releases/latest.zip
unzip latest.zip -d /var/www/
chown -R www-data:www-data /var/www/nextcloud
````
Danach den Web-Installer im Browser aufrufen (`https://<your-domain>/nextcloud`) und Setup abschließen.
## Konfiguration
* **Trusted Domains** in `config.php` definieren
* SSO mit OpenID Connect aktivieren
* Dateiverschlüsselung aktivieren (`Settings → Security`)
* Benutzer und Gruppen über LDAP oder SAML integrieren
## Verwendungsbeispiele
### Gemeinsame Fallbearbeitung
1. Ermittlungsordner als geteiltes Gruppenverzeichnis anlegen
2. Versionierung und Kommentare zu forensischen Berichten aktivieren
3. Vorschau für Office-Dateien, PDFs und Bilder direkt im Browser nutzen
### Videokonferenzen mit "Nextcloud Talk"
* Sichere Kommunikation zwischen Ermittlern und Sachverständigen
* Ende-zu-Ende-verschlüsselt
* Bildschirmfreigabe möglich
### Automatischer Dateiimport per API
* REST-Schnittstelle nutzen, um z.B. automatisch Logdateien oder Exportdaten hochzuladen
* Ideal für Anbindung an SIEM, DLP oder Analyse-Pipelines
## Best Practices
* Zwei-Faktor-Authentifizierung aktivieren
* Tägliche Backups der Datenbank und Datenstruktur
* Nutzung von OnlyOffice oder Collabora für revisionssichere Dokumentenbearbeitung
* Zugriff regelmäßig überprüfen, insbesondere bei externen Partnern
## Troubleshooting
### Problem: Langsame Performance
**Lösung:** APCu aktivieren und Caching optimieren (`config.php → 'memcache.local'`).
### Problem: Dateien erscheinen nicht im Sync
**Lösung:** Cronjob für `files:scan` konfigurieren oder manuell ausführen:
```bash
sudo -u www-data php /var/www/nextcloud/occ files:scan --all
```
### Problem: Fehlermeldung "Trusted domain not set"
**Lösung:** In `config/config.php` Eintrag `trusted_domains` korrekt konfigurieren:
```php
'trusted_domains' =>
array (
0 => 'yourdomain.tld',
1 => 'cloud.cc24.dev',
),
```
## Weiterführende Themen
* **Integration mit Forensik-Plattformen** (über WebDAV, API oder SSO)
* **Custom Apps entwickeln** für spezielle Ermittlungs-Workflows
* **Auditing aktivieren**: Nutzung und Änderungen nachvollziehen mit Protokollierungsfunktionen

110
src/content/knowledgebase/regular-expressions-regex.md Normal file
View File

@@ -0,0 +1,110 @@
---
title: "Regular Expressions (Regex) Musterbasierte Textanalyse"
tool_name: "Regular Expressions (Regex)"
description: "Pattern matching language für Suche, Extraktion und Manipulation von Text in forensischen Analysen."
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "intermediate"
categories: ["incident-response", "malware-analysis", "network-forensics", "fraud-investigation"]
tags: ["pattern-matching", "text-processing", "log-analysis", "string-manipulation", "search-algorithms"]
sections:
overview: true
installation: false
configuration: false
usage_examples: true
best_practices: true
troubleshooting: false
advanced_topics: true
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
**Regular Expressions (Regex)** sind ein leistungsfähiges Werkzeug zur Erkennung, Extraktion und Transformation von Zeichenfolgen anhand vordefinierter Muster. In der digitalen Forensik sind Regex-Ausdrücke unverzichtbar: Sie helfen beim Auffinden von IP-Adressen, Hash-Werten, Dateipfaden, Malware-Signaturen oder Kreditkartennummern in großen Mengen unstrukturierter Daten wie Logdateien, Netzwerktraces oder Memory Dumps.
Regex ist nicht auf eine bestimmte Plattform oder Software beschränkt es wird in nahezu allen gängigen Programmiersprachen, Texteditoren und forensischen Tools unterstützt.
## Verwendungsbeispiele
### 1. IP-Adressen extrahieren
```regex
\b(?:\d{1,3}\.){3}\d{1,3}\b
````
Verwendung:
* Finden von IP-Adressen in Firewall-Logs oder Packet Captures.
* Beispiel-Zeile:
```
Connection from 192.168.1.101 to port 443 established
```
### 2. E-Mail-Adressen identifizieren
```regex
[a-zA-Z0-9._%+-]+@[a-zA-Z0-9.-]+\.[a-zA-Z]{2,}
```
Verwendung:
* Erkennung von kompromittierten Accounts in Phishing-E-Mails.
* Analyse von Useraktivitäten oder Kommunikationsverläufen.
### 3. Hash-Werte erkennen (z.B. SHA-256)
```regex
\b[A-Fa-f0-9]{64}\b
```
Verwendung:
* Extraktion von Malware-Hashes aus Memory Dumps oder YARA-Logs.
### 4. Zeitstempel in Logdateien extrahieren
```regex
\d{4}-\d{2}-\d{2}[ T]\d{2}:\d{2}:\d{2}
```
Verwendung:
* Zeitsensitive Korrelationsanalysen (z.B. bei Intrusion Detection oder Timeline-Rekonstruktionen).
## Best Practices
* **Regex testen**: Nutze Plattformen wie [regexr.com](https://regexr.com/) oder [regex101.com](https://regex101.com/) zur Validierung.
* **Performance beachten**: Komplexe Ausdrücke können ineffizient sein und Systeme verlangsamen verwende Lazy Quantifiers (`*?`, `+?`) bei Bedarf.
