ヴェロキラプトル
Release
Velociraptor は、Velociraptor Query Language (VQL) クエリを使用してホストベースの状態情報を収集するツールです。
ヴェロキラプトルの詳細については、次のドキュメントを参照してください。
https://docs.velociraptor.app/
ヴェロキラプトルが何なのかを簡単に知りたい場合は、次のようにします。
好みのプラットフォーム (Windows/Linux/MacOS) のリリース ページからバイナリをダウンロードします。
GUIを起動する
$ ヴェロキラプトル gui
これにより、GUI、フロントエンド、およびローカル クライアントが起動します。通常どおり、クライアント (自分のマシン上で実行されているだけ) からアーティファクトを収集できます。
完全な展開の準備ができたら、https://docs.velociraptor.app/docs/deployment/ でさまざまな展開オプションを確認してください。
完全なトレーニング コース (7 セッション x 各 2 時間) https://docs.velociraptor.app/training/ があります。
このコースでは、ヴェロキラプトルのさまざまな側面を詳細に取り上げます。
Docker 経由で Velociraptor サーバーを実行するには、https://github.com/weslambert/velociraptor-docker の手順に従ってください。
ヴェロキラプトルは、ローカルのトリアージ ツールとしても役立ちます。 GUI を使用して自己完結型のローカル コレクターを作成できます。
上記のように GUI を起動します ( velociraptor gui )。
「 Server Artifactsサイドバー・メニューを選択し、次にBuild Collector選択します。
収集するアーティファクトを選択して構成し、 Uploaded Filesタブを選択して、カスタマイズされたコレクターをダウンロードします。
ソースからビルドするには、以下が揃っていることを確認してください。
https://golang.org/dl/ からインストールされた最近の Golang (現在は少なくとも Go 1.17)
goバイナリがパス内にあります。
GOBINディレクトリはパス内にあります (デフォルトは Linux と Mac では~/go/bin 、Windows では%USERPROFILE%\go\binです)。
CGO を使用するためのパス内のgcc (Windows では、TDM-GCC が動作することが確認されています)
make
Node.js LTS (GUI は Node v18.14.2 を使用して構築されています)
$ git クローン https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # これにより GUI 要素が構築されます。最初にノード # をインストールする必要があります。たとえば、 # https://nodejs.org/en/download/ から入手します。
$ cd gui/ヴェロキラプトル/
$ npm install # これにより、Webpack バンドルが構築されます
$ make build # dev バイナリをビルドするには、make を実行するだけです。 # 注: ~/go/bin がパス上にあることを確認してください - # これは、必要な Golang ツールを見つけるために必要です。
$ cd ../..
$ make # 本番バイナリをビルドするには
$Linuxを作る
$ ウィンドウを作成するLinux 上で Windows バイナリをビルドするには、mingw ツールが必要です。 Ubuntu では、これは単純に次のようになります。
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
私たちはかなり頻繁なリリース スケジュールを立てていますが、本当に興味のある新機能が提出された場合は、正式リリース前にさらにテストを実施したいと考えています。
GitHub アクションによって管理される CI パイプラインがあります。 GitHub プロジェクトの [アクション] タブをクリックすると、パイプラインを確認できます。次の 2 つのワークフローがあります。
Windows テスト: このワークフローは、Velociraptor バイナリの最小バージョン (GUI なし) を構築し、それに対してすべてのテストを実行します。このパイプラインでは、さまざまな Windows サポート機能もテストします。このパイプラインは、各 PR のすべてのプッシュに基づいて構築されます。
Linux Build All Arches: このパイプラインは、サポートされている多くのアーキテクチャ用の完全なバイナリを構築します。 PR が master ブランチにマージされる場合にのみ実行されます。最新のバイナリをダウンロードするには、このパイプラインの最新の実行を選択し、ページを「アーティファクト」セクションまで下にスクロールして、 Binaries.zipファイルをダウンロードするだけです (これを表示するには GitHub にログインする必要があることに注意してください)。
GitHub 上でプロジェクトをフォークした場合、フォーク上で GitHub Actions を有効にしている限り、パイプラインは独自のフォーク上で実行されます。新しい機能の PR を準備する必要がある場合、または既存の機能を変更する必要がある場合は、PR を送信する前に、これを使用してすべてのアーキテクチャでテストするための独自のバイナリを構築できます。
Velociraptor は Golang で書かれているため、Go でサポートされているすべてのプラットフォームで利用できます。これは、Windows XP と Windows Server 2003 はサポートされていませんが、Windows 7/Vista 以降はサポートされていることを意味します。
Linux および最新の MacOS システム用の MUSL ライブラリ (x64) を使用してリリースを構築しているため、以前のプラットフォームはリリース パイプラインでサポートされていない可能性があります。 Windows 用の 32 ビット バイナリも配布していますが、Linux 用は配布していません。 32 ビット Linux ビルドが必要な場合は、ソースからビルドする必要があります。これは、GitHub でプロジェクトをフォークし、フォーク内で GitHub Actions を有効にし、 Linux Build All Archesパイプラインを編集することで簡単に行うことができます。
Velociraptor のパワーは、エンドポイントからさまざまな種類のデータを収集するための多くの機能を定義するVQL Artifactsから得られます。 Velociraptor には、最も一般的な使用例に対応する多くの組み込みArtifactsが付属しています。コミュニティは、Artifact Exchange を通じて多数の追加のアーティファクトも管理しています。
デプロイメントや VQL クエリなどのタスクの実行にサポートが必要な場合は、最初に Velociraptor Knowledge Base (https://docs.velociraptor.app/knowledge_base/) に問い合わせてください。そこでは、役立つヒントやヒントが見つかります。
ご質問やフィードバックは、[email protected] (または https://groups.google.com/g/velociraptor-discuss) までお寄せください。
discord https://docs.velociraptor.app/discord で直接チャットすることもできます
https://github.com/Velocidex/velociraptor で問題をファイルする
ヴェロキラプトルについて詳しくは、ブログをご覧ください: https://docs.velociraptor.app/blog/
Medium でお問い合わせください https://medium.com/velociraptor-ir
Twitter @velocidex でフォローしてください
