< Zurück
Blog

Die neue Frontlinie: Wie agentische KI die Effizienz von SOC revolutioniert

Im Security Operations Center (SOC) ist Zeit nicht nur wertvoll, sie ist alles. Der Unterschied zwischen ein paar Minuten und ein paar Stunden kann bedeuten, dass ein Angreifer mitten in der Aufklärungsphase gestoppt oder nach einem umfassenden Einbruch aufgeräumt wird. Deshalb ist Agentic AI nicht nur eine Checkbox-Funktion, sondern eine Frontline-Fähigkeit, die einen echten Mehrwert bietet, wenn sie von einem MXDR-Partner aktiv in realen Operationen eingesetzt wird.

Während viele MDR-Anbieter jetzt damit beginnen sprechen über Agentic AI, Ontinue wurde Operationalisierung Wir haben es seit Dezember in unseren globalen Kundenumgebungen in der Produktion eingesetzt. Wir haben Monate damit verbracht, es zu verfeinern, es zu lehren und seine Ergebnisse in Live-Ereignissen zu validieren. Das ist keine Theorie. Es wird von unseren SOC-Analysten jeden Tag getestet, abgestimmt und für gut befunden.

Was wir früher taten (und warum es ein Problem war)

Vor der Einführung von Agentic AI erforderte die Untersuchung eines einzelnen Alarms oft eine Reihe von manuellen Abfragen: Wer ist der Benutzer? Was ist seine Rolle? Wurde er schon einmal angegriffen? Wird dieses Gerät normalerweise von ihm verwendet? Haben wir dieses Verhalten in letzter Zeit in der Umgebung gesehen?

Selbst mit Automatisierung war dies zeitaufwändig und inkonsistent. Wenn Analysten Hunderte von Alarmen pro Tag bearbeiten, wird der Kontext oft übergangen, was zu langsameren Eskalationen oder, schlimmer noch, zu übersehenen Bedrohungen führt.

Für Unternehmen, die versuchen, eine SOC intern zu betreiben, stellt dies eine große Herausforderung in Bezug auf Ressourcen und Personal dar. Der Aufbau und Betrieb einer 24/7-Erkennungs- und Reaktionsfunktion erfordert nicht nur Tools, sondern auch qualifizierte Analysten, ausgereifte Prozesse und ständige Anpassungen. Viele Sicherheitsteams verfügen einfach nicht über das Budget, den Umfang oder die Bandbreite, um dieses Maß an Komplexität allein zu bewältigen.

Aus diesem Grund wenden sich immer mehr Unternehmen an MDR- und MXDR-Partner, um sich zu entlasten - und warum die rechts Partner ist wichtig. Ein ausgereifter MXDR-Anbieter, der Agentic AI tief in seine Abläufe integriert, erweitert nicht nur Ihr Team, sondern hilft Ihnen, schneller zu agieren, intelligenter zu reagieren und sich einen Vorteil in einer Bedrohungslandschaft zu verschaffen, in der Geschwindigkeit alles ist.

A SANS 2024 SOC Umfrage festgestellt, dass 66% der SOC-Teams angeben, dass die Menge der eingehenden Warnmeldungen ihre Reaktionsfähigkeit übersteigt. Diese Zahl deckt sich mit unserer eigenen Erfahrung. Ohne die Möglichkeit der Voreinteilung und Anreicherung von Warnmeldungen - in großem Umfang - können selbst die fähigsten Analysten überfordert sein. Genau hier macht Agentic AI den Unterschied.

Wie agentenbasierte KI das Spiel verändert

Agentische KI ist nicht nur eine weitere Automatisierungsschicht. Sie ist darauf ausgelegt, eigenständig zu handeln und relevante Benutzer-, Geräte- und historische Daten zusammenzuführen, um eine Geschichte zu erzählen, bevor ein Analyst eingreift. So sieht das in der Praxis aus:

Bewusstsein für die Benutzerrolle

Wenn wir einen Alarm erhalten, identifiziert Agentic AI sofort den betroffenen Benutzer, in welcher Abteilung er tätig ist, ob seine Rolle Reisen oder Fernzugriff beinhaltet und wie ein “normales” Muster für ihn aussieht.

Das ist wichtig. Wenn sich zum Beispiel ein Marketing-Benutzer innerhalb einer Woche von mehreren Standorten aus anmeldet, ist das vielleicht normal. Aber wenn sich ein Finanzadministrator plötzlich von einer unbekannten IP-Adresse in einem Land anmeldet, von dem aus er noch nie zugegriffen hat, ist das ein Warnsignal.

Geräteverhalten und Verlauf

Die KI untersucht die Geräteaktivität der letzten 7-30 Tage. Hat sich das Gerät zuvor mit verdächtigen Domänen verbunden? Hatte es bereits eine Malware-Warnung? Wurde es kürzlich in einer Phishing-Kampagne markiert?

Da die Historie sofort ersichtlich ist, können die Analysten das Risiko mit viel größerer Sicherheit einschätzen.

Vorfallskorrelation und Vertrauenswürdigkeitsprüfung

Agentic AI wertet aus, wie ähnliche Warnungen bei anderen Kunden gehandhabt wurden. Wenn ein Alarmtyp in 90% von Fällen als echtes Positiv bestätigt wurde, insbesondere wenn es sich um denselben Malware-Stamm oder dieselbe Taktik handelt, wird dieser Vertrauenswert in den aktuellen Fall übernommen.

Das ist enorm. Anstatt bei Null anzufangen, beginnen unsere Analysten mit einem datengestützten Urteil, das oft durch Dutzende früherer Vorfälle gestützt wird.

