jpskill.com
🛠️ 開発・MCP コミュニティ

ir-velociraptor

Velociraptor Query Language(VQL)を活用し、組織内の複数端末を対象に、インシデント調査や脅威ハンティング、証拠収集、リアルタイム対応などを効率的に行い、セキュリティ侵害の兆候を早期に発見・対処するSkill。

📜 元の英語説明(参考)

Endpoint visibility, digital forensics, and incident response using Velociraptor Query Language (VQL) for evidence collection and threat hunting at scale. Use when: (1) Conducting forensic investigations across multiple endpoints, (2) Hunting for indicators of compromise or suspicious activities, (3) Collecting endpoint telemetry and artifacts for incident analysis, (4) Performing live response and evidence preservation, (5) Monitoring endpoints for security events, (6) Creating custom forensic artifacts for specific threat scenarios.

🇯🇵 日本人クリエイター向け解説

一言でいうと

Velociraptor Query Language(VQL)を活用し、組織内の複数端末を対象に、インシデント調査や脅威ハンティング、証拠収集、リアルタイム対応などを効率的に行い、セキュリティ侵害の兆候を早期に発見・対処するSkill。

※ jpskill.com 編集部が日本のビジネス現場向けに補足した解説です。Skill本体の挙動とは独立した参考情報です。

⚡ おすすめ: コマンド1行でインストール(60秒)

下記のコマンドをコピーしてターミナル(Mac/Linux)または PowerShell(Windows)に貼り付けてください。 ダウンロード → 解凍 → 配置まで全自動。

🍎 Mac / 🐧 Linux 
mkdir -p ~/.claude/skills && cd ~/.claude/skills && curl -L -o ir-velociraptor.zip https://jpskill.com/download/17030.zip && unzip -o ir-velociraptor.zip && rm ir-velociraptor.zip
🪟 Windows (PowerShell) 
$d = "$env:USERPROFILE\.claude\skills"; ni -Force -ItemType Directory $d | Out-Null; iwr https://jpskill.com/download/17030.zip -OutFile "$d\ir-velociraptor.zip"; Expand-Archive "$d\ir-velociraptor.zip" -DestinationPath $d -Force; ri "$d\ir-velociraptor.zip"

完了後、Claude Code を再起動 → 普通に「動画プロンプト作って」のように話しかけるだけで自動発動します。

💾 手動でダウンロードしたい(コマンドが難しい人向け)
  1. 1. 下の青いボタンを押して ir-velociraptor.zip をダウンロード
  2. 2. ZIPファイルをダブルクリックで解凍 → ir-velociraptor フォルダができる
  3. 3. そのフォルダを C:\Users\あなたの名前\.claude\skills\(Win)または ~/.claude/skills/(Mac)へ移動
  4. 4. Claude Code を再起動
⬇ .zip でダウンロード(推奨) ⬇ .skill 形式(上級者用) 元のソース ↗

⚠️ ダウンロード・利用は自己責任でお願いします。当サイトは内容・動作・安全性について責任を負いません。

🎯 このSkillでできること

下記の説明文を読むと、このSkillがあなたに何をしてくれるかが分かります。Claudeにこの分野の依頼をすると、自動で発動します。

📦 インストール方法 (3ステップ)

  1. 1. 上の「ダウンロード」ボタンを押して .skill ファイルを取得
  2. 2. ファイル名の拡張子を .skill から .zip に変えて展開(macは自動展開可)
  3. 3. 展開してできたフォルダを、ホームフォルダの .claude/skills/ に置く
    • · macOS / Linux: ~/.claude/skills/
    • · Windows: %USERPROFILE%\.claude\skills\

Claude Code を再起動すれば完了。「このSkillを使って…」と話しかけなくても、関連する依頼で自動的に呼び出されます。

詳しい使い方ガイドを見る →
最終更新
2026-05-18
取得日時
2026-05-18
同梱ファイル
12

📖 Skill本文(日本語訳)

※ 原文(英語/中国語)を Gemini で日本語化したものです。Claude 自身は原文を読みます。誤訳がある場合は原文をご確認ください。

Velociraptor インシデントレスポンス

概要

Velociraptor は、Velociraptor Query Language (VQL) を使用してホストベースの状態情報を収集するための、エンドポイントの可視化とフォレンジックのプラットフォームです。これは、Collect(標的を絞った証拠収集)、Monitor(継続的なイベントキャプチャ)、Hunt(プロアクティブな脅威ハンティング)の3つの主要なモードで動作します。

