mstoeck3/forensic-pathways
2
0
Fork 0
Code Issues 3 Pull Requests Projects Releases Activity
forensic-pathways/src/content/knowledgebase/velociraptor.md
overcuriousity 4cc28bceb7 simplify knowledgebase articles
2025-07-26 13:20:01 +02:00

4.3 KiB
Raw Blame History

title, tool_name, description, last_updated, author, difficulty, categories, tags, sections, review_status
title tool_name description last_updated author difficulty categories tags sections review_status
Velociraptor Skalierbare Endpoint-Forensik mit VQL Velociraptor Detaillierte Anleitung und Best Practices für Velociraptor Remote-Forensik der nächsten Generation 2025-07-20 Claude 4 Sonnet advanced
incident-response
malware-analysis
network-forensics
web-based
endpoint-monitoring
artifact-extraction
scripting
live-forensics
hunting
overview installation configuration usage_examples best_practices troubleshooting advanced_topics
true true true true true true true
published

⚠️ Hinweis: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!

Übersicht

Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind.

Hauptmerkmale

  • 🌐 Web-basierte Benutzeroberfläche
  • 💡 VQL mächtige, SQL-ähnliche Abfragesprache
  • 🚀 Hochskalierbare Hunt-Funktionalität
  • 🔍 Artefaktbasierte Sammlung (ohne Full-Image)
  • 🖥️ Plattformunterstützung für Windows, macOS, Linux
  • 📦 Apache 2.0 Lizenz Open Source

Weitere Infos: velociraptor.app
Projektspiegel: raptor.cc24.dev
Status: Status

Installation

Voraussetzungen

  • Python ≥ 3.9
  • Adminrechte auf dem System
  • Firewall-Freigaben für Webport (Standard: 8000)

Installation unter Linux/macOS

wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor
chmod +x velociraptor
sudo mv velociraptor /usr/local/bin/

Installation unter Windows

  1. Download der .exe von der Release-Seite

  2. Ausführung in PowerShell mit Adminrechten:

    .\velociraptor.exe config generate > server.config.yaml

Konfiguration

Server Setup

  1. Generiere die Konfigurationsdatei:

    velociraptor config generate > server.config.yaml

  2. Starte den Server:

    velociraptor --config server.config.yaml frontend

  3. Zugriff über Browser via https://<hostname>:8000

Client Deployment

  • MSI/EXE für Windows, oder deb/rpm für Linux
  • Unterstützt automatische Registrierung am Server
  • Deployment über GPO, Puppet, Ansible etc. möglich

Verwendungsbeispiele

1. Live-Memory-Artefakte sammeln

SELECT * FROM Artifact.MemoryInfo()

2. Hunt starten auf verdächtige Prozesse

SELECT * FROM pslist()
WHERE Name =~ "mimikatz|cobaltstrike"

3. Dateiinhalt extrahieren

SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat")

Best Practices

  • Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle
  • Verwende "Notebook"-Funktion für strukturierte Analysen
  • Nutze "Labels", um Endpoints zu organisieren (z.B. location:Berlin)
  • Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API

Troubleshooting

Problem: Keine Verbindung vom Client zum Server

Lösung:

  • Ports freigegeben? (Default: 8000/tcp)
  • TLS-Zertifikate korrekt generiert?
  • server.config.yaml auf korrekte public_ip prüfen

Problem: Hunt hängt in Warteschleife

Lösung:

  • Genügend Worker-Prozesse aktiv?
  • Endpoint online?
  • log_level auf debug setzen und Log analysieren

Weiterführende Themen

  • Eigene Artefakte schreiben mit VQL
  • Integration mit ELK Stack
  • Automatisiertes Incident Response Playbook
  • Velociraptor als IR-as-a-Service einsetzen

🧠 Tipp: Die Lernkurve bei VQL ist steil aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten.

📚 Weitere Ressourcen: