Velociraptor 是一款开源的数字取证与威胁搜寻工具，专为大规模环境中的快速取证和实时监控而设计。它能够帮助安全团队在企业网络中高效地收集、分析和响应威胁信息。

Velociraptor 使用 Velociraptor Query Language（VQL）来查询和收集主机状态信息。

GitHub开源地址：https://github.com/Velocidex/velociraptor

DockerHub地址：https://hub.docker.com/r/wlambert/velociraptor/tags

官网链接：https://docs.velociraptor.app/

功能特点实时威胁搜寻：能够实时扫描和检测网络中的威胁活动。支持复杂查询和规则定义，快速定位潜在威胁。数字取证：收集和分析系统日志、内存镜像、文件系统等多种取证数据。提供详细的取证报告，帮助安全团队进行深入分析。分布式架构：支持在大规模分布式环境中部署，能够高效处理大量取证任务。通过分布式代理系统，确保在不同节点间的快速数据收集与处理。灵活查询语言：使用VQL（Velociraptor Query Language）进行复杂查询和数据处理。VQL允许用户自定义查询和脚本，灵活性强，适应多种需求。自动化工作流：支持自动化任务和工作流，简化重复性操作。可以与其他安全工具集成，实现自动化响应和处理。

优势高效性：设计优化，使其在大规模环境中能够快速响应和处理数据。实时监控和取证功能确保及时发现和应对威胁。灵活性：VQL提供高度灵活的查询和脚本能力，满足各种复杂的取证和威胁搜寻需求。支持自定义规则和自动化工作流，适应不同的安全策略和流程。开源与社区支持：作为开源工具，拥有活跃的社区支持和丰富的文档资源。用户可以根据自身需求对工具进行修改和扩展。可扩展性：分布式架构使其具备良好的可扩展性，适合各种规模的企业网络。支持多平台（Windows、Linux、macOS）的数据收集和分析。使用场景企业网络安全监控：监控企业网络中的威胁活动，及时发现和响应安全事件。进行全面的安全审计和合规检查。数字取证调查：在安全事件发生后进行详细的数字取证分析，收集证据和重建事件过程。分析系统日志、内存镜像和文件系统，查找攻击痕迹。威胁情报收集：收集和分析威胁情报，预防潜在攻击。实时更新和应用威胁情报，提高网络防御能力。自动化安全响应：通过自动化工作流，实现安全事件的自动检测和响应。集成其他安全工具，构建完整的安全生态系统。部署安装

Velociraptor 的主要组件包括：

客户端——是在端点上运行的 Velociraptor 代理实例。前端——是与客户端通信的服务器组件。GUI——是网络应用程序服务器，用于显示管理界面。API服务器——用于接受 API 请求。//以Docker方式安装Velociraptor服务端git clone https://github.com/weslambert/velociraptor-dockercd velociraptor-dockerdocker-compose up -d访问：https://localhost_ip:8889  //浏览器访问，默认账户名/密码：admin/admin

注意：

①更多安装方式，请参考官方技术指导手册https://docs.velociraptor.app/docs/deployment/；

②Velociraptor客户端安装，请自行到https://github.com/Velocidex/velociraptor/releases下载；

使用

！！！【点赞】、【关注】不走丢^_^

！！！【点赞】、【关注】不走丢^_^