velociraptor
Release
Velociraptor es una herramienta para recopilar información de estado basada en el host utilizando consultas Velociraptor Query Language (VQL).
Para obtener más información sobre Velociraptor, lea la documentación en:
https://docs.velociraptor.app/
Si quieres ver de qué se trata Velociraptor simplemente:
Descargue el binario desde la página de lanzamiento para su plataforma favorita (Windows/Linux/MacOS).
Inicie la GUI
$ velociraptor interfaz gráfica de usuario
Esto abrirá la GUI, el Frontend y un cliente local. Puede recopilar artefactos del cliente (que simplemente se ejecuta en su propia máquina) de forma normal.
Una vez que esté listo para una implementación completa, consulte las distintas opciones de implementación en https://docs.velociraptor.app/docs/deployment/
Contamos con nuestro curso de capacitación completo (7 sesiones x 2 horas cada una) https://docs.velociraptor.app/training/
El curso cubre muchos aspectos de Velociraptor en detalle.
Para ejecutar un servidor Velociraptor a través de Docker, siga las instrucciones aquí: https://github.com/weslambert/velociraptor-docker
Velociraptor también es útil como herramienta de clasificación local. Puede crear un recopilador local autónomo utilizando la GUI:
Inicie la GUI como se indica arriba ( velociraptor gui ).
Seleccione el menú de la barra lateral Server Artifacts y luego Build Collector .
Seleccione y configure los artefactos que desea recopilar, luego seleccione la pestaña Uploaded Files y descargue su recopilador personalizado.
Para compilar desde el código fuente, asegúrese de tener:
un Golang reciente instalado desde https://golang.org/dl/ (actualmente al menos Go 1.17)
el binario go está en tu camino.
el directorio GOBIN está en su ruta (el valor predeterminado en Linux y Mac es ~/go/bin , en Windows %USERPROFILE%\go\bin ).
gcc en su ruta para uso de CGO (en Windows, se ha verificado que TDM-GCC funciona)
make
Node.js LTS (la GUI se creó con Node v18.14.2)
$ git clon https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # Esto construirá los elementos de la GUI. Primero deberá tener instalado el nodo #. Por ejemplo, consíguelo en # https://nodejs.org/en/download/.
$ cd gui/velociraptor/
$ npm install # Esto creará el paquete webpack
$ make build # Para construir un binario de desarrollo simplemente ejecute make. # NOTA: Asegúrese de que ~/go/bin esté en su ruta; # esto es necesario para encontrar las herramientas de Golang que necesitamos.
$ cd ../..
$ make # Para construir binarios de producción
$ hacer linux
$ hacer ventanasPara crear archivos binarios de Windows en Linux, necesita las herramientas mingw. En Ubuntu esto es simplemente:
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
Tenemos un calendario de lanzamientos bastante frecuente, pero si ve una nueva función enviada que realmente le interesa, nos encantaría realizar más pruebas antes del lanzamiento oficial.
Contamos con un canal de CI administrado por acciones de GitHub. Puede ver el proceso haciendo clic en la pestaña de acciones en nuestro proyecto GitHub. Hay dos flujos de trabajo:
Prueba de Windows: este flujo de trabajo crea una versión mínima del binario Velociraptor (sin la GUI) y ejecuta todas las pruebas en él. También probamos varias funciones de soporte de Windows en este proceso. Este canal se basa en cada impulso en cada RP.
Linux Build All Arches: esta canalización crea archivos binarios completos para muchas arquitecturas compatibles. Solo se ejecuta cuando el PR se fusiona con la rama maestra. Para descargar los archivos binarios más recientes, simplemente seleccione la última ejecución de este canal, desplácese hacia abajo en la página hasta la sección "Artefactos" y descargue el archivo Binaries.zip (tenga en cuenta que debe iniciar sesión en GitHub para ver esto).
Si bifurca el proyecto en GitHub, las canalizaciones se ejecutarán en su propia bifurcación siempre que habilite GitHub Actions en su bifurcación. Si necesita preparar un PR para una nueva característica o modificar una característica existente, puede usarlo para crear sus propios binarios y probarlos en todas las arquitecturas antes de enviarnos el PR.
Velociraptor está escrito en Golang y, por lo tanto, está disponible para todas las plataformas compatibles con Go. Esto significa que Windows XP y Windows Server 2003 no son compatibles, pero sí cualquier versión posterior a Windows 7/Vista.
Creamos nuestras versiones utilizando la biblioteca MUSL (x64) para Linux y un sistema MacOS reciente, por lo que es posible que nuestro canal de versiones no admita plataformas anteriores. También distribuimos binarios de 32 bits para Windows pero no para Linux. Si necesita compilaciones de Linux de 32 bits, deberá compilarlas desde el código fuente. Puede hacer esto fácilmente bifurcando el proyecto en GitHub, habilitando las acciones de GitHub en su bifurcación y editando la canalización Linux Build All Arches .
El poder de Velociraptor proviene de VQL Artifacts , que definen muchas capacidades para recopilar muchos tipos de datos desde puntos finales. Velociraptor viene con muchos Artifacts integrados para los casos de uso más comunes. La comunidad también mantiene una gran cantidad de artefactos adicionales a través de Artifact Exchange.
Si necesita ayuda para realizar una tarea como implementación, consultas VQL, etc., su primer puerto de escala debe ser la base de conocimientos de Velociraptor en https://docs.velociraptor.app/knowledge_base/, donde encontrará consejos y sugerencias útiles.
Se aceptan preguntas y comentarios en [email protected] (o https://groups.google.com/g/velociraptor-discuss)
También puedes chatear con nosotros directamente en discord https://docs.velociraptor.app/discord
Problemas de archivo en https://github.com/Velocidex/velociraptor
Lea más sobre Velociraptor en nuestro blog: https://docs.velociraptor.app/blog/
Pasa el rato en Medium https://medium.com/velociraptor-ir
Síguenos en Twitter @velocidex
