Velociraptor端点可见性和收集工具

Velociraptor 是一个使用 Velocidex Query Language（VQL）queries 收集基于主机状态信息的工具。

Velociraptor 是为数字取证和事件响应（DFIR）专业人员开发的。其独特之处在于，允许在 queries 中而不是 code 中编写自定义检测、收集和分析功能。这些 queries 可以很容易地被共享，加强社区的知识，并允许团队更快地寻找新的威胁。

特性：

• 只需按下一个（几个）按钮，就可以在你的端点上同时进行有针对性的数字取证收集，速度快而准确。
• 持续收集端点事件，如事件日志、文件修改和进程执行。无限期地集中存储事件，用于历史回顾和分析。
• 利用其 forensic artifacts 库积极搜索可疑活动，然后根据用户的具体威胁搜寻需求进行定制。
• 当端点上发生严重事件时，触发自动响应以收集证据，默默地阻止恶意活动或完全锁定端点。