迅猛龙2023年度社区调查

最后更新于2023年5月12日(星期五)18:10:50 GMT

By Dr. Mike Cohen & Carlos Canto

Velociraptor is an 开源项目 led and shaped by the community. Over the years, Velociraptor has become a real force in the field of DFIR, making it an obvious choice for many operational situations. Rapid7致力于继续使Velociraptor成为首要的开源DFIR和安全工具.

以了解有关该工具在社区中如何使用以及社区对功能的期望的更多信息, features, 和用例，迅猛龙团队在2023年初发布了我们的第一个社区调查. 我们正在利用这些信息来塑造未来的发展方向, 确定优先事项并制定路线图. 我们非常感谢抽出时间回应的社区成员.

As an 开源项目, we depend on our community to contribute. There are many ways contributors can help the project, 从开发代码开始, to filing bugs, 改进文档. 用户可以做出贡献的最重要的方式之一是通过像本次调查这样的渠道提供有价值的反馈, which helps to shape the future road map and new features.

我们很高兴在这篇博文中分享我们收到的一些回复.

谁是迅猛龙社区?

在213名受访者中, the majority were analysts (57%) and managers (26%), 这表明大多数受访者都是了解并经常使用迅猛龙的人.

我们还想了解使用迅猛龙的公司类型. 用户几乎均匀地分布在不同的公司规模, 大约30%的回复来自小公司(少于100名员工)，20%的回复来自10人的大公司,000人或以上.

These companies also came from a wide range of industries. 虽然许多主要是在信息安全领域，如托管安全服务提供商(mssp)。, consultants, 网络安全业务, we also saw a large number of responses from the government sector, 航空航天工业, education, 银行/金融, healthcare, etc.

有如此广泛的用户，我们对他们使用迅猛龙的频率很感兴趣. About a third said they use Velociraptor frequently, 另外三分之一的人偶尔使用它, 最后三分之一的人正在评估和学习这个工具.

迅猛龙用例

Velociraptor is a powerful tool with a wide feature set. 我们想了解哪些功能最受欢迎，以及用户如何优先考虑这些功能. Specifically, we asked about the following main use cases:

客户机监视和警报(检测)
Velociraptor can collect client event queries focused on detection. 这允许客户机自主地监视端点，并在满足某些条件时发送优先级警报.

→ 12% of users were actively using this feature to monitor endpoints.

Proactively hunting for indicators (threat intelligence)
迅猛龙从许多系统中大规模收集工件的独特能力可以与威胁情报信息(如哈希)相结合, etc.) to proactively hunt for compromises by known actors. 这个问题特别与寻找威胁饲料指标有关, such as hashes, IP addresses, etc.

→16%的用户在使用这个功能.

Ongoing forwarding of events to another system
Velociraptor的客户端监控查询可用于简单地转发事件(如ETW提要).

→6%的用户在使用这个功能.

收集用于在另一个系统上分析的批量文件(数字取证)
Velociraptor可用于从端点收集批量文件，以便稍后由其他工具(例如, using the Windows.Collection.KapeFiles artifact).

→ 20% of users were using this feature regularly.

Parsing for indicators on the endpoint (digital forensics)
Velociraptor的工件用于直接解析端点上的文件, 快速返回可操作的高价值信息，无需冗长的后期处理.

→21%的用户使用这类查询.

主动寻找跨多个系统的指标(事件响应)
Velociraptor can hunt for artifacts from many endpoints at once.

→21%的用户受益于此功能.

We further asked for the relative importance of these features. 用户最看重的是收集批量文件和跨多个系统查找工件的能力, followed by the ability to directly parse artifacts on the endpoints.

向后兼容性

一些用户部署Velociraptor是为了有限的时间约定，所以他们不需要向后兼容存储的数据, 因为他们不会在同一部署中升级到主要版本.

其他用户需要更稳定的数据迁移，但通常对删除向后数据兼容性感到满意, if necessary. For example, 一个回复说:“我宁愿你优先考虑改进而不是兼容性，即使它会破坏一些东西.”

Another user explained: “In a typical Incident Response scenario, 数字取证数据的保质期最多只有几周或几个月，我对Velociraptor收集的大部分数据的可转换性和可移植性感到满意，这样即使新版本的服务器不再支持过时的格式/存档，归档数据仍然可以使用. 我认为，如果这对那些没有将大量遗留数据导出到更有意义的地方以进行长期存储和历史数据分析/情报目的的人来说是一个问题，那么将会有解决方案.”

Generally, 大多数用户表示他们很少或从不需要返回存档数据并重新分析.

版本兼容性

迅猛龙的 support policy 官方只支持同一版本的客户端和服务器. 然而，在现实中，升级客户机通常比升级服务器需要更长的时间. While some users are able to upgrade clients promptly, 许多用户估计，在已部署的客户端中，有10-50%的版本比服务器老(或更老). Therefore, Velociraptor团队需要与旧客户端保持一定的兼容性，以便用户有时间升级他们的端点.

离线采集器

离线收集器为用户提供了一种使用Velociraptor的工件而无需部署服务器的方法. This feature is used exclusively by about 10% of users, while a further 30% of users employ it frequently.

Most users of the offline collection deploy it manually (50%). 通过另一个部署 EDR tool or via Group Policy are also robust options. 一些用户创建了自定义包装器，以便在现场部署脱机收集器. 离线集合支持使用多种方法将集合直接上传到云服务器.

最流行的上传方法是到AWS S3存储桶(30%)，而云中的SFTP连接器或虚拟机上的自定义SFTP服务器也是流行的选择(20%和23%), respectively). 直接上传到谷歌云存储是最不受欢迎的选择，约占5%.

手动复制方法也很流行，从基于edr的复制到Zoom文件复制.

Azure blob存储是Velociraptor目前不支持的常见请求. 许多回应表明，SFTP目前是缺乏Azure直接支持的一个解决方案. Velociraptor团队应该优先支持Azure blob存储.

Data analysis

Velociraptor支持收集原始文件(例如.g. 事件日志文件，$MFT等.)，以便在其他工具中分析. Alternatively, Velociraptor已经包含了可以直接在端点上使用的大多数取证工件的广泛解析器.

大多数用户确实使用内置的取证解析和分析工件(55%)，但许多用户也收集原始文件(例如.g. via the Windows.Collection.KapeFiles artifact).

VQL artifacts

Velociraptor使用Velociraptor查询语言来执行收集和分析. The VQL is usually shared with the community via an artifact. Most users utilize the built-in artifacts as well as the 工件交换. 然而，超过60%的用户报告说他们也开发了自己的工件. For those users who develop their own artifacts, we asked about limitations and difficulties in this process.

出现的一个常见主题是调试工件，缺乏VQL调试器和更好的错误报告. 培训和文件也指出需要改进. 有人建议用更多的例子来增强文档，说明每个VQL插件在实践中是如何使用的.

与此相关的是，迅猛龙团队在 BlackHat 2023. 开发人员将传授有关如何部署Velociraptor和编写有效的自定义VQL的详细信息.

基于角色的访问控制

Velociraptor具有基于角色的访问控制(RBAC)机制，可以从管理员那里为用户分配角色, to investigator, to read-only access provided by the reader role. 用户普遍认为这个功能很有用——40%的用户认为它“一般有用”,20%“非常有用”，15%“非常有用”.主要的改进建议包括:

• Easier management through the GUI (as of version 0.6.8所有用户acl通过GUI管理)
• 具有更细粒度权限的自定义角色
• 更好的日志记录和审计
• 允许特定角色只运行预先批准的工件子集的能力
• 一种只运行签名/散列VQL的方法/防止恶意工件被放到服务器上
• Making it clearer what each permission grants the user

多租户支持

Velociraptor offers a fully multi-tenanted mode, 在哪里可以以最小的资源开销快速创建或退出组织. 25%的受访者使用了这个功能, 谁主要是使用它来支持多个客户的顾问和服务提供商. 有些公司使用多租户来分离业务的不同部门或子公司.

客户端监控和警报

Velociraptor可以在客户端上运行事件查询. 这些VQL查询连续运行，并在满足某些条件时将结果流式传输到服务器. 它们的常见用例是生成警报和增强检测.

一些用户经常部署客户机监视构件，而另一些用户则将其视为EDR工具的替代方案, 当这些可用时. 主要的用例分解是:

• Detection (e.g. alert when an anomalous event occurs): 27% of users
• 客户端事件的集合(例如.g. forward process event logs to an external system): 18% of users
• Remediation (e.g. quarantine or remove files automatically): 15% of users

→ 30% of users do not use client monitoring at all.

客户端监控最常见的痛点是缺乏集成警报功能(当前正在解决的问题). Some useful feedback on this feature included:

• Better support for integration with business tools (e.g.、Teams、Slack等.)
• 更容易管理事件数据
• Not having to build a server side artifact for each client_event artifact
• 列出所有警报的仪表板
• An easier way to forward alerts based on severity
• Lack of pre-built detection rules/packs—in other words, 调低音量会更容易, 而不是建立

隔离功能

Velociraptor can quarantine an endpoint by collecting the Windows.Remediation.Quarantine artifact. 该构件调整端点上的防火墙规则，以阻止所有外部网络通信，同时保持与Velociraptor主机的连接. This allows for an endpoint to be isolated during investigation.

这个功能相当受欢迎——大约30%的用户“有时使用”它，另外12%的用户“总是使用”它.

迅猛龙是如何部署的?

迅猛龙是一种非常轻量级的解决方案, typically taking a few minutes to provision a new deployment. 对于我们的许多用户来说, Velociraptor根据需要用于事件响应环境(46%). Other users prefer a more permanent deployment (25%).

对于更大的环境, Velociraptor also supports multi-server configuration (13% of users), 以及更传统的单服务器部署选项(70%的用户). 虽然有些用户利用了几天或更短时间的部署(13%), 大多数用户将他们的部署保留几周(27%)到几个月或永久(44%)。.

Velociraptor is designed to work efficiently with many endpoints. 我们建议在切换到多服务器架构之前，在单个服务器上最多有15-20k个端点(尽管用户报告在单个服务器上更大的部署规模成功)。. 在实践中，这种性能水平对于大多数用户来说是足够的.

许多用户运行的部署少于250个端点(44%)，而另外40%的用户部署到少于5个端点,000 endpoints.

Approximately 10% of users have deployment sizes larger than 25,000 endpoints, 有2%的用户超过100岁,000 endpoints.

流行的操作系统

Among Velociraptor’s supported operating systems, Windows 64位是最受欢迎的(82%的用户将其列为部署最多的操作系统类型), while Linux is the next most popular deployed endpoint OS. Mac is the third popular choice for Velociraptor’s users. Finally, 32-bit Windows systems are still prevalent, as well.

参考资料及参考资料

迅猛龙的网站是 http://docs.velociraptor.app/ 包含丰富的参考资料，培训课程和演示文稿. 我们还有一个活跃的 YouTube channel 有很多教学视频.

While some users ranked the website as “extremely useful” (25%), 显然还有改进的余地. 42%的用户只认为“非常有用”或“一般有用”(28%)。.改进建议包括:

• 更深入的YouTube视频分解了该工具的功能与工作流
• 更详细的“如何”与实际的例子
• Improved documentation about functions and plugins, with a slightly more detailed explanation and a small example
• Updates to the documentation to reflect the new versions and features

Testimonials

最后，我想和你们分享一些用户在调查中写下的评价. We are humbled with the encouraging and positive words we read, and are excited to be making an impact on the DFIR field:

• “我必须祝贺你，感谢你开发了这样一个神奇的工具. 这是DFIR的未来."
• “很棒的产品，等不及要在产品中使用它了!"
• “这将改变DFIR行业的游戏规则. 再接再厉."
• “保留基于文件系统的后端, its simplicity makes chain of custody/court submissions possible."
• “我非常喜欢迅猛龙. The team and community are absolutely fantastic. 我想说的是Mike和Matthew Green是我在这个行业中最喜欢的信息安全先生."
• “你们都很棒. 我觉得我太挑剔了, 但那是因为这是一个了不起的软件, and I want to see it continue to grow and improve."
• “自从Velociraptor发布以来，我们一直在将其部署到客户端环境中. 我们的DFIR业务模式完全以它为中心，它对我们来说非常有效. It is a great solution that just keeps getting better and better."

Conclusions

这是我们对迅猛龙的第一次社区调查，事实证明它非常有用. 因为迅猛龙是社区领导的, 开源项目, 我们需要一个对用户开放的反馈回路. 这有助于我们理解哪些地方需要改进，哪些特性应该优先考虑.

同时, 因为迅猛龙是一个开源项目, I hope this survey will inspire contributions from the community. 我们重视所有的贡献，从代码到文档、测试和bug报告.

最后，对于我们所有的美国用户，我们希望今年能在 BlackHat 2023! 加入我们，进行深入的迅猛龙培训，并与VQL一起学习4天, 学习实践, actionable skills and supporting this 开源项目.

Keep Digging!