⚠️ Hinweis: Dies ist ein vorläufiger, KI-generierter Knowledgebase-Eintrag. Wir freuen uns über Verbesserungen und Ergänzungen durch die Community!

Übersicht

Velociraptor ist ein Open-Source-Tool zur Endpoint-Forensik mit Fokus auf Skalierbarkeit, Präzision und Geschwindigkeit. Es ermöglicht die zielgerichtete Erfassung und Analyse digitaler Artefakte über eine eigene Query Language – VQL (Velociraptor Query Language). Die Architektur erlaubt remote Zugriff auf tausende Endpoints gleichzeitig, ohne dass vollständige Disk-Images erforderlich sind.

Hauptmerkmale

• 🌐 Web-basierte Benutzeroberfläche
• 💡 VQL – mächtige, SQL-ähnliche Abfragesprache
• 🚀 Hochskalierbare Hunt-Funktionalität
• 🔍 Artefaktbasierte Sammlung (ohne Full-Image)
• 🖥️ Plattformunterstützung für Windows, macOS, Linux
• 📦 Apache 2.0 Lizenz – Open Source

Weitere Infos: velociraptor.app
Projektspiegel: raptor.cc24.dev
Status:

Installation

Voraussetzungen

• Python ≥ 3.9
• Adminrechte auf dem System
• Firewall-Freigaben für Webport (Standard: 8000)

Installation unter Linux/macOS

wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor
chmod +x velociraptor
sudo mv velociraptor /usr/local/bin/

Installation unter Windows

1. Download der .exe von der Release-Seite

2. Ausführung in PowerShell mit Adminrechten:

   .\velociraptor.exe config generate > server.config.yaml

Konfiguration

Server Setup

1. Generiere die Konfigurationsdatei:

   velociraptor config generate > server.config.yaml

2. Starte den Server:

   velociraptor --config server.config.yaml frontend

3. Zugriff über Browser via https://<hostname>:8000

Client Deployment

• MSI/EXE für Windows, oder deb/rpm für Linux
• Unterstützt automatische Registrierung am Server
• Deployment über GPO, Puppet, Ansible etc. möglich

Verwendungsbeispiele

1. Live-Memory-Artefakte sammeln

SELECT * FROM Artifact.MemoryInfo()

2. Hunt starten auf verdächtige Prozesse

SELECT * FROM pslist()
WHERE Name =~ "mimikatz|cobaltstrike"

3. Dateiinhalt extrahieren

SELECT * FROM glob(globs="C:\\Users\\*\\AppData\\*.dat")

Best Practices

• Erstelle eigene Artefakte für unternehmensspezifische Bedrohungsmodelle
• Verwende “Notebook”-Funktion für strukturierte Analysen
• Nutze “Labels”, um Endpoints zu organisieren (z. B. location:Berlin)
• Kombiniere Velociraptor mit SIEM/EDR-Systemen über REST API

Troubleshooting

Problem: Keine Verbindung vom Client zum Server

Lösung:

• Ports freigegeben? (Default: 8000/tcp)
• TLS-Zertifikate korrekt generiert?
• server.config.yaml auf korrekte public_ip prüfen

Problem: Hunt hängt in Warteschleife

Lösung:

• Genügend Worker-Prozesse aktiv?
• Endpoint online?
• log_level auf debug setzen und Log analysieren

Weiterführende Themen

• Eigene Artefakte schreiben mit VQL
• Integration mit ELK Stack
• Automatisiertes Incident Response Playbook
• Velociraptor als IR-as-a-Service einsetzen

🧠 Tipp: Die Lernkurve bei VQL ist steil – aber mit hohem ROI. Testumgebung aufsetzen und mit Community-Artefakten starten.

📚 Weitere Ressourcen:

• Offizielle Doku
• YouTube Channel
• Community auf Discord