mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 17 Pull Requests Projects Releases Activity

knowledgebase overhaul

Browse Source
This commit is contained in:
overcuriousity
2025-07-20 22:59:08 +02:00
parent e7800724bb
commit e78e738295
21 changed files with 2575 additions and 1582 deletions
Download Patch File Download Diff File Expand all files Collapse all files

161
src/content/knowledgebase/velociraptor.md Normal file
View File

@@ -0,0 +1,161 @@
---
title: "Velociraptor Skalierbare Endpoint-Forensik mit VQL"
tool_name: "Velociraptor"
description: "Detaillierte Anleitung und Best Practices für Velociraptor Remote-Forensik der nächsten Generation"
last_updated: 2025-07-20
author: "CC24-Team"
difficulty: "advanced"
categories: ["incident-response", "malware-analysis", "network-forensics"]
tags: ["web-based", "endpoint-monitoring", "artifact-extraction", "scripting", "live-forensics", "hunting"]
sections:
overview: true
installation: true
configuration: true
usage_examples: true
best_practices: true
troubleshooting: true
advanced_topics: true
review_status: "published"
---
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
# Übersicht
Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind.
## Hauptmerkmale
- 🌐 Web-basierte Benutzeroberfläche
- 💡 VQL mächtige, SQL-ähnliche Abfragesprache
- 🚀 Hochskalierbare Hunt-Funktionalität
- 🔍 Artefaktbasierte Sammlung (ohne Full-Image)
- 🖥️ Plattformunterstützung für Windows, macOS, Linux
- 📦 Apache 2.0 Lizenz Open Source
Weitere Infos: [velociraptor.app](https://www.velociraptor.app/)
Projektspiegel: [raptor.cc24.dev](https://raptor.cc24.dev)
Status: ![Status](https://status.mikoshi.de/api/badge/33/status)
---
## Installation
### Voraussetzungen
- Python ≥ 3.9
- Adminrechte auf dem System
- Firewall-Freigaben für Webport (Standard: 8000)
### Installation unter Linux/macOS
```bash
wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor
chmod +x velociraptor
sudo mv velociraptor /usr/local/bin/
````
### Installation unter Windows
1. Download der `.exe` von der [Release-Seite](https://github.com/Velocidex/velociraptor/releases)
2. Ausführung in PowerShell mit Adminrechten:
```powershell
.\velociraptor.exe config generate > server.config.yaml
```
---
## Konfiguration
### Server Setup
1. Generiere die Konfigurationsdatei:
```bash
velociraptor config generate > server.config.yaml
```
2. Starte den Server:
```bash
velociraptor --config server.config.yaml frontend
```
3. Zugriff über Browser via `https://<hostname>:8000`
### Client Deployment
* MSI/EXE für Windows, oder `deb/rpm` für Linux
* Unterstützt automatische Registrierung am Server
* Deployment über GPO, Puppet, Ansible etc. möglich
---
## Verwendungsbeispiele
### 1. Live-Memory-Artefakte sammeln
```vql
SELECT * FROM Artifact.MemoryInfo()
```
### 2. Hunt starten auf verdächtige Prozesse
```vql
SELECT * FROM pslist()
WHERE Name =~ "mimikatz|cobaltstrike"
```
### 3. Dateiinhalt extrahieren
```vql
SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat")
```
---
## Best Practices
* Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle
* Verwende "Notebook"-Funktion für strukturierte Analysen
* Nutze "Labels", um Endpoints zu organisieren (z.B. `location:Berlin`)
* Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API
---
## Troubleshooting
### Problem: Keine Verbindung vom Client zum Server
**Lösung:**
* Ports freigegeben? (Default: 8000/tcp)
* TLS-Zertifikate korrekt generiert?
* `server.config.yaml` auf korrekte `public_ip` prüfen
### Problem: Hunt hängt in Warteschleife
**Lösung:**
* Genügend Worker-Prozesse aktiv?
* Endpoint online?
* `log_level` auf `debug` setzen und Log analysieren
---
## Weiterführende Themen
* Eigene Artefakte schreiben mit VQL
* Integration mit ELK Stack
* Automatisiertes Incident Response Playbook
* Velociraptor als IR-as-a-Service einsetzen
---
🧠 **Tipp:** Die Lernkurve bei VQL ist steil aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten.
📚 Weitere Ressourcen:
* [Offizielle Doku](https://docs.velociraptor.app/)
* [YouTube Channel](https://www.youtube.com/c/VelociraptorDFIR)
* [Community auf Discord](https://www.velociraptor.app/community/)