Einblick in unser KI-SOC: Wie Swimlane die mittlere Reparaturzeit halbiert hat

Einblick in unser KI-SOC: Wie Swimlane die mittlere Reparaturzeit halbiert hat

Bei Swimlane, unser Sicherheitsoperationszentrum (SOC) ist nicht nur eine Verteidigungslinie; es ist unser Echtzeit-Innovationslabor. Wir nutzen diese Umgebung, um die Grenzen der Sicherheitsoperationen zu erweitern (SecOps), die globale Cloud-Operationen, Unternehmens-IT und Risiko- und Schwachstellenmanagement in einem einzigen, zentralisierten Programm vereint, das von der Swimlane-Turbine agentische KI-Automatisierungsplattform.

Innerhalb unserer Teamarbeit bietet jede Warnung, jede Untersuchung und jede Lösung die Möglichkeit, unsere Prozesse zu optimieren. Da all unsere Sicherheits-Workflows in Turbine integriert sind, arbeiten unsere Analysten eng zusammen, experimentieren mit neuen Prozessen und reizen die Möglichkeiten der KI voll aus. Wir fragen uns ständig: “Wie können wir diesen Prozess innerhalb von Turbine schneller, intelligenter und automatisierter gestalten?” 

Vor der KI: Manuelle Schritte und sich wiederholende Untersuchungen

Bevor wir unsere Abläufe auf Turbine zentralisiert haben, mittlere Zeit bis zur Problemlösung (MTTR) Die Bearbeitungszeit lag bei etwa sechs Stunden. Selbst mit zunehmender Automatisierung und Orchestrierung stieß mein Team weiterhin auf Schwierigkeiten durch manuelle Vorauswahl, sich wiederholende Untersuchungen und den ständigen Wechsel zwischen verschiedenen Tools. Uns war klar, dass wir eine Grenze überwinden mussten.

Unser Weg zu einem autonomeren SOC

Zwischen 2021 und 2025 wurde unser SOC schrittweise automatisiert. Alarm-Triage Und Fallmanagement Arbeitsabläufe reduzieren unsere MTTR von 6 Stunden auf 30 Minuten. Die nächste Phase, und der eigentliche Wendepunkt, kam mit der Einführung von Helden-KI, eine Sammlung von agentenbasierten und generativen KI-Funktionen, die in Turbine verfügbar sind.

Analystenbericht: Ihr Leitfaden für die Aktivierung autonomer SOCs

Wir waren die Ersten, die diese eingesetzt haben. Helden-KI-Agenten direkt innerhalb von Turbine. Es fühlte sich an, als ob wir autonome Experten in unser Team aufgenommen hätten, die während des gesamten Vorfalllebenszyklus in Echtzeit kontextbezogene Schlussfolgerungen lieferten, was die Triage drastisch beschleunigte und routinemäßige manuelle Mehraufwendungen eliminierte.

Wir stützen uns auf vier Hauptakteure, um unsere autonomen Abläufe zu steuern:

• Verdict Agent: Dieser Agent ist wahrscheinlich derjenige, den wir am häufigsten einsetzen. Er nutzt alle verfügbaren aktuellen, verknüpften und historischen Fallkontexte, einschließlich Wissensdatenbankartikel, verknüpfter Fallhistorie, Bedrohungsinformationen und Analystennotizen, um autonom ein Urteil zu generieren, das die Einschätzung der Analysten widerspiegelt.
• Bedrohungsanalyse-Agent: Dieser Agent ist ein Wendepunkt für die Bedrohungsanalyse. Er wurde entwickelt, um Daten aus allen von uns genutzten Quellen, einschließlich VirusTotal, Cisco Umbrella und RecordedFuture, zu aggregieren und zu analysieren und bietet eine einheitliche, quellenübergreifende Analyse direkt in der Fallakte.
• MITRE ATT&CK & D3FEND Agent: Dieses System ist für die operative Klarheit unerlässlich. Es ist darauf trainiert, Sicherheitswarnungen von Herstellern automatisch standardisierten Angriffs- und Gegenmaßnahmen zuzuordnen und meinem Team so eine einheitliche Sprache für Taktiken und Verteidigungsstrategien zu vermitteln. Diese Standardisierung ist für eine konsistente Reaktion von enormer Bedeutung.
• Ermittlungsbeamter: Der Schlüssel zu unserer Effizienz. Es erstellt und führt automatisch einen vollständigen Untersuchungsplan aus und liefert umfassende Analysen über eine einzige, einheitliche Benutzeroberfläche. So eliminieren wir unnötige Kontextwechsel und beschleunigen die Triage durch wertvolle, KI-generierte Zusammenfassungen, Zeitleisten und Handlungsempfehlungen.

