I denna studie undersöks hur det forensiska verktyget Velociraptor kan användas för att identifiera och hantera säkerhetsincidenter i linje med NIST Cybersecurity Framework. Genom en simulerad Trigona ransomware attack i en kontrollerad labbmiljö testades Velociraptors funktioner för detektion, isolering och artefaktinsamling. Med hjälp av skräddarsydda VQL skript skapades hunts som detekterade indikatorer på kompromettering (IoCs), inklusive RDP sessioner, batchfiler och verktyg för dataexfiltration. När dessa upptäcktes användes Velociraptor för att isolera drabbade klienter och exportera forensiska data för vidare analys. Resultaten visar att Velociraptor effektivt stödjer funktionerna detect, respond, protect och identify samt i viss utsträckning recover. Studien bidrar med empirisk insikt i hur DFIR verktyg kan operationalisera säkerhetsramverk och förbättra incidentrespons, särskilt i miljöer med begränsade resurser.

This study examines how the forensic tool Velociraptor can be applied to detect and manage security incidents in alignment with the NIST Cybersecurity Framework. A simulated Trigona ransomware attack was conducted in a controlled lab environment to evaluate Velociraptor's capabilities for detection, isolation, and artifact collection. Custom VQL scripts were developed to create hunts that identified indicators of compromise (IoCs), such as RDP sessions, batch files, and data exfiltration tools. Once detected, Velociraptor was used to isolate affected clients and export forensic data for further analysis. The results demonstrate that Velociraptor effectively supports detect, respond, protect, identify functions, and to some extent recover. The study offers empirical insight into how DFIR tools can operationalize cybersecurity frameworks and enhance incident response, particularly in resource constrained environments.