最后更新于2023年5月12日(星期五)18:10:50 GMT

By Dr. Mike Cohen & Carlos Canto

Velociraptor 开源项目是由社区领导和塑造的吗. Over the years, 迅猛龙已经成为DFIR领域的一支真正的力量, 使其成为许多操作情况的明显选择. Rapid7致力于继续使Velociraptor成为首要的开源DFIR和安全工具.

以了解有关该工具在社区中如何使用以及社区对功能的期望的更多信息, features, 和用例,迅猛龙团队在2023年初发布了我们的第一个社区调查. 我们正在利用这些信息来塑造未来的发展方向, 确定优先事项并制定路线图. 我们非常感谢抽出时间回应的社区成员.

作为一个开源项目,我们依赖于社区的贡献. 贡献者可以通过多种方式帮助项目, 从开发代码开始, to filing bugs, 改进文档. 用户可以做出贡献的最重要的方式之一是通过像本次调查这样的渠道提供有价值的反馈, 哪些有助于塑造未来的路线图和新功能.

我们很高兴在这篇博文中分享我们收到的一些回复.

谁是迅猛龙社区?

在213名受访者中, 大多数是分析师(57%)和经理(26%)。, 这表明大多数受访者都是了解并经常使用迅猛龙的人.

我们还想了解使用迅猛龙的公司类型. 用户几乎均匀地分布在不同的公司规模, 大约30%的回复来自小公司(少于100名员工),20%的回复来自10人的大公司,000人或以上.

这些公司也来自各行各业. 虽然许多主要是在信息安全领域,如托管安全服务提供商(mssp)。, consultants, 网络安全业务, 我们也看到很多政府部门的回应, 航空航天工业, education, banking/finance, healthcare, etc.

有如此广泛的用户,我们对他们使用迅猛龙的频率很感兴趣. 大约三分之一的人说他们经常使用迅猛龙, 另外三分之一的人偶尔使用它, 最后三分之一的人正在评估和学习这个工具.

迅猛龙用例

迅猛龙是一个功能强大的工具. 我们想了解哪些功能最受欢迎,以及用户如何优先考虑这些功能. 具体来说,我们询问了以下主要用例:

客户机监视和警报(检测)
Velociraptor可以收集专注于检测的客户端事件查询. 这允许客户机自主地监视端点,并在满足某些条件时发送优先级警报.

→12%的用户积极使用此功能来监控端点.

主动寻找指示器(威胁情报)
迅猛龙从许多系统中大规模收集工件的独特能力可以与威胁情报信息(如哈希)相结合, etc.),主动寻找已知行为者的妥协. 这个问题特别与寻找威胁饲料指标有关, such as hashes, IP addresses, etc.

→16%的用户在使用这个功能.

将事件持续转发到另一个系统
Velociraptor的客户端监控查询可用于简单地转发事件(如ETW提要).

→6%的用户在使用这个功能.

收集用于在另一个系统上分析的批量文件(数字取证)
Velociraptor可用于从端点收集批量文件,以便稍后由其他工具(例如, using the Windows.Collection.KapeFiles artifact).

→20%的用户经常使用这个功能.

解析端点上的指示符(数字取证)
Velociraptor的工件用于直接解析端点上的文件, 快速返回可操作的高价值信息,无需冗长的后期处理.

→21%的用户使用这类查询.

主动寻找跨多个系统的指标(事件响应)
迅猛龙可以同时从多个端点寻找神器.

→21%的用户受益于此功能.

我们进一步询问了这些特性的相对重要性. 用户最看重的是收集批量文件和跨多个系统查找工件的能力, 然后是直接解析端点上的工件的能力.

向后兼容性

一些用户部署Velociraptor是为了有限的时间约定,所以他们不需要向后兼容存储的数据, 因为他们不会在同一部署中升级到主要版本.

其他用户需要更稳定的数据迁移,但通常对删除向后数据兼容性感到满意, if necessary. For example, 一个回复说:“我宁愿你优先考虑改进而不是兼容性,即使它会破坏一些东西.”

另一位用户解释道:“在一个典型的事件响应场景中, 数字取证数据的保质期最多只有几周或几个月,我对Velociraptor收集的大部分数据的可转换性和可移植性感到满意,这样即使新版本的服务器不再支持过时的格式/存档,归档数据仍然可以使用. 我认为,如果这对那些没有将大量遗留数据导出到更有意义的地方以进行长期存储和历史数据分析/情报目的的人来说是一个问题,那么将会有解决方案.”

Generally, 大多数用户表示他们很少或从不需要返回存档数据并重新分析.

版本兼容性

迅猛龙的 support policy 官方只支持同一版本的客户端和服务器. 然而,在现实中,升级客户机通常比升级服务器需要更长的时间. 而一些用户能够及时升级客户端, 许多用户估计,在已部署的客户端中,有10-50%的版本比服务器老(或更老). Therefore, Velociraptor团队需要与旧客户端保持一定的兼容性,以便用户有时间升级他们的端点.

离线采集器

离线收集器为用户提供了一种使用Velociraptor的工件而无需部署服务器的方法. 这个功能只被10%的用户使用, 另外30%的用户经常使用它.

离线集合的大多数用户手动部署它(50%). 通过另一个部署 EDR 工具或通过组策略也是可靠的选项. 一些用户创建了自定义包装器,以便在现场部署脱机收集器. 离线集合支持使用多种方法将集合直接上传到云服务器.

最流行的上传方法是到AWS S3存储桶(30%),而云中的SFTP连接器或虚拟机上的自定义SFTP服务器也是流行的选择(20%和23%), respectively). 直接上传到谷歌云存储是最不受欢迎的选择,约占5%.

手动复制方法也很流行,从基于edr的复制到Zoom文件复制.

Azure blob存储是Velociraptor目前不支持的常见请求. 许多回应表明,SFTP目前是缺乏Azure直接支持的一个解决方案. Velociraptor团队应该优先支持Azure blob存储.

Data analysis

Velociraptor支持收集原始文件(例如.g. 事件日志文件,$MFT等.),以便在其他工具中分析. Alternatively, Velociraptor已经包含了可以直接在端点上使用的大多数取证工件的广泛解析器.

大多数用户确实使用内置的取证解析和分析工件(55%),但许多用户也收集原始文件(例如.g. via the Windows.Collection.KapeFiles artifact).

VQL artifacts

Velociraptor使用Velociraptor查询语言来执行收集和分析. VQL通常通过工件与社区共享. 大多数用户使用内置构件以及 工件交换. 然而,超过60%的用户报告说他们也开发了自己的工件. 对于那些开发自己的工件的用户, 我们询问了这个过程中的限制和困难.

出现的一个常见主题是调试工件,缺乏VQL调试器和更好的错误报告. 培训和文件也指出需要改进. 有人建议用更多的例子来增强文档,说明每个VQL插件在实践中是如何使用的.

与此相关的是,迅猛龙团队在 BlackHat 2023. 开发人员将传授有关如何部署Velociraptor和编写有效的自定义VQL的详细信息.

基于角色的访问控制

Velociraptor具有基于角色的访问控制(RBAC)机制,可以从管理员那里为用户分配角色, to investigator, 到阅读器角色提供的只读访问. 用户普遍认为这个功能很有用——40%的用户认为它“一般有用”,20%“非常有用”,15%“非常有用”.主要的改进建议包括:

  • 更容易通过GUI进行管理(从版本0开始).6.8所有用户acl通过GUI管理)
  • 具有更细粒度权限的自定义角色
  • 更好的日志记录和审计
  • 允许特定角色只运行预先批准的工件子集的能力
  • 一种只运行签名/散列VQL的方法/防止恶意工件被放到服务器上
  • 使每个权限授予用户的内容更清晰

多租户支持

迅猛龙提供了一个完整的多租户模式, 在哪里可以以最小的资源开销快速创建或退出组织. 25%的受访者使用了这个功能, 谁主要是使用它来支持多个客户的顾问和服务提供商. 有些公司使用多租户来分离业务的不同部门或子公司.

客户端监控和警报

Velociraptor可以在客户端上运行事件查询. 这些VQL查询连续运行,并在满足某些条件时将结果流式传输到服务器. 它们的常见用例是生成警报和增强检测.

一些用户经常部署客户机监视构件,而另一些用户则将其视为EDR工具的替代方案, 当这些可用时. 主要的用例分解是:

  • Detection (e.g. 异常事件发生时发出警报):27%的用户
  • 客户端事件的集合(例如.g. (将处理事件日志转发到外部系统):18%的用户
  • Remediation (e.g. 隔离(自动删除文件):15%的用户

→30%的用户根本不使用客户端监控.