このスキルを使用するべき場合:

  • エンドポイントの証拠収集を必要とするアクティブなインシデントレスポンス
  • エンタープライズインフラストラクチャ全体での脅威ハンティング
  • デジタルフォレンジック調査とタイムライン分析
  • エンドポイントの監視と異常検出
  • 特定の脅威に対するカスタムフォレンジックアーティファクトの開発

クイックスタート

ローカルフォレンジックトリアージ (スタンドアロンモード)

# ご利用のプラットフォーム用の Velociraptor バイナリをダウンロード
# https://github.com/Velocidex/velociraptor/releases

# 対話的な調査のために GUI モードを実行
velociraptor gui

# https://127.0.0.1:8889/ で Web インターフェースにアクセス
# コンソール出力にデフォルトの管理者クレデンシャルが表示されます

エンタープライズサーバーのデプロイ

# サーバー構成を生成
velociraptor config generate > server.config.yaml

# サーバーを起動
velociraptor --config server.config.yaml frontend

# クライアント構成を生成
velociraptor --config server.config.yaml config client > client.config.yaml

# エンドポイント全体にクライアントをデプロイ
velociraptor --config client.config.yaml client

コアインシデントレスポンスワークフロー

ワークフロー 1: 初期侵害調査

進捗状況: [ ] 1. 影響を受けたエンドポイントと時間枠を特定する [ ] 2. 認証ログと疑わしいログインを収集する [ ] 3. プロセスの実行履歴とコマンドラインを収集する [ ] 4. ネットワーク接続アーティファクトを抽出する [ ] 5. 永続化メカニズム (スケジュールされたタスク、autoruns、サービス) を収集する [ ] 6. ファイルシステムの変更と疑わしいファイルを分析する [ ] 7. 必要に応じてメモリアーティファクトを抽出する [ ] 8. タイムラインを作成し、IOC を文書化する

各ステップを体系的に進めてください。完了した項目をチェックしてください。

主要な VQL アーティファクト:

  • Windows.EventLogs.RDP - リモートデスクトップ認証イベント
  • Windows.System.Pslist - 詳細な実行中のプロセス
  • Windows.Network.NetstatEnriched - プロセスコンテキストを持つネットワーク接続
  • Windows.Persistence.PermanentWMIEvents - WMI ベースの永続化
  • Windows.Timeline.Prefetch - プログラム実行タイムライン
  • Windows.Forensics.Timeline - 包括的なファイルシステムタイムライン

ワークフロー 2: 脅威ハンティングキャンペーン

進捗状況: [ ] 1. 脅威の仮説と IOC を定義する [ ] 2. 検出のためにカスタム VQL アーティファクトを選択または作成する [ ] 3. 関連するエンドポイントグループをターゲットとするハントを作成する [ ] 4. インフラストラクチャ全体でハントを実行する [ ] 5. 収集の進捗状況とエラーを監視する [ ] 6. 結果を分析し、肯定的な一致を特定する [ ] 7. 調査結果をトリアージし、確認された脅威をエスカレートする [ ] 8. TTP を文書化し、検出を更新する

各ステップを体系的に進めてください。完了した項目をチェックしてください。

一般的なハントシナリオ:

  • 水平展開の検出 (PsExec、WMI、リモートサービス)
  • Web サーバー上の Web シェルの識別
  • 疑わしいスケジュールされたタスクの発見
  • クレデンシャルダンプツールアーティファクト
  • 悪意のある PowerShell 実行パターン

ワークフロー 3: フォレンジックのための証拠収集

進捗状況: [ ] 1. 収集要件と範囲を文書化する [ ] 2. 必要なアーティファクトを使用してオフラインコレクターを作成する [ ] 3. ターゲットエンドポイントにコレクターをデプロイする [ ] 4. 収集を実行し、完了を確認する [ ] 5. 収集アーカイブを取得する [ ] 6. 証拠の整合性を検証する (ハッシュ) [ ] 7. 分析のためにフォレンジックプラットフォームにインポートする [ ] 8. カストディチェーンを文書化する

各ステップを体系的に進めてください。完了した項目をチェックしてください。

# オフラインコレクターを作成 (サーバーは不要)
velociraptor --config server.config.yaml artifacts collect \
  Windows.KapeFiles.Targets \
  Windows.EventLogs.Evtx \
  Windows.Registry.Sysinternals.Eulacheck \
  --output /path/to/collection.zip

