Agentenbasiertes (Agentic) SOAR ist eine Technologie für die Sicherheitsorchestrierung, -automatisierung und -reaktion. Es bewertet mithilfe von KI autonom Bedrohungen, trifft fundierte Entscheidungen und leitet in Echtzeit ohne menschliches Eingreifen Reaktionen ein.
Inhalt
Herkömmliches SOAR wurde entwickelt, um die Workloads für Security Operations Center (SOCs) zu reduzieren. Die Lösung lässt sich in das Security Information and Event Management (SIEM), in die Endpunktsicherheit und in andere Sicherheitstools integrieren und nutzt Automatisierung, um Antworten basierend auf vorgefertigten Playbooks zu initiieren. Die Automatisierung durch SOAR steigerte zwar die Effizienz, stellte die Sicherheitsteams jedoch auch vor Herausforderungen, darunter:
- Hohe Anzahl an Warnmeldungen, Fehlalarme und Triage-Anforderungen, die viel Zeit der Analysten in Anspruch nehmen
- Arbeitsintensive Pflege des Playbooks
- Unvermögen, dynamisch auf neue Angriffe zu reagieren
Agentenbasiertes SOAR geht einen Schritt weiter als herkömmliches SOAR. Unternehmen können von statischen Playbooks zu einem dynamischen, autonomen System wechseln, das auf der Grundlage von Kontextinformationen intelligente Entscheidungen trifft. Agentenbasiertes SOAR untersucht Bedrohungen, stuft sie ein und wählt die geeignete Abwehrmaßnahme aus – ganz ohne menschliches Zutun.
Agentenbasiertes SOAR und Security Operations
Wie bereits erwähnt, besteht eine der Einschränkungen herkömmlicher SOAR-Lösungen darin, dass sie auf statischen Playbooks basieren. Diese müssen manuell aktualisiert werden, um auf neue oder aufkommende Bedrohungen reagieren zu können. Dies schmälert die Wirksamkeit in komplexen Szenarien, die logisches Denken oder Entscheidungskraft erfordern. Selbst wenn herkömmliche SOAR-Lösungen zum Einsatz kommen, müssen Analysten weiterhin eingreifen. Das gilt insbesondere für Untersuchungen, Triage oder Grenzfälle.
Agentenbasiertes SOAR nutzt eine auf Schlussfolgerungen basierende Untersuchung, um Bedrohungen zu analysieren und zu bewerten, Entscheidungen zu treffen und sich ohne menschliches Eingreifen anzupassen. Warnungen gehen zuerst an KI-Agenten statt an menschliche Analysten. Die Agenten nutzen Large Language Models (LLM), historischen und verhaltensbezogenen Kontext, externe Daten wie Feeds aus Threat Intelligence und eine Reihe von Tests, um den Schweregrad der Warnung zu klassifizieren. Anschließend erstellen sie einen lesbaren, detaillierten Bericht über ihre Ergebnisse und Überlegungen. Erst zu diesem Zeitpunkt muss ein Analyst einbezogen werden, um die Ergebnisse zu überprüfen. In einigen Fällen kann agentenbasiertes SOAR Abhilfemaßnahmen ohne jegliche manuelle Intervention durchführen.
Elemente der Agentic AI Architektur
Eine agentische AI-Architektur ist um autonome Agenten herum konzipiert, die ihre Umgebung wahrnehmen, komplexe Informationen verarbeiten, zielgerichtete Aktionen ausführen und im Laufe der Zeit aus den Ergebnissen lernen können. Agentic SOAR wendet dieses Architekturmodell direkt auf Sicherheitsoperationen an.
Wichtige Elemente einer agentischen AI-Architektur, wie sie bei agentic SOAR angewendet werden, umfassen:
- Autonome Agenten
Anstelle eines einzigen monolithischen Systems basieren agentische Architekturen auf mehreren AI-Agenten, von denen jeder für eine spezifische Funktion wie Alarmuntersuchung, Bedrohungsanreicherung, Risikobewertung, Eindämmung oder Kommunikation verantwortlich ist. Diese Agenten arbeiten unabhängig, aber kooperieren, um ein gemeinsames Ziel zu erreichen. - Wahrnehmung und Kontextaufnahme
Agenten nehmen kontinuierlich Signale aus Sicherheitstelemetrie (SIEM, EDR, Cloud-Logs), Bedrohungsinformationsfeeds, Identitätssystemen und historischen SOC-Daten auf. Dies ermöglicht eine Echtzeit-Situationsbewusstsein anstelle eines regelbasierten Musterabgleichs. - Schlussfolgerungen und Entscheidungsfindung
Mithilfe von großen Sprachmodellen (LLMs), maschinellem Lernen und symbolischen Schlussfolgerungstechniken bewerten Agenten Beweise, testen Hypothesen und bestimmen Absicht, Schweregrad und angemessene Reaktionen. Entscheidend ist, dass das System erklären kann, warum eine Entscheidung getroffen wurde, was Vertrauen und Überprüfbarkeit verbessert. - Aktions- und Orchestrierungsschicht
Basierend auf ihren Schlussfolgerungen können Agenten Eindämmungsmaßnahmen durchführen, Workflows auslösen oder nächste Schritte empfehlen. Im Gegensatz zu statischen Playbooks werden Aktionen dynamisch ausgewählt und an den Kontext des Vorfalls angepasst. - Gedächtnis und kontinuierliches Lernen
Agentische Systeme behalten kontextuelles Gedächtnis über Vorfälle hinweg. Im Laufe der Zeit ermöglicht dies agentic SOAR, sein Verständnis von normalem Verhalten, wiederkehrenden Angriffsmustern und organisationsspezifischen Risikoprofilen zu verfeinern. - Menschliche Interaktion und Aufsicht
Natürliche Sprachschnittstellen ermöglichen es Analysten, Agenten abzufragen, Schlussfolgerungen zu überprüfen und bei Bedarf einzugreifen. Dies unterstützt ein Human-in-the-Loop- oder Human-on-the-Loop-Modell, ohne die Autonomie zu opfern.
Durch die Positionierung von agentic SOAR als Anwendung der agentischen AI-Architektur wird deutlich, wie es traditionelle Automatisierung übertrifft.
Wichtige Funktionen von agentenbasiertem SOAR
Was agentenbasiertes SOAR auszeichnet, ist ihre Autonomie und ausgeklügelte Argumentation. Das System zeichnet sich aus durch:
- Lernen und Argumentieren – Das System ist so konzipiert, dass es kontinuierlich aus jedem Ereignis lernt und so ein kontextuelles Gedächtnis entwickelt. Es nutzt Machine Learning und LLM, um seine Logik aufzubauen und seinen Entscheidungsprozess zu erklären.
- Autonome Triage – KI analysiert und priorisiert Bedrohungen, indem sie Kontextinformationen nutzt, dynamische Untersuchungen durchführt und Daten aus mehreren Quellen zusammenführt. Auf dieser Grundlage zieht sie Schlussfolgerungen und implementiert oder empfiehlt Maßnahmen.
- Echtzeit-Reaktion auf Bedrohungen – Agentenbasiertes SOAR erstellt und ändert Reaktionsprotokolle dynamisch in Echtzeit auf Grundlage der von ihm aufgedeckten Daten.
- Integration – Agentenbasiertes SOAR lässt sich in die vorhandenen Sicherheitslösungen des Unternehmens integrieren und interagiert nahtlos mit Tools wie Endpoint Detection and Response (EDR), SIEM und Cloud-Plattformen.
- Mehrere Agenten – Jeder KI-Agent wird für eine bestimmte Phase der Untersuchung, Triage oder Reaktion geschult. Das beginnt mit der Informationsbeschaffung und Risikobewertung und reicht bis hin zum Austausch und zur Zusammenarbeit.
- Benutzerfreundliche Oberfläche – Durch den Einsatz von Natural Language Processing können Analysten leichter Prompts für die Agenten erstellen und die Argumentation der Agenten besser nachvollziehen.
Vorteile von agentenbasiertem SOAR
Obwohl traditionelles SOAR einen großen Fortschritt für das SOC bedeutet, stößt es doch an seine Grenzen. Im Vergleich dazu bietet agentenbasiertes SOAR folgende Vorteile:
- Kurze Reaktionszeiten – deutliche Verbesserungen bei der durchschnittlichen Zeit bis zur Erkennung und der durchschnittlichen Zeit bis zur Reaktion
- Risikominderung – höhere Genauigkeit bei der korrekten Identifizierung und Klassifizierung von Bedrohungen und bessere Erkennung potenzieller Bedrohungen, die andernfalls möglicherweise übersehen würden
- Gesteigerte Produktivität und Arbeitsmoral – optimierte Betriebsabläufe und Personalressourcen, da Analysten weniger Zeit für das Alarmmanagement aufwenden müssen und sich stattdessen strategischen Überlegungen widmen können
- Skalierbarkeit – die Fähigkeit, auf neue Angriffe zu reagieren und eine wachsende Angriffsfläche zu verwalten, ohne dass neue Ressourcen erforderlich sind
- Kontinuierliches Lernen – fortlaufender Erwerb von Wissen, Aufbau einer Wissensdatenbank, die speziell für das Unternehmen und die Branche gilt
Best Practices für die Implementierung von agentenbasiertem SOAR
Wie bei jeder neuen Technologie gibt es Hürden bei der Implementierung von agentenbasiertem SOAR. Da KI Entscheidungen, Maßnahmen, Governance, Aufsicht und Zuverlässigkeit kontrolliert, kann sie ganz spezielle Herausforderungen mit sich bringen. Sicherheit und Datenschutz sind ebenfalls ein Thema, da KI Zugriff auf große Mengen sensibler Daten benötigt. Auch die Integration von agentenbasiertem SOAR in Legacy-Systeme kann Probleme bereiten.