客户端监控最常见的痛点是缺乏集成警报功能(当前正在解决的问题). 关于此功能的一些有用反馈包括:

  • 更好地支持与业务工具的集成.g.、Teams、Slack等.)
  • 更容易管理事件数据
  • 不必为每个组件构建服务器端构件 client_event artifact
  • 列出所有警报的仪表板
  • 一种更简单的基于严重性转发警报的方法
  • 换句话说,缺乏预先构建的检测规则/包, 调低音量会更容易, 而不是建立

隔离功能

迅猛龙可以通过收集 Windows.Remediation.Quarantine artifact. 该构件调整端点上的防火墙规则,以阻止所有外部网络通信,同时保持与Velociraptor主机的连接. 这允许在调查期间隔离端点.

这个功能相当受欢迎——大约30%的用户“有时使用”它,另外12%的用户“总是使用”它.

迅猛龙是如何部署的?

迅猛龙是一种非常轻量级的解决方案, 通常需要几分钟来配置新的部署. 对于我们的许多用户来说, Velociraptor根据需要用于事件响应环境(46%). 其他用户喜欢更永久的部署(25%).

对于更大的环境, Velociraptor还支持多服务器配置(13%的用户), 以及更传统的单服务器部署选项(70%的用户). 虽然有些用户利用了几天或更短时间的部署(13%), 大多数用户将他们的部署保留几周(27%)到几个月或永久(44%)。.

迅猛龙被设计成可以在多个端点上高效地工作. 我们建议在切换到多服务器架构之前,在单个服务器上最多有15-20k个端点(尽管用户报告在单个服务器上更大的部署规模成功)。. 在实践中,这种性能水平对于大多数用户来说是足够的.

许多用户运行的部署少于250个端点(44%),而另外40%的用户部署到少于5个端点,000 endpoints.

大约10%的用户的部署规模大于25,000 endpoints, 有2%的用户超过100岁,000 endpoints.

流行的操作系统

迅猛龙支持的操作系统之一, Windows 64位是最受欢迎的(82%的用户将其列为部署最多的操作系统类型), 而Linux是下一个最流行的部署端点操作系统. Mac是Velociraptor用户的第三大热门选择. 最后,32位Windows系统仍然很流行.

参考资料及参考资料

迅猛龙的网站是 http://docs.velociraptor.app/ 包含丰富的参考资料,培训课程和演示文稿. 我们还有一个活跃的 YouTube channel 有很多教学视频.

虽然有些用户认为该网站“非常有用”(25%), 显然还有改进的余地. 42%的用户只认为“非常有用”或“一般有用”(28%)。.改进建议包括:

  • 更深入的YouTube视频分解了该工具的功能与工作流
  • 更详细的“如何”与实际的例子
  • 改进了关于函数和插件的文档, 有一个稍微更详细的解释和一个小例子
  • 更新文档以反映新版本和新特性

Testimonials

最后,我想和你们分享一些用户在调查中写下的评价. 我们被我们读到的鼓励和积极的话语所折服, 并且很高兴能对DFIR领域产生影响:

  • “我必须祝贺你,感谢你开发了这样一个神奇的工具. 这是DFIR的未来."
  • “很棒的产品,等不及要在产品中使用它了!"
  • “这将改变DFIR行业的游戏规则. 再接再厉."
  • “保留基于文件系统的后端, 它的简单性使监管链/法庭提交成为可能."
  • “我非常喜欢迅猛龙. 我们的团队和社区都非常棒. 我想说的是Mike和Matthew Green是我在这个行业中最喜欢的信息安全先生."
  • “你们都很棒. 我觉得我太挑剔了, 但那是因为这是一个了不起的软件, 我希望看到它继续成长和改善."
  • “自从Velociraptor发布以来,我们一直在将其部署到客户端环境中. 我们的DFIR业务模式完全以它为中心,它对我们来说非常有效. 这是一个伟大的解决方案,只是不断变得越来越好."

Conclusions

这是我们对迅猛龙的第一次社区调查,事实证明它非常有用. 因为迅猛龙是社区领导的, 开源项目, 我们需要一个对用户开放的反馈回路. 这有助于我们理解哪些地方需要改进,哪些特性应该优先考虑.

同时, 因为迅猛龙是一个开源项目, 我希望这项调查能激发社会各界的贡献. 我们重视所有的贡献,从代码到文档、测试和bug报告.

最后,对于我们所有的美国用户,我们希望今年能在 BlackHat 2023! 加入我们,进行深入的迅猛龙培训,并与VQL一起学习4天, 学习实践, 可操作的技能和支持这个开源项目.

Keep Digging!