Velociraptor是一个使用VelocidexQueryLanguage(VQL)queries收集基于主机状态信息的工具。
Velociraptor是为数字取证和事件响应(DFIR)专业人员开发的。其独特之处在于,允许在queries中而不是code中编写自定义检测、收集和分析功能。这些queries可以很容易地被共享,加强社区的知识,并允许团队更快地寻找新的威胁。
特性:
只需按下一个(几个)按钮,就可以在你的端点上同时进行有针对性的数字取证收集,速度快而准确。持续收集端点事件,如事件日志、文件修改和进程执行。无限期地集中存储事件,用于历史回顾和分析。利用其forensicartifacts库积极搜索可疑活动,然后根据用户的具体威胁搜寻需求进行定制。当端点上发生严重事件时,触发自动响应以收集证据,默默地阻止恶意活动或完全锁定端点。
评论