velociraptor

Velociraptor - Alat visibilitas dan pengumpulan titik akhir.

Velociraptor adalah alat untuk mengumpulkan informasi status berbasis host menggunakan kueri The Velociraptor Query Language (VQL).

Untuk mempelajari lebih lanjut tentang Velociraptor, baca dokumentasi di:

https://docs.velociraptor.app/

Mulai cepat

Jika Anda ingin melihat apa itu Velociraptor, cukup:

1. Unduh biner dari halaman rilis untuk platform favorit Anda (Windows/Linux/MacOS).

2. Mulai GUI

  $ velociraptor gui

Ini akan memunculkan GUI, Frontend dan klien lokal. Anda dapat mengumpulkan artefak dari klien (yang baru saja berjalan di mesin Anda sendiri) seperti biasa.

Setelah Anda siap untuk penerapan penuh, lihat berbagai opsi penerapan di https://docs.velociraptor.app/docs/deployment/

Pelatihan

Kami memiliki kursus pelatihan lengkap (masing-masing 7 sesi x 2 jam) https://docs.velociraptor.app/training/

Kursus ini mencakup banyak aspek Velociraptor secara rinci.

Menjalankan Velociraptor melalui Docker

Untuk menjalankan server Velociraptor melalui Docker, ikuti petunjuk di sini: https://github.com/weslambert/velociraptor-docker

Menjalankan Velociraptor secara lokal

Velociraptor juga berguna sebagai alat triase lokal. Anda dapat membuat kolektor lokal mandiri menggunakan GUI:

1. Mulai GUI seperti di atas ( velociraptor gui ).

2. Pilih menu sidebar Server Artifacts , lalu Build Collector .

3. Pilih dan konfigurasikan artefak yang ingin Anda kumpulkan, lalu pilih tab Uploaded Files dan unduh kolektor khusus Anda.

Membangun dari sumber

Untuk membangun dari sumber, pastikan Anda memiliki:

• Golang terbaru diinstal dari https://golang.org/dl/ (Saat ini setidaknya Go 1.17)

• biner go ada di jalur Anda.

• direktori GOBIN ada di jalur Anda (default di linux dan mac menjadi ~/go/bin , di Windows %USERPROFILE%\go\bin ).

• gcc di jalur Anda untuk penggunaan CGO (di Windows, TDM-GCC telah diverifikasi berfungsi)

• make

• Node.js LTS (GUI dibuat menggunakan Node v18.14.2)

    $ git klon https://github.com/Velocidex/velociraptor.git
    $ cd velociraptor # Ini akan membangun elemen GUI. Anda harus menginstal node # terlebih dahulu. Misalnya mendapatkannya dari # https://nodejs.org/en/download/.
    $ cd gui/velociraptor/
    $ npm install # Ini akan membangun bundel webpack
    $ make build # Untuk membuat biner dev, jalankan saja make.    # CATATAN: Pastikan ~/go/bin ada di jalur Anda - # ini diperlukan untuk menemukan alat Golang yang kita perlukan.
    $cd../..
    $ make # Untuk membangun biner produksi
    $ membuat linux
    $ membuat jendela

Untuk membangun binari Windows di Linux Anda memerlukan alat mingw. Di Ubuntu, ini sederhana:

 $ sudoapt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64

Mendapatkan versi terbaru

Kami memiliki jadwal rilis yang cukup sering, tetapi jika Anda melihat fitur baru dikirimkan dan Anda benar-benar tertarik, kami akan dengan senang hati melakukan pengujian lebih lanjut sebelum rilis resmi.

Kami memiliki saluran CI yang dikelola oleh tindakan GitHub. Anda dapat melihat alurnya dengan mengklik tab tindakan di proyek GitHub kami. Ada dua alur kerja:

1. Tes Windows: alur kerja ini membangun versi minimal biner Velociraptor (tanpa GUI) dan menjalankan semua tes di dalamnya. Kami juga menguji berbagai fungsi dukungan windows di pipeline ini. Saluran pipa ini dibangun berdasarkan setiap dorongan di setiap PR.

2. Linux Build All Arches: Pipeline ini membangun biner lengkap untuk banyak arsitektur yang didukung. Ini hanya berjalan ketika PR digabungkan ke dalam cabang master. Untuk mengunduh biner terbaru cukup pilih proses terbaru dari pipeline ini, gulir ke bawah halaman ke bagian "Artefak" dan unduh file Binaries.zip (Catatan, Anda harus masuk ke GitHub untuk melihatnya).

Jika Anda melakukan fork proyek di GitHub, pipeline akan berjalan di fork Anda sendiri selama Anda mengaktifkan GitHub Actions di fork Anda. Jika Anda perlu menyiapkan PR untuk fitur baru atau memodifikasi fitur yang sudah ada, Anda dapat menggunakan ini untuk membuat biner Anda sendiri untuk pengujian pada semua arsitektur sebelum mengirimkan PR kepada kami.

Platform yang didukung

Velociraptor ditulis dalam Golang dan tersedia untuk semua platform yang didukung oleh Go. Ini berarti bahwa Windows XP dan Windows server 2003 tidak didukung tetapi apa pun setelah Windows 7/Vista didukung.

Kami membuat rilis kami menggunakan perpustakaan MUSL (x64) untuk Linux dan sistem MacOS terbaru, sehingga platform sebelumnya mungkin tidak didukung oleh jalur rilis kami. Kami juga mendistribusikan biner 32 bit untuk Windows tetapi tidak untuk Linux. Jika Anda memerlukan build Linux 32 bit, Anda perlu membangun dari sumber. Anda dapat melakukan ini dengan mudah dengan melakukan forking proyek di GitHub, mengaktifkan GitHub Actions di fork Anda, dan mengedit pipeline Linux Build All Arches .

Pertukaran Artefak

Kekuatan Velociraptor berasal dari VQL Artifacts , yang menentukan banyak kemampuan untuk mengumpulkan berbagai jenis data dari titik akhir. Velociraptor hadir dengan banyak Artifacts bawaan untuk kasus penggunaan paling umum. Komunitas juga menyimpan sejumlah besar artefak tambahan melalui Pertukaran Artefak.

Basis Pengetahuan

Jika Anda memerlukan bantuan untuk melakukan tugas seperti penerapan, kueri VQL, dll. Tempat panggilan pertama Anda adalah Basis Pengetahuan Velociraptor di https://docs.velociraptor.app/knowledge_base/ di mana Anda akan menemukan tip dan petunjuk bermanfaat.

Mendapatkan bantuan

Pertanyaan dan masukan diterima di [email protected] (atau https://groups.google.com/g/velociraptor-discuss)

Anda juga dapat mengobrol langsung dengan kami di discord https://docs.velociraptor.app/discord

Ajukan masalah di https://github.com/Velocidex/velociraptor

Baca lebih lanjut tentang Velociraptor di blog kami: https://docs.velociraptor.app/blog/

Nongkrong di Medium https://medium.com/velociraptor-ir

Ikuti kami di Twitter @velocidex