# カスタムアーティファクト収集の場合
velociraptor artifacts collect Custom.Artifact.Name --args param=value

VQL クエリパターン

パターン 1: プロセス調査

疑わしいプロセスの実行パターンを検索します。

-- 異常な親子関係を持つプロセスを検索
SELECT Pid, Ppid, Name, CommandLine, Username, Exe
FROM pslist()
WHERE Name =~ "(?i)(powershell|cmd|wscript|cscript)"
  AND CommandLine =~ "(?i)(invoke|download|iex|bypass|hidden)"

パターン 2: ネットワーク接続分析

疑わしいネットワーク接続を特定します。

-- プロセスコンテキストを持つアクティブな接続
SELECT Laddr.IP AS LocalIP,
       Laddr.Port AS LocalPort,
       Raddr.IP AS RemoteIP,
       Raddr.Port AS RemotePort,
       Status, Pid,
       process_tracker_get(id=Pid).Name AS ProcessName,
       process_tracker_get(id=Pid).CommandLine AS CommandLine
FROM netstat()
WHERE Status = "ESTABLISHED"
  AND Raddr.IP =~ "^(?!10\\.)" -- 外部 IP のみ

パターン 3: ファイルシステムフォレンジック

疑わしいファイルの変更をタイムラインで表示します。

-- 疑わしい場所での最近のファイルの変更
SELECT FullPath, Size, Mtime, Atime, Ctime, Btime
FROM glob(globs="C:/Users/*/AppData/**/*.exe")
WHERE Mtime > timestamp(epoch=now() - 86400) -- 過去 24 時間
ORDER BY Mtime DESC

パターン 4: レジストリの永続化

レジストリベースの永続化をハントします。

-- 一般的な autorun レジストリキー
SELECT Key.Name AS RegistryKey,
       ValueName,
       ValueData
FROM read_reg_key(globs="HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/*")
WHERE ValueData =~ "(?i)(powershell|cmd|wscript|rundll32)"

包括的な VQL パターンと高度なクエリについては、references/vql-patterns.md を参照してください。

カスタムアーティファクトの開発

特定の調査ニーズに合わせてカスタム VQL アーティファクトを作成します。

name: Custom.Windows.SuspiciousProcess
description: |
  インシデントレスポンスのために疑わしい特性を持つプロセスを検出します。

parameters:
  - name: ProcessNameRegex
    default: "(?i)(powershell|cmd|wscript)"
    type: regex
  - name: CommandLineR
📜 原文 SKILL.md(Claudeが読む英語/中国語)を展開

Velociraptor Incident Response

Overview

Velociraptor is an endpoint visibility and forensics platform for collecting host-based state information using Velociraptor Query Language (VQL). It operates in three core modes: Collect (targeted evidence gathering), Monitor (continuous event capture), and Hunt (proactive threat hunting).

When to use this skill:

  • Active incident response requiring endpoint evidence collection
  • Threat hunting across enterprise infrastructure
  • Digital forensics investigations and timeline analysis
  • Endpoint monitoring and anomaly detection
  • Custom forensic artifact development for specific threats

Quick Start

Local Forensic Triage (Standalone Mode)

# Download Velociraptor binary for your platform
# https://github.com/Velocidex/velociraptor/releases

# Run GUI mode for interactive investigation
velociraptor gui

# Access web interface at https://127.0.0.1:8889/
# Default admin credentials shown in console output

Enterprise Server Deployment

# Generate server configuration
velociraptor config generate > server.config.yaml

# Start server
velociraptor --config server.config.yaml frontend

# Generate client configuration
velociraptor --config server.config.yaml config client > client.config.yaml

# Deploy clients across endpoints
velociraptor --config client.config.yaml client

Core Incident Response Workflows

Workflow 1: Initial Compromise Investigation

Progress: [ ] 1. Identify affected endpoints and timeframe [ ] 2. Collect authentication logs and suspicious logins [ ] 3. Gather process execution history and command lines [ ] 4. Extract network connection artifacts [ ] 5. Collect persistence mechanisms (scheduled tasks, autoruns, services) [ ] 6. Analyze file system modifications and suspicious files [ ] 7. Extract memory artifacts if needed [ ] 8. Build timeline and document IOCs

Work through each step systematically. Check off completed items.

Key VQL Artifacts:

  • Windows.EventLogs.RDP - Remote desktop authentication events
  • Windows.System.Pslist - Running processes with details
  • Windows.Network.NetstatEnriched - Network connections with process context
  • Windows.Persistence.PermanentWMIEvents - WMI-based persistence
  • Windows.Timeline.Prefetch - Program execution timeline
  • Windows.Forensics.Timeline - Comprehensive filesystem timeline

Workflow 2: Threat Hunting Campaign

Progress: [ ] 1. Define threat hypothesis and IOCs [ ] 2. Select or create custom VQL artifacts for detection [ ] 3. Create hunt targeting relevant endpoint groups [ ] 4. Execute hunt across infrastructure [ ] 5. Monitor collection progress and errors [ ] 6. Analyze results and identify positive matches [ ] 7. Triage findings and escalate confirmed threats [ ] 8. Document TTPs and update detections

Work through each step systematically. Check off completed items.

Common Hunt Scenarios:

  • Lateral movement detection (PsExec, WMI, remote services)
  • Webshell identification on web servers
  • Suspicious scheduled task discovery
  • Credential dumping tool artifacts
  • Malicious PowerShell execution patterns

Workflow 3: Evidence Collection for Forensics

Progress: [ ] 1. Document collection requirements and scope [ ] 2. Create offline collector with required artifacts [ ] 3. Deploy collector to target endpoint(s) [ ] 4. Execute collection and verify completion [ ] 5. Retrieve collection archive [ ] 6. Validate evidence integrity (hashes) [ ] 7. Import into forensic platform for analysis [ ] 8. Document chain of custody

Work through each step systematically. Check off completed items.

# Create offline collector (no server required)
velociraptor --config server.config.yaml artifacts collect \
  Windows.KapeFiles.Targets \
  Windows.EventLogs.Evtx \
  Windows.Registry.Sysinternals.Eulacheck \
  --output /path/to/collection.zip

# For custom artifact collection
velociraptor artifacts collect Custom.Artifact.Name --args param=value

VQL Query Patterns

Pattern 1: Process Investigation

Search for suspicious process execution patterns:

-- Find processes with unusual parent-child relationships
SELECT Pid, Ppid, Name, CommandLine, Username, Exe
FROM pslist()
WHERE Name =~ "(?i)(powershell|cmd|wscript|cscript)"
  AND CommandLine =~ "(?i)(invoke|download|iex|bypass|hidden)"

Pattern 2: Network Connection Analysis

Identify suspicious network connections:

-- Active connections with process context
SELECT Laddr.IP AS LocalIP,
       Laddr.Port AS LocalPort,
       Raddr.IP AS RemoteIP,
       Raddr.Port AS RemotePort,
       Status, Pid,
       process_tracker_get(id=Pid).Name AS ProcessName,
       process_tracker_get(id=Pid).CommandLine AS CommandLine
FROM netstat()
WHERE Status = "ESTABLISHED"
  AND Raddr.IP =~ "^(?!10\\.)" -- External IPs only

Pattern 3: File System Forensics

Timeline suspicious file modifications:

-- Recent file modifications in suspicious locations
SELECT FullPath, Size, Mtime, Atime, Ctime, Btime
FROM glob(globs="C:/Users/*/AppData/**/*.exe")
WHERE Mtime > timestamp(epoch=now() - 86400) -- Last 24 hours
ORDER BY Mtime DESC

Pattern 4: Registry Persistence

Hunt for registry-based persistence:

-- Common autorun registry keys
SELECT Key.Name AS RegistryKey,
       ValueName,
       ValueData
FROM read_reg_key(globs="HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows/CurrentVersion/Run/*")
WHERE ValueData =~ "(?i)(powershell|cmd|wscript|rundll32)"

For comprehensive VQL patterns and advanced queries, see references/vql-patterns.md

Custom Artifact Development

Create custom VQL artifacts for specific investigation needs:

name: Custom.Windows.SuspiciousProcess
description: |
  Detect processes with suspicious characteristics for incident response.

parameters:
  - name: ProcessNameRegex
    default: "(?i)(powershell|cmd|wscript)"
    type: regex
  - name: CommandLineRegex
    default: "(?i)(invoke|download|bypass)"
    type: regex

sources:
  - query: |
      SELECT Pid, Ppid, Name, CommandLine, Username, Exe, CreateTime
      FROM pslist()
      WHERE Name =~ ProcessNameRegex
        AND CommandLine =~ CommandLineRegex

Save artifacts in YAML format and import via Velociraptor UI or command line.

