معرفی راهکار Velociraptor

به کمک این ابزار، کارشناسان پاسخ به حادثه میتوانند به سرعت شواهد را از روی میزبان‌های مختلف جمع­‌آوری کرده و همچنین تحلیل‌­های فارنزیکی خود را بر روی سیستم­‌های موجود در شبکه انجام دهند. همچنین کارشناسان شکار تهدید نیز میتوانند به کمک قابلیت­‌های مختلف این ابزار همچون زدن کوئری VQL، دسترسی شل (Powershell، CMD و Bash) و استفاده از Artifactهای موجود در ابزار، نسبت به بررسی موارد مشکوک در سیستم­‌ها اقدام کنند تا از حوادث آتی جلوگیری گردد. همچنین این قابلیت وجود دارد که کاربر بتواند Artifact خود را به زبان VQL نوشته و به سیستم تزریق کند.  

به عنوان مثال زمانیکه یک IOC جدید برای یک تهدید منتشر می­شود و یا یک رفتار مخرب در تعدادی از سیستم‌­های شما کشف میشود، میتوان آنرا به زبان VQL نوشت، داخل سیستم آپلود کرد و کل سیستم‌­های ویندوزی و لینوکسی موجود در شبکه را نسبت به آن، مورد بررسی قرار داد.

به عنوان جمع بندی، تعدادی از ویژگی‌­های این ابزار در ادامه آورده شده است:

منبع باز، دارای یک Community و پشتیبانی توسط شرکت معروف Rapid7
ساخته شده بر اساس تجارب واقعی کارشناسان پاسخ به حادثه و فارنزیک و به منظور پر کردن خلا­های ابزاری موجود در این حوزه
دقت در طراحی به منظور کاهش تاثیر منفی بر روی Performance سیستم‌­های مورد بررسی
دارای ساختار کلاینت/سروری برای بررسی کل شبکه به عنوان ابزار شکار تهدید و پاسخ به آن
امکان جمع آوری شواهد حادثه از روی تمام سیستم‌­ها به سادگی و با سرعت مناسب
امکان ارسال خودکار نتایج به Splunk و Elastic
امکان مدیریت سرور با API
استفاده از VQL (Velociraptor Query Language) به عنوان یک زبان قدرتمند و منعطف برای تامین نیازمندی­‌های کاربران بدون نیاز به تغییر کد برنامه و یا ابزارهای بیرونی
شامل تعداد زیادی از تجارب حوزه دیجیتال فارنزیک در قالب فایل­‌هایی با نام Artifact به زبان VQL
امکان نوشتن Artifact دلخواه
امکان بررسی نام و محتوای یک فایل از راه دور
امکان استفاده از قوانین YARA
امکان دسترسی شل (Powershell، CMD و Bash) به سیستم­ها از راه دور
امکان استفاده از توابع diff() به منظور پایش تغییرات مشکوک در موارد خاص
امکان اجرای برنامه­‌های دیگر همچون Autoruns
و …