Velociraptor: DFIR e endpoint monitoring con VQL

Velociraptor (luglio 2019) di Mike Cohen: strumento DFIR open source con linguaggio VQL, artifact DSL, hunt engine. AGPLv3. Acquisito da Rapid7 nel 2021, rimane open source.

Cyber SecurityOpen Source VelociraptorDFIREndpoint MonitoringVQLCyber SecurityOpen Source

Da GRR a Velociraptor

Mike Cohen, ex-Google, è stato tra gli autori principali di GRR Rapid Response — framework open source di Google per live forensics su larga scala. Dall’esperienza con GRR nasce l’esigenza di un motore più leggero, con linguaggio di interrogazione più espressivo e distribuzione semplificata.

Nel 2018 Mike Cohen avvia Velociraptor sotto la società Velocidex. La prima release pubblica avviene l’8 luglio 2019, sotto licenza AGPLv3. Nel 2021 Rapid7 acquisisce Velocidex; il progetto rimane open source con governance indirizzata da Rapid7 ma repository pubblico e contributori esterni attivi.

VQL, il linguaggio di query

Il cuore di Velociraptor è VQL (Velociraptor Query Language): linguaggio SQL-like per interrogare endpoint in tempo reale. VQL supporta query, plugin, funzioni e permette composizione di fonti di dati eterogenee (file system, registry Windows, eventi ETW, log, memoria).

Esempio concettuale:

SELECT OSPath, Mtime, Size
FROM glob(globs="C:/Windows/System32/**.exe")
WHERE NOT pe_parser(file=OSPath).Signature.Verified

Restituisce eseguibili in System32 con firma non verificata.

Artifact DSL

Gli artifact sono query VQL parametrizzate, versionate e riutilizzabili. La libreria pubblica Velociraptor Artifact Exchange contiene centinaia di artifact per:

  • triage forense (MFT, UsnJrnl, Prefetch, ShimCache, AmCache, Event Log, Registry hives)
  • detection (persistence mechanism, suspicious process tree, ATT&CK technique)
  • collection (memory dump via WinPMem integrato, file collection)

Il catalogo ufficiale è costantemente aggiornato dalla community e dal team di sviluppo.

Hunt engine e architettura server

Velociraptor ha architettura server–client (agent su endpoint, server centrale con UI web):

  • Hunt — esecuzione di un artifact su tutti o un subset di endpoint
  • Flow — esecuzione puntuale su un singolo endpoint
  • Event monitoring — artifact che emettono continuamente eventi (process creation, file events, ETW)

La comunicazione server↔client avviene via gRPC cifrato, con autenticazione a certificato. Il server gira su Linux o Windows; gli agent su Windows, Linux, macOS.

Casi d’uso DFIR

  • Live triage — raccolta artefatti forensi su un endpoint sospetto senza imaging completo
  • Enterprise hunt — ricerca di IoC (hash, TTPs) su migliaia di macchine
  • Continuous monitoring — artifact di detection sempre attivi (EDR-like)
  • Incident response — raccolta evidence strutturata, export verso timeline (Plaso, Timesketch)
  • Proactive hunting — job schedulati per anomalie note

Integrazione con altri tool

  • Sigma — conversione regole Sigma → artifact Velociraptor
  • YARA — scanning memoria e file con integrazione nativa
  • ELK, Splunk — export eventi via Kafka, HTTP, file
  • TheHive/Cortex — responder per raccolta evidence da case

Licenza e modello post-Rapid7

Dopo l’acquisizione del 2021 Velociraptor rimane AGPLv3, con il codice su GitHub e binari ufficiali distribuiti gratuitamente. Rapid7 offre supporto commerciale e integrazione con la propria piattaforma InsightIDR, ma l’uso open source non richiede licenza.

Nel contesto italiano

Velociraptor è utilizzato in:

  • DFIR team — raccolta forense rapida e remote
  • MSSP / SOC — hunt distribuito in assenza di EDR commerciale
  • CSIRT pubblici — risposta a incidenti su PA
  • Università — didattica forense e threat hunting

Tra i tool DFIR/EDR open source è uno dei più potenti per profondità di query e scalabilità, grazie al modello VQL e al design client-server solido.


Riferimenti: Velociraptor, autore Mike Cohen. Release pubblica iniziale 8 luglio 2019 (Velocidex). Licenza AGPLv3. Acquisizione di Velocidex da parte di Rapid7 nel 2021, progetto rimasto open source. Linguaggio VQL. Documentazione: https://docs.velociraptor.app.

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi