Startseite>Programmierbezogen>Anderer Quellcode
Herunterladen

Velociraptor – Endpunkt-Sichtbarkeits- und Erfassungstool.

Velociraptor ist ein Tool zum Sammeln hostbasierter Zustandsinformationen mithilfe von VQL-Abfragen (Velociraptor Query Language).

Um mehr über Velociraptor zu erfahren, lesen Sie die Dokumentation zu:

https://docs.velociraptor.app/

Schnellstart

Wenn Sie sehen möchten, worum es bei Velociraptor geht, gehen Sie einfach wie folgt vor:

  1. Laden Sie die Binärdatei von der Release-Seite für Ihre bevorzugte Plattform (Windows/Linux/MacOS) herunter.

  2. Starten Sie die GUI

  $ Velociraptor-GUI

Dadurch werden die GUI, das Frontend und ein lokaler Client aufgerufen. Sie können wie gewohnt Artefakte vom Client (der gerade auf Ihrem eigenen Computer ausgeführt wird) sammeln.

Sobald Sie für eine vollständige Bereitstellung bereit sind, sehen Sie sich die verschiedenen Bereitstellungsoptionen unter https://docs.velociraptor.app/docs/deployment/ an.

Ausbildung

Wir haben unseren kompletten Schulungskurs (7 Sitzungen x jeweils 2 Stunden) https://docs.velociraptor.app/training/

Der Kurs behandelt viele Aspekte von Velociraptor im Detail.

Velociraptor über Docker ausführen

Um einen Velociraptor-Server über Docker zu betreiben, folgen Sie den Anweisungen hier: https://github.com/weslambert/velociraptor-docker

Velociraptor lokal ausführen

Velociraptor ist auch als lokales Triage-Tool nützlich. Sie können über die GUI einen eigenständigen lokalen Collector erstellen:

  1. Starten Sie die GUI wie oben ( velociraptor gui ).

  2. Wählen Sie das Seitenleistenmenü Server Artifacts und dann Build Collector aus.

  3. Wählen Sie die Artefakte aus, die Sie sammeln möchten, und konfigurieren Sie sie. Wählen Sie dann die Registerkarte Uploaded Files aus und laden Sie Ihren benutzerdefinierten Collector herunter.

Bauen aus der Quelle

Um aus dem Quellcode zu erstellen, stellen Sie sicher, dass Sie über Folgendes verfügen:

  • ein kürzlich von https://golang.org/dl/ installiertes Golang (derzeit mindestens Go 1.17)

    • Die go Binärdatei liegt auf Ihrem Weg.

    • Das GOBIN -Verzeichnis befindet sich in Ihrem Pfad (standardmäßig unter Linux und Mac ~/go/bin , unter Windows %USERPROFILE%\go\bin ).

  • gcc in Ihrem Pfad für die CGO-Nutzung (unter Windows wurde bestätigt, dass TDM-GCC funktioniert)

  • make

  • Node.js LTS (die GUI wird mit Node v18.14.2 erstellt)

    $ Git-Klon https://github.com/Velocidex/velociraptor.git
    $ cd velociraptor # Dadurch werden die GUI-Elemente erstellt. Zuerst muss der Knoten # installiert sein. Holen Sie es sich zum Beispiel von # https://nodejs.org/en/download/.
    $ cd gui/velociraptor/
    $ npm install # Dadurch wird das Webpack-Bundle erstellt
    $ make build # Um eine Entwicklungsbinärdatei zu erstellen, führen Sie einfach make aus.    # HINWEIS: Stellen Sie sicher, dass sich ~/go/bin auf Ihrem Pfad befindet. # Dies ist erforderlich, um die von uns benötigten Golang-Tools zu finden.
    $ cd ../..
    $ make # Zum Erstellen von Produktionsbinärdateien
    $ Linux erstellen
    $ Fenster erstellen

Um Windows-Binärdateien unter Linux zu erstellen, benötigen Sie die Mingw-Tools. Unter Ubuntu lautet das einfach:

 $ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64

Holen Sie sich die neueste Version

Wir haben einen ziemlich regelmäßigen Veröffentlichungsplan, aber wenn Sie sehen, dass eine neue Funktion eingereicht wird, an der Sie wirklich interessiert sind, würden wir gerne vor der offiziellen Veröffentlichung weitere Tests durchführen.

Wir verfügen über eine CI-Pipeline, die von GitHub-Aktionen verwaltet wird. Sie können die Pipeline sehen, indem Sie in unserem GitHub-Projekt auf die Registerkarte „Aktionen“ klicken. Es gibt zwei Arbeitsabläufe:

  1. Windows-Test: Dieser Workflow erstellt eine Minimalversion der Velociraptor-Binärdatei (ohne GUI) und führt alle Tests darauf aus. Wir testen in dieser Pipeline auch verschiedene Windows-Unterstützungsfunktionen. Diese Pipeline baut auf jedem Push in jeder PR auf.

  2. Linux Build All Arches: Diese Pipeline erstellt vollständige Binärdateien für viele unterstützte Architekturen. Es wird nur ausgeführt, wenn der PR in den Master-Zweig eingebunden wird. Um die neuesten Binärdateien herunterzuladen, wählen Sie einfach die neueste Ausführung dieser Pipeline aus, scrollen Sie auf der Seite nach unten zum Abschnitt „Artefakte“ und laden Sie die Datei Binaries.zip herunter (Beachten Sie, dass Sie bei GitHub angemeldet sein müssen, um dies anzuzeigen).

Wenn Sie das Projekt auf GitHub forken, werden die Pipelines auch auf Ihrem eigenen Fork ausgeführt, solange Sie GitHub-Aktionen auf Ihrem Fork aktivieren. Wenn Sie eine PR für eine neue Funktion vorbereiten oder eine vorhandene Funktion ändern müssen, können Sie damit Ihre eigenen Binärdateien zum Testen auf allen Architekturen erstellen, bevor Sie uns die PR senden.

Unterstützte Plattformen

Velociraptor ist in Golang geschrieben und daher für alle von Go unterstützten Plattformen verfügbar. Das bedeutet, dass Windows XP und Windows Server 2003 nicht unterstützt werden, alles nach Windows 7/Vista jedoch schon.

Wir erstellen unsere Releases mit der MUSL-Bibliothek (x64) für Linux und einem aktuellen MacOS-System, daher werden frühere Plattformen möglicherweise nicht von unserer Release-Pipeline unterstützt. Wir vertreiben auch 32-Bit-Binärdateien für Windows, jedoch nicht für Linux. Wenn Sie 32-Bit-Linux-Builds benötigen, müssen Sie aus dem Quellcode erstellen. Sie können dies ganz einfach tun, indem Sie das Projekt auf GitHub forken, GitHub-Aktionen in Ihrem Fork aktivieren und die Linux Build All Arches -Pipeline bearbeiten.

Artefaktaustausch

Die Leistung von Velociraptor beruht auf VQL Artifacts , die viele Funktionen zum Sammeln vieler Arten von Daten von Endpunkten definieren. Velociraptor verfügt über viele integrierte Artifacts für die häufigsten Anwendungsfälle. Darüber hinaus pflegt die Community über den Artefaktaustausch eine große Anzahl zusätzlicher Artefakte.

Wissensdatenbank

Wenn Sie Hilfe bei der Durchführung einer Aufgabe wie Bereitstellung, VQL-Abfragen usw. benötigen, sollte Ihre erste Anlaufstelle die Velociraptor-Wissensdatenbank unter https://docs.velociraptor.app/knowledge_base/ sein, wo Sie hilfreiche Tipps und Hinweise finden.

Hilfe bekommen

Fragen und Feedback sind willkommen unter [email protected] (oder https://groups.google.com/g/velociraptor-discuss).

Sie können auch direkt mit uns auf Discord chatten: https://docs.velociraptor.app/discord

Dateiprobleme auf https://github.com/Velocidex/velociraptor

Lesen Sie mehr über Velociraptor in unserem Blog: https://docs.velociraptor.app/blog/

Bleiben Sie auf Medium https://medium.com/velociraptor-ir

Folgen Sie uns auf Twitter @velocidex

Expandieren
Zusätzliche Informationen
Ähnliche Anwendungen
Empfohlen für Sie
Ähnliche Nachrichten Alle
Benutzerkommentare