* **Escape-Zeichen korrekt anwenden**: Spezielle Zeichen wie `.` oder `\` müssen bei Bedarf mit `\\` oder `\.` maskiert werden.
* **Portabilität prüfen**: Unterschiedliche Regex-Engines (z.B. Python `re`, PCRE, JavaScript) interpretieren manche Syntax leicht unterschiedlich.
* **Lesbarkeit fördern**: Verwende benannte Gruppen (`(?P<name>...)`) und Kommentare (`(?x)`), um reguläre Ausdrücke besser wartbar zu machen.
## Weiterführende Themen
### Lookaheads und Lookbehinds
Mit **Lookaheads** (`(?=...)`) und **Lookbehinds** (`(?<=...)`) können Bedingungen formuliert werden, ohne dass der Text Teil des Matchs wird.
Beispiel: Alle `.exe`-Dateinamen **ohne** das Wort `safe` davor matchen:
```regex
(?<!safe\s)[\w-]+\.exe
```
### Regex in Forensik-Tools
* **YARA**: Unterstützt Regex zur Erstellung von Malware-Signaturen.
* **Wireshark**: Filtert Payloads anhand von Regex-ähnlicher Syntax.
* **Splunk & ELK**: Verwenden Regex für Logparsing und Visualisierung.
* **Volatility Plugins**: Extrahieren Artefakte mit Regex-basierten Scans.
---
> 🔤 **Regex ist ein universelles Werkzeug für Analysten, Ermittler und Entwickler, um versteckte Informationen schnell und flexibel aufzuspüren.**
>
> Nutze es überall dort, wo Textdaten eine Rolle spielen.

161
src/content/knowledgebase/velociraptor.md Normal file
View File

@@ -0,0 +1,161 @@
---
title: "Velociraptor Skalierbare Endpoint-Forensik mit VQL"
tool_name: "Velociraptor"
description: "Detaillierte Anleitung und Best Practices für Velociraptor Remote-Forensik der nächsten Generation"
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "advanced"
categories: ["incident-response", "malware-analysis", "network-forensics"]
tags: ["web-based", "endpoint-monitoring", "artifact-extraction", "scripting", "live-forensics", "hunting"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: true
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind.
## Hauptmerkmale
- 🌐 Web-basierte Benutzeroberfläche
- 💡 VQL mächtige, SQL-ähnliche Abfragesprache
- 🚀 Hochskalierbare Hunt-Funktionalität
- 🔍 Artefaktbasierte Sammlung (ohne Full-Image)
- 🖥️ Plattformunterstützung für Windows, macOS, Linux
- 📦 Apache 2.0 Lizenz Open Source
Weitere Infos: [velociraptor.app](https://www.velociraptor.app/)
Projektspiegel: [raptor.cc24.dev](https://raptor.cc24.dev)
Status: ![Status](https://status.mikoshi.de/api/badge/33/status)
---
## Installation
### Voraussetzungen
- Python ≥ 3.9
- Adminrechte auf dem System
- Firewall-Freigaben für Webport (Standard: 8000)
### Installation unter Linux/macOS
```bash
wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor
chmod +x velociraptor
sudo mv velociraptor /usr/local/bin/
````
### Installation unter Windows
1. Download der `.exe` von der [Release-Seite](https://github.com/Velocidex/velociraptor/releases)
2. Ausführung in PowerShell mit Adminrechten:
```powershell
.\velociraptor.exe config generate > server.config.yaml
```
---
## Konfiguration
### Server Setup
1. Generiere die Konfigurationsdatei:
```bash
velociraptor config generate > server.config.yaml
```
2. Starte den Server:
```bash
velociraptor --config server.config.yaml frontend
```
3. Zugriff über Browser via `https://<hostname>:8000`
### Client Deployment
* MSI/EXE für Windows, oder `deb/rpm` für Linux
* Unterstützt automatische Registrierung am Server
* Deployment über GPO, Puppet, Ansible etc. möglich
---
## Verwendungsbeispiele
### 1. Live-Memory-Artefakte sammeln
```vql
SELECT * FROM Artifact.MemoryInfo()
```
### 2. Hunt starten auf verdächtige Prozesse
```vql
SELECT * FROM pslist()
WHERE Name =~ "mimikatz|cobaltstrike"
```
### 3. Dateiinhalt extrahieren
```vql
SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat")
```
---
## Best Practices
* Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle
* Verwende "Notebook"-Funktion für strukturierte Analysen
* Nutze "Labels", um Endpoints zu organisieren (z.B. `location:Berlin`)
* Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API
---
## Troubleshooting
### Problem: Keine Verbindung vom Client zum Server
**Lösung:**
* Ports freigegeben? (Default: 8000/tcp)
* TLS-Zertifikate korrekt generiert?
* `server.config.yaml` auf korrekte `public_ip` prüfen
### Problem: Hunt hängt in Warteschleife
**Lösung:**
* Genügend Worker-Prozesse aktiv?
* Endpoint online?
* `log_level` auf `debug` setzen und Log analysieren
---
## Weiterführende Themen
* Eigene Artefakte schreiben mit VQL
* Integration mit ELK Stack
* Automatisiertes Incident Response Playbook
* Velociraptor als IR-as-a-Service einsetzen
---
🧠 **Tipp:** Die Lernkurve bei VQL ist steil aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten.
📚 Weitere Ressourcen:
* [Offizielle Doku](https://docs.velociraptor.app/)
* [YouTube Channel](https://www.youtube.com/c/VelociraptorDFIR)
* [Community auf Discord](https://www.velociraptor.app/community/)