Seminar Rapid7 Velociraptor

Einordnung der Seminarreihe

Velociraptor wird in SOC-, DFIR- und Incident-Response-Umgebungen eingesetzt, um Endpoints sichtbar zu machen, gezielt Beweisdaten zu sammeln, Hunts über mehrere Systeme auszuführen und Untersuchungen wiederholbar zu gestalten. Die Seminarreihe trennt bewusst zwischen Überblick, Grundlagen, Administration, VQL-Arbeit, Threat Hunting, Incident Response und Enterprise-Betrieb. Das verhindert den üblichen Werkzeugkoffer-Fehler: alles besitzen, aber im Ernstfall nicht wissen, welches Fach geöffnet werden muss.

Empfohlene Besuchsreihenfolge

1. Überblick: kurzer Einstieg für Verantwortliche und Projektplanung
2. Grundlagen: Bedienung, Collections, VFS und erste Hunts
3. Administration und Deployment: produktionsnaher Aufbau und sicherer Betrieb
4. Artefakte und VQL: eigene Abfragen und wiederholbare DFIR-Arbeit
5. Threat Hunting und Detection Engineering: proaktive Suche und Validierung
6. DFIR und Incident Response Praxis: Fallarbeit, Triage, Beweissicherung und Befunde
7. Automatisierung und Enterprise Operations: Runbooks, Notebooks und Betriebsintegration
8. Kompaktseminar: verdichtete Alternative für Teams mit drei Tagen Zeit
9. Intensivtraining: vollständige Verdichtung aller Themen in maximal fünf Tagen

Auswahl nach Rolle

• Verantwortliche und Architekten beginnen mit dem Überblick und entscheiden danach über Grundlagen oder Intensivtraining.
• Administratoren starten nach den Grundlagen mit Administration und Deployment.
• Analysten und Incident Responder kombinieren Grundlagen, Artefakte und VQL, Threat Hunting sowie DFIR-Praxis.
• SOC- und Enterprise-Teams ergänzen Automatisierung und Enterprise Operations, sobald die Grundprozesse stabil sind.
• Bei begrenztem Zeitfenster ersetzt das Kompaktseminar nicht alle Vertiefungen, liefert aber eine solide Arbeitsbasis.

Hinweis zur Seminarwahl

Das Intensivtraining fasst alle Einzelthemen in fünf Tagen zusammen. Für Teams mit heterogenen Vorkenntnissen ist das Grundlagenseminar vor einem Spezialkurs oft die bessere Reihenfolge. Für bereits erfahrene DFIR-Teams kann direkt mit VQL, Threat Hunting oder Incident-Response-Praxis gestartet werden.