Velociraptor端點可見性和收集工具

Velociraptor 是一個使用 Velocidex Query Language（VQL）queries 收集基于主機狀態(tài)信息的工具。

Velociraptor 是為數(shù)字取證和事件響應(yīng)（DFIR）專業(yè)人員開發(fā)的。其獨特之處在于，允許在 queries 中而不是 code 中編寫自定義檢測、收集和分析功能。這些 queries 可以很容易地被共享，加強社區(qū)的知識，并允許團隊更快地尋找新的威脅。

特性：

• 只需按下一個（幾個）按鈕，就可以在你的端點上同時進行有針對性的數(shù)字取證收集，速度快而準(zhǔn)確。
• 持續(xù)收集端點事件，如事件日志、文件修改和進程執(zhí)行。無限期地集中存儲事件，用于歷史回顧和分析。
• 利用其 forensic artifacts 庫積極搜索可疑活動，然后根據(jù)用戶的具體威脅搜尋需求進行定制。
• 當(dāng)端點上發(fā)生嚴重事件時，觸發(fā)自動響應(yīng)以收集證據(jù)，默默地阻止惡意活動或完全鎖定端點。