Messbare Auswirkungen von Hero AI

Seit dem Einsatz unserer Hero AI-Agenten in Turbine konnte unser internes SOC erhebliche operative Effizienzsteigerungen und Kosteneinsparungen erzielen.

• Innerhalb von 30 Tagen haben wir Folgendes beobachtet:
  • Die mittlere Zeit bis zur Rückkehr (MTTR) wurde durch 51% drastisch verkürzt und sank von 18 Minuten auf 8,75 Minuten.
    
• Wöchentlich:
  • Wir haben rund 60 Stunden “menschliche Arbeitszeit” eingespart.”
    
  • Die Einsparungen bei den Betriebskosten beliefen sich auf $2.600, was, hochgerechnet, den jährlichen Lohnkosten eines Tier-1-Analysten entspricht.
    
• Aktuell:
  • Wir schließen wöchentlich automatisch etwa 350 Fälle.

Von unterstützten zu KI-gestützten Sicherheitsoperationen

Hero AI beschleunigt nicht nur die Fallbearbeitung, sondern schafft auch Vertrauen durch Konsistenz und Nachvollziehbarkeit. Das Swimlane SOC-Team nutzte die Daten aus rund 35.000 von Menschen durchgeführten Untersuchungen mit Hero AI, um unsere Eingabeaufforderung zu bewerten, zu verifizieren und zu optimieren. Aktuell befinden sich 10 Anwendungsfälle mit vollständig autonomem Betrieb in der Umsetzung. Dank höherer Token-Effizienz und erweiterter Kontextfenster konnten wir deutliche Verbesserungen in Bezug auf Vertrauen, Genauigkeit und Kostenoptimierung feststellen.

Bereit für die Skalierung? Ihr KI-SOC-Leitfaden ist da.

Die Kombination von KI und fortschrittlicher Automatisierung in Turbine hat unser SOC (State Operations Center) in die Lage versetzt, eine mittlere Bearbeitungszeit (MTTR) von unter 15 Minuten zu erreichen und unseren Übergang zu einem automatisierten Fallabschluss im großen Maßstab zu beschleunigen. Was als gezielte Maßnahme zur Reduzierung manueller Arbeit begann, hat sich nun zu einem klaren Fahrplan für eine KI-SOC, wo KI-Agenten in Echtzeit Triage, nachvollziehbare Urteile und Antworten mit einem Klick liefern – alles über eine einheitliche Benutzeroberfläche.

Während ich über unsere unglaublichen Meilensteine nachdachte, fragte ich Kevin Mata, unseren Leiter des Cloud-Betriebs, nach seinen Gedanken: “Hero AI hat die Art und Weise, wie wir unser SOC betreiben, grundlegend verändert, die Abläufe beschleunigt und sich gleichzeitig kontinuierlich weiterentwickelt und verbessert. Jeder abgeschlossene Fall macht den nächsten schneller, intelligenter und zunehmend autonomer.”

Wenn mein Team diese Ergebnisse intern erzielen kann, wird jede Organisation, die ihre Sicherheitsabläufe skalieren möchte, mit Turbine erfolgreich sein. Dieses Modell ist die bewährte Zukunft der Sicherheitsabläufe.