For artifact development guidance, see references/artifact-development.md

Security Considerations

  • Sensitive Data Handling: VQL queries can collect credentials, PII, and sensitive files. Implement data minimization - only collect necessary evidence. Use encryption for evidence transport and storage.

  • Access Control: Velociraptor server access provides significant endpoint control. Implement RBAC, audit all queries, and restrict administrative access. Use client certificates for authentication.

  • Audit Logging: All VQL queries, hunts, and collections are logged. Enable audit trail for compliance. Document investigation scope and approvals.

  • Compliance: Ensure evidence collection follows organizational policies and legal requirements. Document chain of custody for forensic investigations. Consider data sovereignty for multi-region deployments.

  • Operational Security: Velociraptor generates significant endpoint activity. Plan for network bandwidth, endpoint performance impact, and detection by adversaries during covert investigations.

Common Investigation Patterns

Pattern: Ransomware Investigation

  1. Identify patient zero endpoint
  2. Collect: Windows.Forensics.Timeline for file modification patterns
  3. Collect: Windows.EventLogs.Evtx for authentication events
  4. Hunt for: Lateral movement artifacts across network
  5. Hunt for: Scheduled tasks or services for persistence
  6. Extract: Ransomware binary samples for malware analysis
  7. Build: Timeline of infection spread and data encryption

Pattern: Data Exfiltration Detection

  1. Collect network connection history: Windows.Network.NetstatEnriched
  2. Identify large outbound transfers to unusual destinations
  3. Correlate with process execution and file access
  4. Hunt for: Compression tools or staging directories
  5. Examine: Browser downloads and cloud sync activities
  6. Review: DNS queries for tunneling or C2 domains
  7. Document: Data classification and breach scope

Pattern: Insider Threat Investigation

  1. Collect: User authentication and logon events
  2. Track: USB device connections and file transfers
  3. Monitor: Sensitive file access patterns
  4. Review: Email and browser history (with authorization)
  5. Analyze: Print spooler activity for document printing
  6. Examine: Cloud storage access and uploads
  7. Build: User activity timeline with behavioral anomalies

Integration Points

  • SIEM Integration: Export VQL results to Splunk, Elastic, or other SIEM platforms for correlation
  • Threat Intel Platforms: Enrich IOCs with TIP integrations via VQL plugins
  • SOAR Platforms: Trigger automated Velociraptor hunts from SOAR playbooks
  • Forensic Suites: Import Velociraptor collections into X-Ways, Autopsy, or EnCase
  • EDR Interoperability: Complement EDR with custom VQL detections and forensic depth

Troubleshooting

Issue: High CPU Usage During Collection

Solution:

  • Limit concurrent VQL queries using rate() function
  • Reduce glob scope to specific directories
  • Use --ops_per_second limit when creating offline collectors
  • Schedule resource-intensive hunts during maintenance windows

Issue: Client Not Reporting to Server

Solution:

  • Verify network connectivity and firewall rules (default: TCP 8000)
  • Check client logs: velociraptor --config client.config.yaml logs
  • Validate client certificate and enrollment status
  • Ensure server frontend is running and accessible

Issue: VQL Query Returns No Results

Solution:

  • Test query in local notebook mode first
  • Verify filesystem paths use correct syntax (forward slashes)
  • Check plugin availability on target OS
  • Use log() function to debug query execution
  • Review client event logs for permission errors

Bundled Resources

Scripts (scripts/)

  • vql_query_builder.py - Generate common VQL queries from templates
  • artifact_validator.py - Validate custom artifact YAML syntax
  • evidence_collector.sh - Automate offline collector deployment

References (references/)

  • vql-patterns.md - Comprehensive VQL query patterns for common IR scenarios
  • artifact-development.md - Guide to creating custom forensic artifacts
  • mitre-attack-mapping.md - MITRE ATT&CK technique detection artifacts
  • deployment-guide.md - Enterprise server deployment and architecture

Assets (assets/)

  • artifact-template.yaml - Template for custom artifact development
  • hunt-template.yaml - Hunt configuration template with best practices
  • offline-collector-config.yaml - Offline collector configuration example

References

同梱ファイル

※ ZIPに含まれるファイル一覧。`SKILL.md` 本体に加え、参考資料・サンプル・スクリプトが入っている場合があります。