Im Hinblick auf diese Herausforderungen finden Sie hier einige Best Practices für die Implementierung von agentenbasiertem SOAR:
- Bewertung – Ermitteln Sie den aktuellen Bedarf und den aktuelle SOAR-Reifegrad. Überprüfen Sie die Ansätze anhand der Anforderungen Ihres Unternehmens und der nachgewiesenen Ergebnisse der Lösungen. Ziehen Sie ein Pilotprogramm in Betracht.
- Governance – Schaffen Sie eine klare Übersicht für autonome Entscheidungen. Umreißen Sie Rollen, Verantwortlichkeiten und ethische Richtlinien.
- Human-in-the-Loop – Stellen Sie sicher, dass Analysten weiterhin involviert sind und die Überprüfung und Überwachung übernehmen.
- Sicherheit und Compliance – Führen Sie robuste Verschlüsselung, Zugriffskontrollen und regelmäßige Schwachstellenanalysen ein
- Tests und Validierung – Legen Sie Erfolgskennzahlen zur Bewertung der Wirksamkeit fest. Führen Sie regelmäßige, gründliche Tests und Überprüfungen durch.
Vorbereitung auf die Zukunft mit agentenbasiertem SOAR
Da Cyberkriminelle KI nutzen, um immer raffiniertere Angriffe zu starten, müssen Unternehmen die Leistungsfähigkeit der agentenbasierten Technologie im SOC nutzen. Agentenbasiertes SOAR wird Security Operations transformieren, indem es die Genauigkeit der Bedrohungserkennung erhöht, die Eindämmung beschleunigt und die Belastung für Menschen reduziert. Dadurch können sich Analysten auf strategische Aktivitäten konzentrieren, wie die Suche nach Bedrohungen, die Analyse von Risikotrends und die Entwicklung umfassenderer, funktionsübergreifender Fähigkeiten.
Sicherheitsteams sollten jedoch nicht davon ausgehen, dass sie sich zwischen agentenbasierten und menschlichen Lösungen entscheiden müssen. Am erfolgreichsten werden die Unternehmen sein, die einen hybriden Ansatz verfolgen. Das heißt, sie verbessern das Vorfallmanagement mithilfe von KI, behalten aber den Menschen im Prozess, der die Entscheidungen überprüft und endgültig trifft.
Andere Agentic AI-Frameworks
Agentic SOAR ist ein Beispiel dafür, wie agentische AI-Frameworks in realen, hochsensiblen Umgebungen angewendet werden. Der Blick auf andere Anwendungsfälle von agentic AI hilft zu verdeutlichen, was agentic SOAR einzigartig macht und warum es eine bedeutende Weiterentwicklung in Sicherheitsoperationen darstellt.
Einige gängige agentische AI-Frameworks und Anwendungen umfassen:
- Autonome digitale Assistenten
Diese werden in der Unternehmens-IT, im Kundensupport und in der Betriebsführung eingesetzt und können Aufgaben planen, mit anderen Systemen koordinieren und sich ohne ständige menschliche Aufforderung an sich ändernde Ziele anpassen. - Agentic AI in DevOps und IT-Betrieb (AIOps)
In AIOps überwachen Agenten die Infrastruktur, diagnostizieren die Ursachen von Ausfällen und initiieren Abhilfemaßnahmen. Wie agentic SOAR verlassen sich diese Systeme auf kontextuelle Schlussfolgerungen anstelle von statischen Regeln. - Multi-Agenten-Systeme in der Betrugserkennung
Finanzdienstleister nutzen agentische AI, um Transaktionen zu untersuchen, Verhaltenssignale zu korrelieren und zu entscheiden, wann Aktivitäten blockiert oder zur Überprüfung eskaliert werden sollen – ähnlich wie agentic SOAR Sicherheitsalarme behandelt. - Autonome Forschungs- und Analyseagenten
Diese Agenten können Daten sammeln, Annahmen testen und Berichte erstellen, ähnlich wie agentic SOAR detaillierte Untersuchungsergebnisse für Analysten produziert.
Agentic SOAR unterscheidet sich von diesen Frameworks, da es in einer adversarialen und zeitkritischen Umgebung operiert, in der Entscheidungen direkte Auswirkungen auf das Organisationsrisiko haben. Es muss Autonomie mit Erklärbarkeit, Governance und kontrollierten Reaktionsmaßnahmen ausbalancieren, was es speziell für moderne Sicherheitsoperationen macht.
