EN Contattaci

Velociraptor: DFIR e endpoint monitoring con VQL

Velociraptor (luglio 2019) di Mike Cohen: strumento DFIR open source con linguaggio VQL, artifact DSL, hunt engine. AGPLv3. Acquisito da Rapid7 nel 2021, rimane open source.

Cyber SecurityOpen Source
Cyber SecurityOpen Source VelociraptorDFIREndpoint MonitoringVQLCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Da GRR a Velociraptor

Mike Cohen, ex-Google, è stato tra gli autori principali di GRR Rapid Response — framework open source di Google per live forensics su larga scala. Dall’esperienza con GRR nasce l’esigenza di un motore più leggero, con linguaggio di interrogazione più espressivo e distribuzione semplificata.

Nel 2018 Mike Cohen avvia Velociraptor sotto la società Velocidex. La prima release pubblica avviene l’8 luglio 2019, sotto licenza AGPLv3. Nel 2021 Rapid7 acquisisce Velocidex; il progetto rimane open source con governance indirizzata da Rapid7 ma repository pubblico e contributori esterni attivi.

VQL, il linguaggio di query

Il cuore di Velociraptor è VQL (Velociraptor Query Language): linguaggio SQL-like per interrogare endpoint in tempo reale. VQL supporta query, plugin, funzioni e permette composizione di fonti di dati eterogenee (file system, registry Windows, eventi ETW, log, memoria).

Esempio concettuale:

SELECT OSPath, Mtime, Size
FROM glob(globs="C:/Windows/System32/**.exe")
WHERE NOT pe_parser(file=OSPath).Signature.Verified

Restituisce eseguibili in System32 con firma non verificata.

Artifact DSL

Gli artifact sono query VQL parametrizzate, versionate e riutilizzabili. La libreria pubblica Velociraptor Artifact Exchange contiene centinaia di artifact per:

  • triage forense (MFT, UsnJrnl, Prefetch, ShimCache, AmCache, Event Log, Registry hives)
  • detection (persistence mechanism, suspicious process tree, ATT&CK technique)
  • collection (memory dump via WinPMem integrato, file collection)

Il catalogo ufficiale è costantemente aggiornato dalla community e dal team di sviluppo.

Hunt engine e architettura server

Velociraptor ha architettura server–client (agent su endpoint, server centrale con UI web):

  • Hunt — esecuzione di un artifact su tutti o un subset di endpoint
  • Flow — esecuzione puntuale su un singolo endpoint
  • Event monitoring — artifact che emettono continuamente eventi (process creation, file events, ETW)

La comunicazione server↔client avviene via gRPC cifrato, con autenticazione a certificato. Il server gira su Linux o Windows; gli agent su Windows, Linux, macOS.

Casi d’uso DFIR

  • Live triage — raccolta artefatti forensi su un endpoint sospetto senza imaging completo
  • Enterprise hunt — ricerca di IoC (hash, TTPs) su migliaia di macchine
  • Continuous monitoring — artifact di detection sempre attivi (EDR-like)
  • Incident response — raccolta evidence strutturata, export verso timeline (Plaso, Timesketch)
  • Proactive hunting — job schedulati per anomalie note

Integrazione con altri tool

  • Sigma — conversione regole Sigma → artifact Velociraptor
  • YARA — scanning memoria e file con integrazione nativa
  • ELK, Splunk — export eventi via Kafka, HTTP, file
  • TheHive/Cortex — responder per raccolta evidence da case

Licenza e modello post-Rapid7

Dopo l’acquisizione del 2021 Velociraptor rimane AGPLv3, con il codice su GitHub e binari ufficiali distribuiti gratuitamente. Rapid7 offre supporto commerciale e integrazione con la propria piattaforma InsightIDR, ma l’uso open source non richiede licenza.

Nel contesto italiano

Velociraptor è utilizzato in:

  • DFIR team — raccolta forense rapida e remote
  • MSSP / SOC — hunt distribuito in assenza di EDR commerciale
  • CSIRT pubblici — risposta a incidenti su PA
  • Università — didattica forense e threat hunting

Tra i tool DFIR/EDR open source è uno dei più potenti per profondità di query e scalabilità, grazie al modello VQL e al design client-server solido.

Riferimenti: Velociraptor, autore Mike Cohen. Release pubblica iniziale 8 luglio 2019 (Velocidex). Licenza AGPLv3. Acquisizione di Velocidex da parte di Rapid7 nel 2021, progetto rimasto open source. Linguaggio VQL. Documentazione: https://docs.velociraptor.app.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi