Velociraptor端点可见性和收集工具
Velociraptor 是一个使用 Velocidex Query Language(VQL)queries 收集基于主机状态信息的工具。
Velociraptor 是为数字取证和事件响应(DFIR)专业人员开发的。其独特之处在于,允许在 queries 中而不是 code 中编写自定义检测、收集和分析功能。这些 queries 可以很容易地被共享,加强社区的知识,并允许团队更快地寻找新的威胁。
特性:
- 只需按下一个(几个)按钮,就可以在你的端点上同时进行有针对性的数字取证收集,速度快而准确。
- 持续收集端点事件,如事件日志、文件修改和进程执行。无限期地集中存储事件,用于历史回顾和分析。
- 利用其 forensic artifacts 库积极搜索可疑活动,然后根据用户的具体威胁搜寻需求进行定制。
- 当端点上发生严重事件时,触发自动响应以收集证据,默默地阻止恶意活动或完全锁定端点。
评论