Wie man Multi-Source-Intelligence mit KI-Agenten meistert

Wie man Multi-Source-Intelligence mit KI-Agenten meistert

Wenn Sie jemals Zeit in einem Sicherheitsoperationszentrum (SOC), Sie kennen das sicher: Eine Warnung wird ausgelöst, und der Analyst beginnt sofort mit der Datenanreicherung. Er ruft VirusTotal auf, um den Hash zu prüfen. Dann sucht er bei Recorded Future nach Kontextinformationen zur Kampagne. Er überprüft den DNS-Verlauf bei Cisco Umbrella. Vielleicht greift er zusätzlich auf einen internen VirusTotal-Feed oder seine ISAC-Mitgliedschaft zurück. Jede Quelle liefert ihre eigene Bewertung, ihr eigenes Format, ihr eigenes Urteil – und oft widersprechen sich die Ergebnisse.

Der Analyst macht also, was Analysten immer tun. Er öffnet sechs Tabs, wägt die Ergebnisse gedanklich anhand seiner Erfahrung und seines Bauchgefühls ab und fällt eine Entscheidung. Dieser Prozess dauert 15 bis 30 Minuten pro Indikator, und die “Methodik”, mit der er zu diesem Schluss kommt, existiert ausschließlich im Kopf des Analysten. Wenn er abends nach Hause geht oder das Unternehmen verlässt, nimmt er diese Denkweise mit.

Dies ist die Bedrohungsanalyse Das Korrelationsproblem (TI) besteht schon so lange, wie ich in der IT-Sicherheit tätig bin. Die Herausforderung bestand nie darin, Zugriff auf Bedrohungsdaten zu erhalten, sondern diese schnell und in großem Umfang auszuwerten. Genau das macht die Held KI Bedrohungsanalyse-Agent einer der praktisch nützlichsten Expertenagenten in Swimlanes Flotte von KI-Agenten innerhalb des Turbinenplattform. Es fragt nicht nur Ihre TI-Quellen ab, sondern korreliert und synthetisiert sie und erstellt so direkt im Fall eine einheitliche Analyse. Dadurch erhält der Analyst eine einzige, nachvollziehbare Bewertung anstatt sechs Registerkarten und ein Glücksspiel.

Das Problem der logischen Argumentation bei Bedrohungsanalysen aus mehreren Quellen

Das ist es, was die Korrelation von Daten aus verschiedenen Quellen für Menschen so schwierig macht: Es geht nicht nur um die Daten selbst, sondern auch um die Interpretation. Wenn VirusTotal eine Datei mit einer Erkennungsrate von 3/72 anzeigt und Recorded Future die zugehörige IP-Adresse als mit einer bekannten APT-Kampagne verknüpft kennzeichnet, während Umbrella anzeigt, dass die Domain erst vor zwei Tagen registriert wurde – was fängt man damit an? Jeder Datenpunkt ist ein Fragment. Der Wert liegt darin, wie man diese gewichtet und miteinander verknüpft.

Ihre erfahrenen Analysten leisten hier hervorragende Arbeit. Sie haben über die Jahre ein Gespür dafür entwickelt, welche Quellen für welche Indikatortypen zuverlässiger sind, wie man die Diskrepanzen zwischen widersprüchlichen Werten interpretiert und wann eine niedrige Erkennungsrate tatsächlich besorgniserregender ist als eine hohe. Dieses Wissen ist ungemein wertvoll und wird fast nie dokumentiert.

Die Macht der autonomen Korrelation

Genau dieses Muster beherrschen KI-Experten. Nicht etwa, weil der Agent intelligenter wäre als Ihre besten Analysten, sondern weil er in Echtzeit konsistente Schlussfolgerungen über alle Indikatoren hinweg anwenden kann. Er ermüdet nicht um 2 Uhr nachts. Er überspringt keine Anreicherungsschritte, nur weil die Warteschlange 200 Warnmeldungen umfasst. Und ganz entscheidend: Er dokumentiert seine Arbeit, sodass Analysten bei der Überprüfung der Ergebnisse genau nachvollziehen können, wie der Agent die einzelnen Datenquellen gewichtet und seine Schlussfolgerung gezogen hat.

Der Helden-KI Der Threat Intelligence Agent aggregiert Daten aus all Ihren konfigurierten TI-Quellen – VirusTotal, Cisco Umbrella, Recorded Future und allen weiteren integrierten Systemen – und erstellt eine einheitliche, quellenübergreifende Analyse direkt in der Falldatei. Kein lästiges Wechseln zwischen Tabs. Keine komplizierten Denkprozesse. Eine übersichtliche Darstellung mit nachvollziehbarer Begründung.

Michael Lyborg, CISO von Swimlane, bezeichnete diesen Agenten als “bahnbrechend für die Bedrohungsanalyse”, als er die Nutzung im internen SOC beschrieb. Ich denke, der Grund für die große Resonanz bei Anwendern liegt darin, dass er ein Problem löst, das zwar allgemein bekannt ist, für das es aber bisher keine zufriedenstellende Lösung gab. Es gab bereits Plattformen, Feeds und Aggregatoren für Bedrohungsanalysen, doch die Korrelation und Synthese oblag stets dem Analysten. Dieser Agent integriert diesen Schritt nun direkt in den Workflow.

Werfen Sie einen Blick in Swimlanes eigenen KI-SoC

Wir stellen den Hero AI Threat Intelligence Agenten vor.

Der Hero AI Threat Intelligence Agent ist der zweite Agent, den ich genauer unter die Lupe nehmen möchte (ich habe den MITRE ATT&CK & D3FEND Agent (im ersten Beitrag dieser Reihe). Während der MITRE-Agent die Beschreibung von Angriffen und Verteidigungen standardisiert, standardisiert der TI-Agent die Synthese von Informationen. Zusammen bilden sie die Kontextschicht, auf der jede weitere Entscheidung basiert.

Erfahren Sie mehr über Hero AI

Funktionsweise des KI-Agenten für Bedrohungsanalyse

So funktioniert es in der Praxis: Sobald ein Fall erstellt oder ein Indikator angereichert werden muss, fragt der TI-Agent automatisch alle mit Ihrer Umgebung verbundenen Threat-Intelligence-Quellen ab. Er ruft Reputationsdaten, Kampagnenzuordnungen, historische Sichtungen, Domainregistrierungsdetails, Verhaltensanalysen und alle weiteren Informationen ab, die die jeweilige Quelle bereitstellt. Anstatt dem Analysten sechs einzelne Ergebnisse zur Auswertung bereitzustellen, werden diese zu einer einzigen, zusammenfassenden Analyse synthetisiert.

Diese Synthese ist entscheidend. Der Agent berechnet nicht einfach den Durchschnitt der Ergebnisse oder wählt den höchsten Wert aus. Er wertet verschiedene Quellen aus und gewichtet Erkennungsraten, Quellenzuverlässigkeit, Indikatortyp, zeitlichen Kontext und Kampagnenassoziationen, um eine Bewertung zu erstellen, die der Schlussfolgerung eines gut informierten Analysten entspricht, der die Zeit hätte, jede Quelle gründlich zu prüfen. Der entscheidende Unterschied: Der Agent erledigt dies in Sekundenschnelle – jedes Mal und für jeden einzelnen Indikator.

Dies fließt direkt in die anderen KI-Heldenagenten ein. Urteil Agent nutzt die Ausgabe des TI-Agenten zusammen mit historischem Fallkontext und Artikeln aus der Wissensdatenbank (KB), um eine Entscheidung zu generieren. Ermittlungsbeamter nutzt es, um seinen umfassenden Ermittlungsplan zu erstellen. MITRE-Agent Die KI bildet die Angriffstechniken ab. Jeder Agent erledigt seine Aufgabe, leitet seine Ergebnisse weiter, und das Ergebnis ist eine Fallakte, die umfangreicher und konsistenter ist als die, die die meisten SOCs manuell erstellen – nicht weil die KI Magie wirkt, sondern weil sie keine Schritte auslässt.

Sehen Sie sich eine einminütige Demo des KI-Agenten für Bedrohungsanalysen an.

Quantitative Gewissheit: Der Hero AI Confidence Score

Eines der Dinge, die ich immer wieder betone, wenn ich über … spreche KI im SOC Es geht um Erklärbarkeit. Es reicht nicht, wenn ein Agent sagt: “Das ist böswillig.” Man muss wissen Warum Es gelangte zu diesem Schluss, legte dar, welche Quellen dazu beitrugen, wie diese gewichtet wurden und wo es Meinungsverschiedenheiten gab. Ohne diese Informationen tauscht man lediglich eine Blackbox (das Bauchgefühl des Analysten) gegen eine andere (die Ergebnisse des Modells) aus.

Der Vertrauenswert des Hero-KI-Agenten geht direkt darauf ein. Anstatt ein binäres Gut/Schlecht-Urteil oder eine einzelne, undurchsichtige Risikozahl auszugeben, erstellt der TI-Agent eine gewichtete Vertrauensbewertung, die den Grad der Übereinstimmung zwischen den Quellen, die Qualität und Aktualität der Daten sowie die spezifische Argumentationskette, die zu dem Ergebnis geführt hat, berücksichtigt.