So sieht es im SOC aus

Kürzlich sahen wir eine Warnung, die zunächst wie Phishing aussah, aber Agentic AI ging der Sache auf den Grund und korrelierte die Aktivität des Benutzers mit einer zuvor gezielten Phishing-Kampagne, entdeckte die Ausführung von JavaScript auf der Landing Page und zeigte die Installation von Malware auf dem Gerät an.

Noch bevor der Analyst den Fall eröffnete, hatte das System bereits herausgefunden, dass es sich nicht nur um eine Phishing-E-Mail handelte, sondern um einen mehrstufigen Angriff, der im Gange war. Dank dieser frühzeitigen Erkennung konnten wir innerhalb von Minuten automatische Maßnahmen ergreifen, das Gerät eindämmen und den Kunden benachrichtigen.

Laut dem IBM Cost of a Data Breach Report 2024 verkürzen Unternehmen, die KI und Automatisierung umfassend nutzen, die Lebenszyklen von Datenschutzverletzungen um durchschnittlich 108 Tage im Vergleich zu Unternehmen, die dies nicht tun. Wir haben ähnliche Ergebnisse gesehen. Was früher 20-30 Minuten dauerte, kann heute in 5-10 Minuten erledigt werden, manchmal sogar automatisch.

Analysten + Agenten-KI = Bessere und schnellere Entscheidungen

Die Bedeutung von Agentic AI für mein Team ist folgendermaßen:

  • Weniger Lärm: Durch Vorfilterung irrelevanter oder gutartiger Warnmeldungen.
  • Schnelleres Handeln: Weil der Kontext von Anfang an bereit ist.
  • Stärkeres Vertrauen: Dank der Mustererkennung und historischer Erkenntnisse.
  • Bessere Eskalation: Weil unsere Empfehlungen durch Daten untermauert sind.

Vor allem aber können sich unsere Analysten auf die schwierigen Probleme konzentrieren - die Zero-Days, die neuartigen Verhaltensweisen, die kreativen Anomalien. Wir reagieren nicht nur schneller, wir sind auch schneller.

Agentische KI ersetzt nicht das menschliche Urteilsvermögen. Sie verbessert es. Sie nimmt den Analysten die sich wiederholende, kontextbezogene Arbeit ab, damit sie kritisch denken und entschlossen handeln können.

In der heutigen Bedrohungslandschaft sind Geschwindigkeit und Klarheit alles. Agentische KI bietet beides, und deshalb wird sie zur ersten Verteidigungslinie in der modernen SOC.

Teilen

Artikel von

Biren Patel

Senior Manager, Amerika SOC

Biren Patel ist Senior Manager bei Ontinue und leitet das SOC-Team in Amerika.

Schlüsselwörter

Verwandte Artikel

Eine Nahaufnahme mit dem Wort 'PASSWORD' in weißer Schrift, umgeben von Binärcode (Nullen und Einsen) auf blauem Hintergrund, die auf Themen wie Cybersicherheit und Datenschutz hinweist.
Blog
10 Milliarden Passwörter sind durchgesickert. Warum es keine Rolle spielt, wenn Sie die Sicherheit richtig handhaben

Weiterlesen >
Ein Mann mit Brille und kurzen Haaren sitzt an einem Schreibtisch in einer schwach beleuchteten Umgebung und wirkt gestresst, während er sich die Stirn hält und an einem Laptop arbeitet. Er scheint sich auf den Bildschirm zu konzentrieren, was auf die Komplexität der Aufgabe hindeutet, die mit der Suche nach einem Managed Security Partner zusammenhängt.
Webinar
3 häufige Fallstricke, die Sie bei der Auswahl eines Managed Security Partners vermeiden sollten

Webinar ansehen >
Ein Paar Hände, die zwei braune Imbissschachteln austauschen, mit einem Logo-Overlay, das die Buchstaben 'acr' enthält. Der Hintergrund hat einen weichen Übergang von Lila zu Weiß.
Kundenbericht
ACR

Weiterlesen >
Eine digitale Darstellung eines Mikrochips auf einem gemusterten Leiterplattenhintergrund, mit dem Text "AGENTIC AI" in der Mitte.
Blog
Vertrauen in KI aufbauen: Wie agentenbasierte KI den Sicherheitsdienst verändert

Weiterlesen >
Eine Person, die ihre Anmeldedaten über ein Touchscreen-Tablet eingibt, mit einem Schloss-Symbol auf dem Bildschirm. Daneben liegt ein Smartphone, auf dem eine Bestätigungsaufforderung angezeigt wird. Dies veranschaulicht, wie Cyberkriminelle integrierte Microsoft-Tools ausnutzen.
Blog
Integrierte Bedrohungen: Wie Cyberkriminelle Microsoft-Tools zu Angriffsvektoren machen

Weiterlesen >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Verteidigen Sie Ihre Zeit: Anwendung von Agentic AI auf SecOps (Teil 3 von 3)

Weiterlesen >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Verteidigen Sie Ihre Zeit: Anwendung von agentenbasierter KI auf SecOps (Teil 1 von 3)

Weiterlesen >
Podcast-Cover mit einem Mikrofon-Symbol auf einem violetten Hintergrund mit Farbverlauf. Der Text lautet 'Microsoft Security Tips' und 'Defend Your Time Podcast'.
Blog
Verteidigen Sie Ihre Zeit: Anwendung von Agentic AI auf SecOps (Teil 2 von 3)

Weiterlesen >