Ein Leitfaden zur Orchestrierung von End-to-End-Ermittlungen mit KI

Ein Leitfaden zur Orchestrierung von End-to-End-Ermittlungen mit KI

Wenn Sie diese Serie verfolgt haben, wissen Sie, dass wir bereits zwei Agenten von Swimlane vorgestellt haben. Helden-KI Bisherige Flotte: die MITRE ATT&CK & D3FEND Agent das standardisiert, wie man Angriffe und Verteidigungen beschreibt, und die Agent für Bedrohungsanalyse das Informationen aus verschiedenen Quellen zu einer einzigen, nachvollziehbaren Bewertung zusammenfasst. 

Beide Akteure lösen reale Probleme, aber sie liefern lediglich Input. Sie schaffen Kontext. Was dann, angesichts dieses Kontextes, geschieht, entscheidet darüber, ob Ermittlungen erfolgreich sind oder scheitern.

Hier befindet sich die Ermittlungsbeamter Dann kommt der nächste Punkt ins Spiel, und ehrlich gesagt ist das der Punkt, auf den ich mich am meisten freue, denn hier hört das Flottenkonzept auf, theoretisch zu sein, und beginnt, durchgängige Ergebnisse zu erzielen. 

Hier wird progressives Vertrauen konkret. Wenn ein Agent Indikatoren anreichert oder ATT&CK-Techniken anwendet, sind die Auswirkungen eines Fehlers gering. Wenn ein Agent jedoch einen Ermittlungsplan erstellt, einen Zeitplan generiert und Eindämmungsmaßnahmen empfiehlt, sieht die Sache ganz anders aus. 

Die Messlatte liegt höher, es steht mehr auf dem Spiel, und Vertrauen muss anders verdient werden.

Aber das ist der entscheidende Punkt: Dieser Agent ermöglicht das Ergebnis, das sich jeder SOC-Leiter wünscht, indem er die offensichtlichen Dinge automatisch und zuverlässig schließt, sodass sich Ihr Team auf das Wesentliche konzentrieren kann.

Die Kontextwechselsteuer

Bevor wir darauf eingehen, wie die Helden-KI Investigation Agent funktioniert, lasst uns über das Problem sprechen, das es löst, denn ich denke, es ist einer der am meisten unterschätzten Produktivitätskiller im Bereich der Sicherheitsoperationen.

Wenn ein Alarm ausgelöst wird und ein Analyst mit den Ermittlungen beginnt, beschränkt er sich nicht nur auf eine einzige Aufgabe. 

• Sie extrahieren den Kontext der Warnmeldungen aus dem SIEM-System. Sie überprüfen die Threat-Intelligence-Plattform (TI-Plattform) auf die Reputation der Indikatoren. 
• Sie prüfen die bisherigen Tickets, um festzustellen, ob dieser Gastgeber oder Benutzer schon einmal aufgetreten ist. 
• Sie ziehen das MITRE-Framework zu Rate, um das Angriffsmuster zu verstehen. 
• Sie konsultieren das Handbuch, um zu sehen, wie das dokumentierte Reaktionsverfahren aussieht.
• Sie machen sich währenddessen Notizen. Und dann geben sie, basierend auf all dieser Arbeit, eine Empfehlung ab, eskalieren, grenzen den Fall ein oder schließen ihn ab.

Jeder dieser Schritte findet in einem anderen Tool, Tab oder Workflow statt. Der Analyst bildet die Integrationsschicht, und der Preis für diese Integration sind die ständigen Kontextwechsel. Jedes Mal, wenn er zwischen Tools wechselt, verliert er an Dynamik. Er muss sich neu orientieren, erneut lesen und den Kontext neu verstehen. 

Das Umschalten kann 20 bis 401 Tsd. produktive Arbeitszeit in Anspruch nehmen, und nach meiner Erfahrung in der Leitung von SOC-Teams ist das für Untersuchungsarbeiten eine konservative Schätzung.

Der Investigation Agent beseitigt diese Belastung, indem er die Aufgaben eines Senior Analysten übernimmt, jedoch über eine einzige Benutzeroberfläche, ohne den kognitiven Aufwand des ständigen Wechselns zwischen verschiedenen Tools.

Wie der Ermittler arbeitet

Der Ermittlungsagent fungiert als das “Gehirn” des KI-SOC, Diese Herangehensweise ergibt durchaus Sinn, wenn man die Funktionsweise betrachtet. Das System arbeitet nicht isoliert; es verarbeitet die hochpräzisen Daten der drei anderen Agenten der Flotte und synthetisiert sie zu einer vollständigen Untersuchung.