Hilfeangebote rund um agentenbasiertes SOAR
Die richtige Technologie ist entscheidend. Mit Trend Vision One™ Agentic SOAR kann Ihr Team statische Playbooks hinter sich lassen und zu einem vollständig KI-gesteuerten SOC übergehen, das in Echtzeit Untersuchungen durchführt, Prioritäten setzt und reagiert. Durch die Kombination von KI-gestützten Untersuchungen, durchgängiger SOC-Automatisierung, einem vernetzten Ökosystem und der Erstellung von Playbooks in natürlicher Sprache können Sie den manuellen Arbeitsaufwand reduzieren. So kann sich Ihr Sicherheitsteam auf strategische Prioritäten konzentrieren, ohne in Warnmeldungen zu versinken.
Jayce Chang
Vice President of Product Management
Jayce Chang ist Vice President of Product Management mit strategischem Schwerpunkt auf Security Operations, XDR und Agentic SIEM/SOAR.
Häufig gestellte Fragen (FAQs)
Was bedeutet agentenbasiert?
Der Originalausdruck „agentic“ leitet sich vom Wort „agency“ ab, was so viel bedeutet wie Handlungsfähigkeit. Agentic (agentenbasiertes) SOAR bezeichnet daher eine SOAR-Lösung, die eigenständig agieren kann.
Was ist agentenbasiertes Verhalten?
Agentenbasiertes Verhalten beschreibt die Fähigkeit künstlicher Intelligenzsysteme, Entscheidungen zu treffen, zu handeln und sich ohne menschliches Eingreifen an Veränderungen in der Umgebung anzupassen.
Was meinen Sie mit SOAR?
SOAR steht für Security Orchestration, Automation and Response (Sicherheitskoordination, Automatisierung und Reaktion). Es bezeichnet eine Cybersicherheitslösung, die Sicherheitstools integriert und Aufgaben automatisiert, wodurch Sicherheitsvorgänge effizienter werden.
Wofür steht SOAR in der Cybersicherheit?
Das Akronym SOAR steht für Security Orchestration, Automation und Response (Sicherheitskoordination, Automatisierung und Reaktion).
Wie ist agentisches SOAR eine agentische KI-Architektur?
- Agentisches SOAR ist agentisch, da es Aufgaben autonom plant, begründet und ausführt, basierend auf strukturierten kognitiven Entscheidungszyklen.
Was sind Beispiele für agentenbasiertes Verhalten?
Beispiele für agentenbasiertes Verhalten sind ein digitaler Assistent, der ohne Aufforderung durch den Benutzer Alarme plant, ein selbstfahrendes Auto, das eine Fahrroute auswählt, oder ein IT-System, das den Datenverkehr umleitet.
Was ist ein Beispiel für agentenbasiertes Lernen?
Ein Beispiel für agentenbasiertes Lernen ist ein virtueller Assistent, der wiederholte Aktionen, Besprechungen und Standorte des Benutzers erkennt und automatisch Benachrichtigungen dafür einrichtet.
Was sind die drei führenden agentischen KI-Frameworks?
Es gibt viele agentenbasierte Frameworks. Die drei am häufigsten genannten sind Microsoft AutoGen, CrewAI und LangGraph.
Was bedeutet agentenbasierter Workflow?
Ein agentenbasierter Workflow ist der Prozess, den ein KI-Agent nutzt, um autonom Informationen zu sammeln, zwischen Optionen zu wählen und eine Aufgabe ohne menschliches Eingreifen zu initiieren.
Was ist ein Beispiel für einen agentenbasierten Workflow?
Ein Beispiel für einen agentenbasierten Workflow in der Cybersicherheit wäre, dass ein KI-Agent selbstständig eine Sicherheitswarnung überprüft, Daten aus verschiedenen Quellen miteinander verknüpft und dann eine Maßnahme zur Eindämmung auswählt und einleitet.
Wie unterscheiden sich ein Workflow und ein agentenbasiertes System?
Ein Workflow ist eine vorab festgelegte Abfolge von Aufgaben. Ein agentenbasiertes System besteht aus einer autonomen KI, die entscheiden kann, welche Handlungen am besten zum Kontext passen.
Weiterführende Artikel
Die 10 wichtigsten Maßnahmen zur Risikominderung für LLMs und Gen-AI-Anwendungen im Jahr 2025
Umgang mit neuen Risiken für die öffentliche Sicherheit
Wie weit internationale Standards tragen können
Wie man eine Cybersicherheitsrichtlinie für generative KI verfasst
KI-gestützte bösartige Angriffe unter den größten Risiken
Zunehmende Bedrohung durch Deepfake-Identitäten