Dies ist in mehrfacher Hinsicht operativ relevant. Erstens ermöglicht es Analysten, schnell einzuschätzen, wie viel Aufmerksamkeit ein Indikator benötigt.

• Hohes Vertrauen, eindeutig böswillig? Der Verdict Agent kann das wahrscheinlich autonom schließen. 
• Mäßiges Vertrauen bei widersprüchlichen Quellen? Ein Analyst sollte sich das ansehen, und er weiß genau, worauf er sich konzentrieren muss, weil die Argumentation transparent ist. 
• Geringes Vertrauen? Der Agent kennzeichnet es als Hinweis darauf, dass weitere Daten benötigt werden, anstatt eine Fehlentscheidung zu treffen.

Zweitens, und das ist der Punkt, den Sicherheitsverantwortliche meiner Meinung nach unterschätzen, schafft die Vertrauensbewertung eine messbare Grundlage für die Effektivität Ihres TI-Programms. Im Laufe der Zeit können Sie verfolgen, wie oft die hohen Vertrauensbewertungen der Agenten mit den tatsächlichen Ergebnissen übereinstimmen. Sie können identifizieren, welche TI-Quellen konstant relevante Informationen liefern und welche nur irrelevante Daten. Sie können datengestützte Entscheidungen darüber treffen, welche Datenfeeds erneuert werden sollten und welche lediglich das Datenvolumen erhöhen, ohne Mehrwert zu bieten. Das ist evidenzbasiertes TI-Programmmanagement, nicht auf Herstellerpräsentationen beruhend.

Das Paradoxon der Bedrohungsanalyse und warum intelligente Agenten die Gleichung verändern

Lassen Sie mich kurz das Gesamtbild betrachten, denn der TI-Agent veranschaulicht einen allgemeineren Punkt darüber, wie KI-Agenten sich ihren Platz im SOC verdienen.

Der traditionelle Ansatz im Bereich Threat Intelligence ist additiv: Man kauft mehr Feeds, integriert mehr Quellen und stellt mehr Analysten ein, um die Ergebnisse auszuwerten. Das Problem dabei ist, dass jede neue Quelle sowohl relevante als auch irrelevante Informationen liefert und die Korrelationsarbeit vollständig auf den Schultern der Mitarbeiter lastet. Ab einem gewissen Punkt wird der Nutzen eines zusätzlichen Feeds negativ, da das Team die bereits vorhandenen Daten nicht mehr verarbeiten kann.

Ein KI-Agent kehrt diese Gleichung um. Anstatt dass mehr Eingaben mehr Arbeit bedeuten, führen sie zu einer besseren Synthese. Jede zusätzliche TI-Quelle, die Sie mit dem Agenten verbinden, verbessert die Korrelation und präzisiert die Konfidenzbewertung. Der Agent verbessert sich mit dem Wachstum Ihres KI-Programms – genau das Gegenteil dessen, was passiert, wenn Menschen die Korrelation manuell durchführen.

Die Macht eines Netzwerks von KI-Agenten für progressives Vertrauen

Genau das meine ich, wenn ich von einem Zusammenspiel verschiedener Agenten spreche, die im Laufe der Zeit immer mehr Verantwortung übernehmen. Der TI-Agent zeigt Ihnen zunächst seine Gesamtanalyse neben den Ergebnissen Ihrer Analysten. Sie vergleichen die Ergebnisse, legen Benchmarks fest und gewinnen so Vertrauen. Sobald sich die Ergebnisse als konsistent erweisen, können Sie darauf vertrauen, dass der Agent Fälle anreichert, ohne dass ein Analyst jeden Indikator einzeln prüfen muss. Schließlich fließen die zuverlässigen Ergebnisse direkt in die automatisierte Fallbearbeitung über den Verdict-Agent ein, sodass sich Ihr Team auf die unklaren Fälle konzentrieren kann, die tatsächlich menschliches Urteilsvermögen erfordern.

Das ist progressives Vertrauen in die Bedrohungsanalyse. Kombiniert man dies mit dem MITRE-Agenten, der die Angriffssprache standardisiert, und dem D3FEND-Mapping, das aufzeigt, was Ihre Tools bereits abdecken, erhält man ein SOC, das nicht nur schneller reagiert, sondern auch ein Maß an Konsistenz und Dokumentation bietet, das die meisten Teams manuell nicht erreichen können.

Im nächsten Beitrag gehe ich genauer auf den Verdict Agent ein und erkläre, wie die KI-gestützte Fallbearbeitung in der Praxis funktioniert. Hier zeigt sich, wie sich das progressive Vertrauensmodell wirklich bewährt, denn ein Fall autonom abzuschließen ist ein deutlich größeres Risiko als die Verbesserung eines Indikators. Bleiben Sie dran.