Arbeitsablauf der Ermittlungs- und Einsatzkräfte

Der Agent beginnt mit dem Abruf aller verfügbaren Falleingaben, einschließlich der Rohdaten der Alarme, der Anreicherung und des Kontextes. Er integriert die einheitliche, quellenübergreifende Analyse des TI-Agenten, die Zuordnungen von Techniken und Gegenmaßnahmen des MITRE-Agenten sowie die vorläufige Bewertung des Verdict-Agenten. 

Das ist die Grundlage der Intelligenz.

Dann leistet es etwas, was die meisten Automatisierungstools nicht tun: Es vergleicht all diese Daten mit Ihren kundenspezifischen Betriebshandbüchern und Wissensdatenbankartikeln. Hier kommt Ihr institutionelles Wissen ins Spiel: die dokumentierten Verfahren, die Erkenntnisse aus vergangenen Vorfällen und das im Team (hoffentlich) über die Jahre gesammelte Erfahrungswissen. 

Der Agent nutzt das NIST Incident Response Framework als Grundlage und liefert so eine Ausgabestruktur, die von allen Sicherheitsteams verstanden wird.

Ergebnisse der Ermittlungen: Vier-Phasen-Reaktionsplan

Das Ergebnis ist ein priorisierter Reaktionsplan, der in vier Phasen unterteilt ist: 

1. Eindämmung: Die Ausbreitung der Bedrohung verhindern.
2. Ausrottung: Beseitigung der Ursache
3. Erholung: Wiederherstellung des Normalbetriebs
4. Härten: Wiederauftreten verhindern

Jede Empfehlung ist umsetzbar, keine vage Formulierung wie “Erwägen Sie weitere Untersuchungen”, sondern konkrete nächste Schritte, die ein Analyst ausführen kann oder, wenn das Vertrauen gewonnen ist, die die Plattform autonom ausführen kann.

Der Agent erstellt dabei über eine einzige, einheitliche Benutzeroberfläche Ermittlungszusammenfassungen, Zeitleisten und Handlungsempfehlungen. Kein Wechseln zwischen Tabs, keine manuelle Korrelation, kein erneuter Kontextaufbau bei jedem Toolwechsel. Der Analyst erhält ein umfassendes Bild und einen klaren Plan.

Hier wird KI-SoC-Benchmarking real.

Okay, auf diesen Teil möchte ich mich besonders konzentrieren, denn er ist das wichtigste Konzept der gesamten Serie, und beim Ermittler wird es greifbar.

Ich habe in diesen Beiträgen immer wieder betont, dass KI im SOC nicht perfekt sein muss, um nützlich zu sein. Sie muss Ergebnisse auf menschlichem Niveau oder besser erzielen und ausreichend nachvollziehbar sein, damit ein Analyst die Argumentation bestätigen kann. Der Beweis dafür liegt nicht in Herstellerdemos oder Marketingaussagen, sondern im Vergleich mit den Ergebnissen Ihrer eigenen Analysten anhand Ihrer eigenen Daten.

Swimlane ging mit seinem internen SOC genau so vor. Sie analysierten rund 35.000 menschliche Untersuchungen, reale Fälle, echte Entscheidungen und echte Analystennotizen und nutzten diesen Datensatz, um die Ergebnisse der KI-Systeme zu bewerten, zu verifizieren und zu optimieren. Das ist keine Laborübung. Hier werden die Empfehlungen der KI mit den tatsächlichen Vorgehensweisen erfahrener Analysten verglichen – fallweise und in großem Umfang.

Swimlane AI SOC Fallstudie

Tipps für KI-SOC-Teams

Dies ist die Methodik, die ich jedes Mal anwende, wenn ich mit einem Team an der Einführung von KI arbeite.

Beginnen Sie mit Ihrem Rohmaterial. Sie benötigen historische Tickets und die Analystennotizen, die diese erfassen. Warum Etwas wurde abgeschlossen, eskaliert oder als harmlos eingestuft. Entscheidend ist das “Warum”, nicht nur die Entscheidung selbst, sondern die gesamte Argumentationskette. 

Wenn Ihre Analysten Tickets mit Ein-Wort-Notizen abschließen, müssen Sie zunächst Ihr Dokumentationsproblem lösen, bevor Sie sich mit KI-Problemen auseinandersetzen. Falls Sie bereits Wissensdatenbanken und Handbücher besitzen, umso besser – der Untersuchungsagent kann Fälle anhand dieser Daten auswerten. Andernfalls können Sie mithilfe von KI aus alten Fällen generieren. 

