велоцираптор
Release
Velociraptor — это инструмент для сбора информации о состоянии хоста с помощью запросов языка запросов Velociraptor (VQL).
Чтобы узнать больше о Велоцирапторе, прочтите документацию:
https://docs.velociraptor.app/
Если вы хотите понять, что такое велоцираптор, просто:
Загрузите двоичный файл со страницы выпуска для вашей любимой платформы (Windows/Linux/MacOS).
Запустить графический интерфейс
$ велоцираптор графический интерфейс
Это откроет графический интерфейс, интерфейс и локальный клиент. Вы можете собирать артефакты с клиента (который просто работает на вашей машине) как обычно.
Когда вы будете готовы к полному развертыванию, ознакомьтесь с различными вариантами развертывания по адресу https://docs.velociraptor.app/docs/deployment/.
У нас есть полный курс обучения (7 занятий по 2 часа каждое) https://docs.velociraptor.app/training/
В курсе подробно рассматриваются многие аспекты велоцираптора.
Чтобы запустить сервер Velociraptor через Docker, следуйте инструкциям здесь: https://github.com/weslambert/velociraptor-docker.
Велоцираптор также полезен в качестве инструмента местной сортировки. Вы можете создать автономный локальный сборщик, используя графический интерфейс:
Запустите графический интерфейс, как указано выше ( velociraptor gui ).
Выберите боковое меню Server Artifacts , затем Build Collector .
Выберите и настройте артефакты, которые вы хотите собрать, затем выберите вкладку Uploaded Files и загрузите настроенный сборщик.
Для сборки из исходного кода убедитесь, что у вас есть:
недавний Golang, установленный с https://golang.org/dl/ (на данный момент как минимум Go 1.17)
двоичный файл go находится на вашем пути.
каталог GOBIN находится на вашем пути (по умолчанию в Linux и Mac — ~/go/bin , в Windows %USERPROFILE%\go\bin ).
gcc в вашем пути для использования CGO (в Windows работа TDM-GCC проверена)
make
Node.js LTS (графический интерфейс создан с использованием Node v18.14.2)
$ git клон https://github.com/Velocidex/velociraptor.git
$ cd velociraptor # Это создаст элементы графического интерфейса. Сначала вам нужно будет установить узел #. Например, получите его по адресу # https://nodejs.org/en/download/.
$ cd gui/велоцираптор/
$ npm install # Это соберет пакет веб-пакета
$ make build # Чтобы собрать двоичный файл dev, просто запустите make. # ПРИМЕЧАНИЕ. Убедитесь, что ~/go/bin находится на вашем пути — # это необходимо для поиска необходимых нам инструментов Golang.
$ компакт-диск ../..
$ make # Для сборки производственных двоичных файлов
$ сделать Linux
$ сделать окнаДля сборки двоичных файлов Windows в Linux вам понадобятся инструменты mingw. В Ubuntu это просто:
$ sudo apt-get install mingw-w64-x86-64-dev gcc-mingw-w64-x86-64 gcc-mingw-w64
У нас довольно частый график выпусков, но если вы увидите представленную новую функцию, которая вас действительно заинтересует, мы будем рады провести дополнительное тестирование перед официальным выпуском.
У нас есть конвейер CI, управляемый действиями GitHub. Вы можете увидеть конвейер, щелкнув вкладку действий в нашем проекте GitHub. Существует два рабочих процесса:
Тест Windows: этот рабочий процесс создает минимальную версию двоичного файла Velociraptor (без графического интерфейса) и запускает на нем все тесты. В этом конвейере мы также тестируем различные функции поддержки Windows. Этот конвейер основывается на каждом толчке каждого PR.
Linux Build All Arches: этот конвейер собирает полные двоичные файлы для многих поддерживаемых архитектур. Он запускается только тогда, когда PR объединяется с основной веткой. Чтобы загрузить последние двоичные файлы, просто выберите последний запуск этого конвейера, прокрутите страницу вниз до раздела «Артефакты» и загрузите файл Binaries.zip (обратите внимание, что вам необходимо войти в GitHub, чтобы увидеть это).
Если вы разветвите проект на GitHub, конвейеры будут работать на вашем собственном ответвлении, если вы включите в своем ответвлении действия GitHub. Если вам нужно подготовить PR для новой функции или изменить существующую функцию, вы можете использовать его для создания собственных двоичных файлов для тестирования на всех архитектурах, прежде чем отправлять нам PR.
Velociraptor написан на Golang и поэтому доступен для всех платформ, поддерживаемых Go. Это означает, что Windows XP и Windows Server 2003 не поддерживаются, но все, что после Windows 7/Vista, поддерживается.
Мы создаем наши выпуски, используя библиотеку MUSL (x64) для Linux и новейшую систему MacOS, поэтому более ранние платформы могут не поддерживаться нашим конвейером выпусков. Мы также распространяем 32-битные двоичные файлы для Windows, но не для Linux. Если вам нужны 32-битные сборки Linux, вам придется собирать их из исходного кода. Вы можете легко это сделать, создав форк проекта на GitHub, включив GitHub Actions в своем форке и отредактировав конвейер Linux Build All Arches .
Возможности Velociraptor исходят от VQL Artifacts , которые определяют множество возможностей для сбора различных типов данных с конечных точек. Velociraptor поставляется со множеством встроенных Artifacts для наиболее распространенных случаев использования. Сообщество также поддерживает большое количество дополнительных артефактов через Обмен артефактами.
Если вам нужна помощь в выполнении такой задачи, как развертывание, запросы VQL и т. д. Первым делом вам следует обратиться к базе знаний Velociraptor по адресу https://docs.velociraptor.app/knowledge_base/, где вы найдете полезные советы и подсказки.
Вопросы и отзывы приветствуются по адресу [email protected] (или https://groups.google.com/g/velociraptor-discuss).
Вы также можете пообщаться с нами напрямую в Discord https://docs.velociraptor.app/discord.
Проблемы с файлами на https://github.com/Velocidex/velociraptor.
Узнайте больше о Велоцирапторе в нашем блоге: https://docs.velociraptor.app/blog/
Общайтесь на Medium https://medium.com/velociraptor-ir
Следуйте за нами в Твиттере @velocidex.
