--- title: "Velociraptor – Skalierbare Endpoint-Forensik mit VQL" tool_name: "Velociraptor" description: "Detaillierte Anleitung und Best Practices für Velociraptor – Remote-Forensik der nächsten Generation" last_updated: 2025-07-20 author: "Claude 4 Sonnet" difficulty: "advanced" categories: ["incident-response", "malware-analysis", "network-forensics"] tags: ["web-based", "endpoint-monitoring", "artifact-extraction", "scripting", "live-forensics", "hunting"] sections: overview: true installation: true configuration: true usage_examples: true best_practices: true troubleshooting: true advanced_topics: true review_status: "published" --- > **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community! # Übersicht Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language – VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind. ## Hauptmerkmale - 🌐 Web-basierte Benutzeroberfläche - 💡 VQL – mächtige, SQL-ähnliche Abfragesprache - 🚀 Hochskalierbare Hunt-Funktionalität - 🔍 Artefaktbasierte Sammlung (ohne Full-Image) - 🖥️ Plattformunterstützung für Windows, macOS, Linux - 📦 Apache 2.0 Lizenz – Open Source Weitere Infos: [velociraptor.app](https://www.velociraptor.app/) Projektspiegel: [raptor.cc24.dev](https://raptor.cc24.dev) Status: ![Status](https://status.mikoshi.de/api/badge/33/status) --- ## Installation ### Voraussetzungen - Python ≥ 3.9 - Adminrechte auf dem System - Firewall-Freigaben für Webport (Standard: 8000) ### Installation unter Linux/macOS ```bash wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor chmod +x velociraptor sudo mv velociraptor /usr/local/bin/ ```` ### Installation unter Windows 1. Download der `.exe` von der [Release-Seite](https://github.com/Velocidex/velociraptor/releases) 2. Ausführung in PowerShell mit Adminrechten: ```powershell .\velociraptor.exe config generate > server.config.yaml ``` --- ## Konfiguration ### Server Setup 1. Generiere die Konfigurationsdatei: ```bash velociraptor config generate > server.config.yaml ``` 2. Starte den Server: ```bash velociraptor --config server.config.yaml frontend ``` 3. Zugriff über Browser via `https://:8000` ### Client Deployment * MSI/EXE für Windows, oder `deb/rpm` für Linux * Unterstützt automatische Registrierung am Server * Deployment über GPO, Puppet, Ansible etc. möglich --- ## Verwendungsbeispiele ### 1. Live-Memory-Artefakte sammeln ```vql SELECT * FROM Artifact.MemoryInfo() ``` ### 2. Hunt starten auf verdächtige Prozesse ```vql SELECT * FROM pslist() WHERE Name =~ "mimikatz|cobaltstrike" ``` ### 3. Dateiinhalt extrahieren ```vql SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat") ``` --- ## Best Practices * Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle * Verwende "Notebook"-Funktion für strukturierte Analysen * Nutze "Labels", um Endpoints zu organisieren (z. B. `location:Berlin`) * Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API --- ## Troubleshooting ### Problem: Keine Verbindung vom Client zum Server **Lösung:** * Ports freigegeben? (Default: 8000/tcp) * TLS-Zertifikate korrekt generiert? * `server.config.yaml` auf korrekte `public_ip` prüfen ### Problem: Hunt hängt in Warteschleife **Lösung:** * Genügend Worker-Prozesse aktiv? * Endpoint online? * `log_level` auf `debug` setzen und Log analysieren --- ## Weiterführende Themen * Eigene Artefakte schreiben mit VQL * Integration mit ELK Stack * Automatisiertes Incident Response Playbook * Velociraptor als IR-as-a-Service einsetzen --- 🧠 **Tipp:** Die Lernkurve bei VQL ist steil – aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten. 📚 Weitere Ressourcen: * [Offizielle Doku](https://docs.velociraptor.app/) * [YouTube Channel](https://www.youtube.com/c/VelociraptorDFIR) * [Community auf Discord](https://www.velociraptor.app/community/)