161 lines
4.3 KiB
Markdown
161 lines
4.3 KiB
Markdown
---
|
||
title: "Velociraptor – Skalierbare Endpoint-Forensik mit VQL"
|
||
tool_name: "Velociraptor"
|
||
description: "Detaillierte Anleitung und Best Practices für Velociraptor – Remote-Forensik der nächsten Generation"
|
||
last_updated: 2025-07-20
|
||
author: "Claude 4 Sonnet"
|
||
difficulty: "advanced"
|
||
categories: ["incident-response", "malware-analysis", "network-forensics"]
|
||
tags: ["web-based", "endpoint-monitoring", "artifact-extraction", "scripting", "live-forensics", "hunting"]
|
||
sections:
|
||
overview: true
|
||
installation: true
|
||
configuration: true
|
||
usage_examples: true
|
||
best_practices: true
|
||
troubleshooting: true
|
||
advanced_topics: true
|
||
review_status: "published"
|
||
---
|
||
|
||
> **⚠️ Hinweis**: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!
|
||
|
||
|
||
# Übersicht
|
||
|
||
Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language – VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind.
|
||
|
||
## Hauptmerkmale
|
||
|
||
- 🌐 Web-basierte Benutzeroberfläche
|
||
- 💡 VQL – mächtige, SQL-ähnliche Abfragesprache
|
||
- 🚀 Hochskalierbare Hunt-Funktionalität
|
||
- 🔍 Artefaktbasierte Sammlung (ohne Full-Image)
|
||
- 🖥️ Plattformunterstützung für Windows, macOS, Linux
|
||
- 📦 Apache 2.0 Lizenz – Open Source
|
||
|
||
Weitere Infos: [velociraptor.app](https://www.velociraptor.app/)
|
||
Projektspiegel: [raptor.cc24.dev](https://raptor.cc24.dev)
|
||
Status: 
|
||
|
||
---
|
||
|
||
## Installation
|
||
|
||
### Voraussetzungen
|
||
|
||
- Python ≥ 3.9
|
||
- Adminrechte auf dem System
|
||
- Firewall-Freigaben für Webport (Standard: 8000)
|
||
|
||
### Installation unter Linux/macOS
|
||
|
||
```bash
|
||
wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor
|
||
chmod +x velociraptor
|
||
sudo mv velociraptor /usr/local/bin/
|
||
````
|
||
|
||
### Installation unter Windows
|
||
|
||
1. Download der `.exe` von der [Release-Seite](https://github.com/Velocidex/velociraptor/releases)
|
||
2. Ausführung in PowerShell mit Adminrechten:
|
||
|
||
```powershell
|
||
.\velociraptor.exe config generate > server.config.yaml
|
||
```
|
||
|
||
---
|
||
|
||
## Konfiguration
|
||
|
||
### Server Setup
|
||
|
||
1. Generiere die Konfigurationsdatei:
|
||
|
||
```bash
|
||
velociraptor config generate > server.config.yaml
|
||
```
|
||
2. Starte den Server:
|
||
|
||
```bash
|
||
velociraptor --config server.config.yaml frontend
|
||
```
|
||
3. Zugriff über Browser via `https://<hostname>:8000`
|
||
|
||
### Client Deployment
|
||
|
||
* MSI/EXE für Windows, oder `deb/rpm` für Linux
|
||
* Unterstützt automatische Registrierung am Server
|
||
* Deployment über GPO, Puppet, Ansible etc. möglich
|
||
|
||
---
|
||
|
||
## Verwendungsbeispiele
|
||
|
||
### 1. Live-Memory-Artefakte sammeln
|
||
|
||
```vql
|
||
SELECT * FROM Artifact.MemoryInfo()
|
||
```
|
||
|
||
### 2. Hunt starten auf verdächtige Prozesse
|
||
|
||
```vql
|
||
SELECT * FROM pslist()
|
||
WHERE Name =~ "mimikatz|cobaltstrike"
|
||
```
|
||
|
||
### 3. Dateiinhalt extrahieren
|
||
|
||
```vql
|
||
SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat")
|
||
```
|
||
|
||
---
|
||
|
||
## Best Practices
|
||
|
||
* Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle
|
||
* Verwende "Notebook"-Funktion für strukturierte Analysen
|
||
* Nutze "Labels", um Endpoints zu organisieren (z. B. `location:Berlin`)
|
||
* Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API
|
||
|
||
---
|
||
|
||
## Troubleshooting
|
||
|
||
### Problem: Keine Verbindung vom Client zum Server
|
||
|
||
**Lösung:**
|
||
|
||
* Ports freigegeben? (Default: 8000/tcp)
|
||
* TLS-Zertifikate korrekt generiert?
|
||
* `server.config.yaml` auf korrekte `public_ip` prüfen
|
||
|
||
### Problem: Hunt hängt in Warteschleife
|
||
|
||
**Lösung:**
|
||
|
||
* Genügend Worker-Prozesse aktiv?
|
||
* Endpoint online?
|
||
* `log_level` auf `debug` setzen und Log analysieren
|
||
|
||
---
|
||
|
||
## Weiterführende Themen
|
||
|
||
* Eigene Artefakte schreiben mit VQL
|
||
* Integration mit ELK Stack
|
||
* Automatisiertes Incident Response Playbook
|
||
* Velociraptor als IR-as-a-Service einsetzen
|
||
|
||
---
|
||
|
||
🧠 **Tipp:** Die Lernkurve bei VQL ist steil – aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten.
|
||
|
||
📚 Weitere Ressourcen:
|
||
|
||
* [Offizielle Doku](https://docs.velociraptor.app/)
|
||
* [YouTube Channel](https://www.youtube.com/c/VelociraptorDFIR)
|
||
* [Community auf Discord](https://www.velociraptor.app/community/) |