Seminar / Training
Beschreibung
Dieses Seminar konzentriert sich auf die technische Arbeit mit der Velociraptor Query Language und auf den Aufbau belastbarer Artefakte. VQL ist der Kern vieler Untersuchungen: Ohne saubere Abfragen entstehen nur Datenhaufen, aber keine verwertbaren Befunde. Deshalb wird von einfachen Select-Abfragen bis zu parametrisierbaren Artefakten Schritt für Schritt gearbeitet.
Behandelt werden Datenquellen, Plugins, Funktionen, Scopes, Parameter, YAML-Strukturen, Ergebnisformate und typische Performance-Fallen. Die Teilnehmenden lernen, vorhandene Artefakte zu bewerten, anzupassen und eigene Artefakte so zu schreiben, dass sie wiederverwendbar, nachvollziehbar und teamfähig bleiben.
Geeignete Zielgruppe
- DFIR-Teams mit Bedarf an eigenen Abfragen und Artefakten
- Threat Hunter, die IOC- und TTP-basierte Suchen umsetzen
- SOC Engineers, die wiederholbare Collections statt Einzelfallskripte benötigen
- Analysten, die vorhandene Community-Artefakte fachlich prüfen möchten
Lernziele
- VQL-Syntax und Ausführungsmodell sicher verstehen
- Artefakte lesen, strukturieren und parametrieren
- Collections gezielt vorbereiten und auswerten
- Fehler in Abfragen, Typen und Pfaden systematisch finden
- Performance und Datensparsamkeit bei großen Umgebungen berücksichtigen
- Artefakte dokumentieren und kontrolliert wiederverwenden
Inhaltsübersicht
- VQL-Grundlagen: Tabellenmodell, Plugins, Funktionen, Filter und Scopes
- Artefaktstruktur: YAML, Parameter, Quellen, Spalten und Beschreibung
- Windows-, Linux- und macOS-nahe Datenquellen für typische DFIR-Fragen
- Collections, Ergebnisdaten, Exporte und Nachvollziehbarkeit
- Fehleranalyse: leere Ergebnisse, Berechtigungen, Pfade, Typen und Zeitstempel
- Performance: Einschränkung von Suchräumen, Sampling, Timeouts und Ergebnisgrößen
- Qualitätssicherung: Testdaten, Review, Namenskonventionen und Versionierung
Praxisübungen
- Einfache VQL-Abfragen erstellen und schrittweise erweitern
- Ein vorhandenes Artefakt analysieren und sicher anpassen
- Parameter für unterschiedliche Untersuchungsfälle einbauen
- Ergebnisse validieren und Fehlinterpretationen vermeiden
- Ein eigenes Artefakt für einen konkreten DFIR-Anwendungsfall schreiben
- Artefaktdokumentation und Review-Kriterien erstellen
Abgrenzung
Das Seminar behandelt VQL und Artefakte vertieft, setzt aber keine vollständige Plattformadministration voraus. Installation und Enterprise-Betrieb werden nur soweit betrachtet, wie sie für Abfragen und Collections notwendig sind.
Seminar und Anbieter vergleichen
Öffentliche Schulung
Diese Seminarform ist auch als Präsenzseminar bekannt und bedeutet, dass Sie in unseren Räumlichkeiten von einem Trainer vor Ort geschult werden. Jeder Teilnehmer hat einen Arbeitsplatz mit virtueller Schulungsumgebung. Öffentliche Seminare werden in deutscher Sprache durchgeführt, die Unterlagen sind teilweise in Englisch.
Inhausschulung
Diese Seminarform bietet sich für Unternehmen an, welche gleiche mehrere Teilnehmer gleichzeitig schulen möchten. Der Trainer kommt zu Ihnen ins Haus und unterrichtet in Ihren Räumlichkeiten. Diese Seminare können in Deutsch - bei Firmenseminaren ist auch Englisch möglich gebucht werden.
Webinar
Diese Art der Schulung ist geeignet, wenn Sie die Präsenz eines Trainers nicht benötigen, nicht Reisen können und über das Internet an einer Schulung teilnehmen möchten.
Fachbereichsleiter / Leiter der Trainer / Ihre Ansprechpartner
-
Michael Adler
Telefon: + 41 (800) 225127
E-Mail: michael.adler@seminar-experts.ch -
Stefano Conti
Telefon: + 41 (800) 225127
E-Mail: stefano.conti@seminar-experts.ch
Seminardetails
| Dauer: | 3 Tage ca. 6 h/Tag, Beginn 1. Tag: 10:00 Uhr, weitere Tage 09:00 Uhr |
| Preis: |
Öffentlich und Webinar: CHF 1.797 zzgl. MwSt. Inhaus: CHF 5.100 zzgl. MwSt. |
| Teilnehmeranzahl: | min. 2 - max. 8 |
| Teilnehmer: | DFIR-Analysten, Threat Hunter, SOC Engineers, Incident Responder |
| Voraussetzungen: | Praktische Erfahrung mit Betriebssystemartefakten, Grundverständnis von Forensik und idealerweise erste Berührung mit Velociraptor oder SQL-ähnlichen Abfragen. |
| Standorte: | Basel, Bern, Luzern, Sankt Gallen, Winterthur, Zürich |
| Methoden: | Vortrag, Demonstrationen, praktische Übungen am System |
| Seminararten: | Öffentlich, Webinar, Inhaus, Workshop - Alle Seminare mit Trainer vor Ort, Webinar nur wenn ausdrücklich gewünscht |
| Durchführungsgarantie: | ja, ab 2 Teilnehmern |
| Sprache: | Deutsch - bei Firmenseminaren ist auch Englisch möglich |
| Seminarunterlage: | Dokumentation auf Datenträger oder als Download |
| Teilnahmezertifikat: | ja, selbstverständlich |
| Verpflegung: | Kalt- / Warmgetränke, Mittagessen (wahlweise vegetarisch) |
| Support: | 3 Anrufe im Seminarpreis enthalten |
| Barrierefreier Zugang: | an den meisten Standorten verfügbar |
| Weitere Informationen unter +41 (800) 225127 |
Seminartermine
Die Ergebnissliste kann durch Anklicken der Überschrift neu sortiert werden.