Ich habe mit Claude Sonnet gute Erfahrungen gemacht: Man übergibt dem Programm eine Reihe historischer Tickets mit Analystennotizen und lässt es die Muster, Entscheidungskriterien und Vorgehensweisen in strukturierte Wissensdatenbankartikel extrahieren. Diese dient dann als Ausgangspunkt für die Wissensdatenbank, die man anschließend weiter verfeinert.

Dann führen Sie den Prozess iterativ durch. Setzen Sie den Untersuchungsagenten parallel zu Ihren Analysten ein. Vergleichen Sie dessen Untersuchungspläne, Zeitpläne und Handlungsempfehlungen mit den Ergebnissen Ihres Teams. Dokumentieren Sie Übereinstimmungen, Abweichungen und deren Gründe. 

Achten Sie auf Muster. Ist der Agent bei der Anreicherung der Daten durchweg gründlicher, übersieht aber gelegentlich Kontextinformationen, die einem erfahrenen Analysten auffallen würden? Empfiehlt er Eindämmungsmaßnahmen, denen Ihr Team zu diesem Zeitpunkt zustimmt?

Durch diesen Bewertungsprozess erwirbt sich der Mitarbeiter das Recht auf mehr Autonomie. Es handelt sich nicht um eine sofortige Umstellung, sondern um schrittweises Vertrauen.

Aufbau Ihrer KI-Wissensgrundlage

Ich möchte mit einem praktischen Punkt schließen, denn genau hier sehe ich die meisten Organisationen scheitern. Sie wollen den automatischen Abschluss, vernachlässigen aber die Wissensgrundlage, die dies ermöglicht.

Der Untersuchungsagent ist nur so gut wie die Handbücher und Wissensdatenbankartikel, die er zur Fallanalyse verwendet. Wenn Ihr institutionelles Wissen ausschließlich im Kopf Ihrer leitenden Analysten verankert ist – und seien wir ehrlich, das ist in den meisten SOCs der Fall –, dann fehlt dem Agent der nötige Kontext für fundierte Empfehlungen. 

Sie erhalten allgemeine Ermittlungspläne anstelle von Plänen, die auf die tatsächliche Vorgehensweise Ihres Teams bei bestimmten Falltypen zugeschnitten sind.

Die Lösung ist einfacher als die meisten denken. Sehen Sie sich Ihre abgeschlossenen Tickets der letzten 6–12 Monate an. Konzentrieren Sie sich auf die Fälle mit aussagekräftigen Analystenkommentaren (auch wenn diese nicht immer einheitlich sind, ist das normal). Nutzen Sie KI, um wiederkehrende Muster zu erkennen: Welche Alarmtypen haben diese Fälle ausgelöst, welche Anreicherungsmaßnahmen wurden durchgeführt, welche Entscheidungskriterien wurden typischerweise angewendet und welche Maßnahmen wurden empfohlen?. 

Strukturieren Sie das in Wissensdatenbankartikeln und Runbooks. Perfektion ist nicht nötig; Sie brauchen einen Ausgangspunkt, auf den die Agenten zurückgreifen können und den Ihr Team im Laufe der Zeit verfeinern kann.

Ich habe dies in verschiedenen Umgebungen durchgeführt, und die Ergebnisse sind bemerkenswert einheitlich. Bereits nach wenigen Wochen, nachdem die Wissensdatenbank eingerichtet und die Flotte im Schattenmodus betrieben wurde, erstellen die Agenten Ermittlungspläne, die denen Ihrer Analysten entsprechen. 

Nach nur wenigen Monaten Benchmarking identifizieren Sie die ersten Kandidaten für die automatische Fallabschlussprüfung. Innerhalb eines Quartals schließen Sie einen signifikanten Anteil der Fälle der höchsten Priorität (Tier 1) selbstständig ab, und Ihre Analysten können sich auf Untersuchungen konzentrieren, die tatsächlich menschliches Urteilsvermögen erfordern.

Das ist das KI-gestützte SOC. Kein Zauberwerk, das Ihr Team vom ersten Tag an ersetzt. Sondern eine Flotte speziell entwickelter Agenten, die jeweils eine Aufgabe perfekt beherrschen, sich gegenseitig unterstützen und sich gemeinsam mit der Zeit mehr Verantwortung verdienen. Der Ermittlungsagent ist der Dreh- und Angelpunkt – und hier zeigt sich der wahre ROI.

Im letzten Beitrag dieser Reihe stelle ich den Urteilsagenten vor, der die endgültige Entscheidung trifft. Wenn der Ermittlungsagent das Gehirn ist, ist der Urteilsagent derjenige, der die Entscheidung trifft. Bleiben Sie dran.