guides/velociraptor
DFIR · Endpoint visibility · Threat hunting

Velociraptor

Open source endpoint-overvågning og digital forensics. Indsaml artefakter, jag trusler og kør live-respons på tusindvis af maskiner via VQL — Velociraptor Query Language.

Open Source Linux · Windows · macOS Rapid7 / community
1binær, ingen deps
VQLforespørgselssprog
~300+indbyggede artefakter

Hvad det er

Én statisk binær der både er server og klient. Serveren har en web-GUI; klienter (agents) ruller ud på endpoints og kalder hjem over TLS. Alt drives af VQL, så du kan stille vilkårlige spørgsmål til endpoints i realtid i stedet for at vente på et fast feature-sæt.

Til dit testmiljø: Velociraptor kan også køre helt uden server — som standalone "offline collector" der pakker en enkelt eksekverbar du kører på en mistænkt maskine. Se Offline collector.

Server-installation

Linux

Hent seneste binær fra GitHub-releases. Den interaktive config-generator laver server- og klientkonfiguration plus det første admin-login.

Hent binær
# tjek github.com/Velocidex/velociraptor/releases for nyeste version
wget https://github.com/Velocidex/velociraptor/releases/latest/download/velociraptor-linux-amd64
chmod +x velociraptor-linux-amd64
sudo mv velociraptor-linux-amd64 /usr/local/bin/velociraptor
Generér konfiguration (interaktiv)
velociraptor config generate -i
Spørger om SSL-mode (self-signed / Let's Encrypt / autocert), porte og datasti. Producerer server.config.yaml + client.config.yaml.
Opret admin-bruger
velociraptor --config server.config.yaml user add admin --role administrator
Installér som systemd-service
velociraptor --config server.config.yaml service install
sudo systemctl enable --now velociraptor_server
GUI'en kører nu på https://din-server:8889 (standard).
Bag Nginx: Da du allerede kører Nginx + Certbot på Hetzner, kan du sætte Velociraptor til at lytte på localhost og reverse-proxy'e GUI'en på velo.defencia.dk med dit eksisterende cert. Husk websocket-upgrade headers i proxy-blokken.

Udrul klienter

Klienten bruger samme binær med client.config.yaml. Pak en MSI/DEB eller kør direkte.

Linux-klient (direkte)
sudo velociraptor --config client.config.yaml client -v
Byg Debian-pakke
velociraptor --config client.config.yaml debian client
Byg Windows MSI
velociraptor.exe --config client.config.yaml msi
Verificér klient-connection
# i GUI: Search → vis aktive klienter
# eller via API/notebook med VQL: clients()

VQL — grundlæggende

query language

VQL minder om SQL men plugger ind i live-systemdata. Kør forespørgsler i GUI'ens Notebook eller via CLI velociraptor query.

Kør VQL fra CLI
velociraptor --config server.config.yaml query \
  "SELECT Name, Pid, Ppid FROM pslist()"
Find lyttende netværksforbindelser
SELECT * FROM netstat()
WHERE Status = 'LISTEN'
Søg filer med glob-plugin
SELECT FullPath, Mtime FROM glob(
  globs="/home/**/*.sh")
WHERE Mtime > now() - 86400
VQL-pluginFunktion
pslist()Kørende processer med metadata
netstat()Netværksforbindelser
glob()Filsøgning med wildcard-mønstre
hash()Beregn MD5/SHA1/SHA256 af filer
yara()Kør YARA-regler mod filer eller proceshukommelse
pe_dump() / authenticode()Inspektion af PE-filer og signaturer
parse_evtx()Parse Windows event logs
parse_mft()Parse NTFS Master File Table
execve()Kør ekstern kommando og fang output
artifact_set() / Artifact.*Kald genbrugelige artefakt-definitioner

Hunts & artefakter

Et "hunt" kører en artefakt-collection på tværs af alle (eller en delmængde af) klienter samtidig. Artefakter er genbrugelige VQL-pakker — der følger 300+ med.

Typisk DFIR-flow: Vælg artefakt (fx Windows.Detection.Yara.Process eller Linux.Sys.BashShell) → start hunt mod label-gruppe → resultater samles centralt → eksportér til CSV/JSON til videre analyse. Du kan uploade dine egne YARA-regler (signature-base) som parameter til yara-artefakter.
Liste alle artefakter
velociraptor artifacts list
Vis en artefakts definition
velociraptor artifacts show Windows.Detection.Yara.Process

Offline collector

standalone

Pak en selvstændig eksekverbar der indsamler artefakter uden server — perfekt til en enkelt mistænkt maskine eller hvor du ikke kan deploye agents.

Byg offline-collector (interaktivt)
velociraptor --config server.config.yaml collector
# vælg artefakter → producerer Collector_*.exe / .bin
# kør på target → output bliver en zip med alle artefakter

Hærdning

Vigtigt: Velociraptor-serveren er reelt en C2-lignende kapacitet — fuld kommandoeksekvering på alle klienter. Begræns GUI-adgang bag VPN/Nginx med IP-whitelist, brug stærke roller (reader vs investigator vs administrator), og roter klient-certifikater hvis et endpoint kompromitteres. Log alle hunts.
Til din stack: Kør serveren på en dediceret VLAN/segment, læg GUI bag velo.defencia.dk med Fail2ban-jail på login-endpointet (se Fail2ban (kommer som egen guide)), og brug UFW til kun at tillade klient-porten fra dit endpoint-subnet.