Webinar

Webinar: Entmystifizierung des Einsatzes von KI-Agenten bei Sicherheitsoperationen

Ich denke, wir sollten anfangen und sehen, dass die Leute mitmachen. Willkommen zum heutigen Webinar über die Entmystifizierung des Einsatzes von agentenbasierter KI bei Sicherheitsoperationen. Wir freuen uns sehr, Sie alle hier zu haben. Vielen Dank, dass Sie sich die Zeit genommen haben, um bei uns zu sein. Ich bin Vijay Viswanathan. Ich gehöre zum Produktmarketing-Team von Ontinue. Und bei mir ist Iris Safaka, die Leiterin unserer KI-Entwicklung. Also Hallo. Können wir Hi, alle. Danke, Vijay. Danke, Vijay. - Ja. Sicher. Lassen Sie mich damit beginnen, was wir uns von der heutigen Sitzung erhoffen. Und wir haben drei Ziele. Erstens möchten wir Ihnen, wie der Titel schon sagt, ein klares Verständnis von agentenbasierter KI vermitteln, was sie ist, was sie nicht ist und vor allem, wie sie sich von einem anderen Bereich der KI unterscheidet, der sich schnell entwickelt und sehr aufregend ist, nämlich der KI-Assistenz. Und diese beiden Bereiche, agentenbasierte KI und KI-Assistenten, werden oft miteinander verwechselt. Manchmal werden KI-Assistenten fälschlicherweise als agenturische KI bezeichnet. Wir hoffen also, dass wir Ihnen am Ende der heutigen Sitzung ein klareres Bild davon vermitteln können. Zweitens möchten wir Ihnen die praktische Anwendung von Agentic AI in SecOps zeigen. Bei Ontinue wenden wir seit über einem Jahr Agentic AI an, um die Effektivität und Effizienz der von Iris und unserem Team durchgeführten Managed Set Comps zu verbessern. Und schließlich möchten wir noch auf eine relativ neue Ankündigung eingehen, den neuen Microsoft Security Store, der vor einigen Monaten angekündigt wurde. Damit wären wir auch schon beim Thema. Um KI in diesem ersten Teil der heutigen Sitzung zu verstehen, möchte ich sie mit anderen Arten von KI vergleichen und sie durch die Linse eines Sicherheitsoperations-Szenarios betrachten. Stellen Sie sich also Folgendes vor. Es ist mitten in der Nacht, es ist zwei Uhr vierzehn nachts, und es gibt einen Alarm mit hohem Schweregrad, der auftaucht. Dies ist also ein Ausgangspunkt, den wir haben, und jetzt lassen Sie uns durch ein paar verschiedene Universen gehen, drei verschiedene Universen. Das erste Universum ist also die deterministische Automatisierung. Das zweite Universum, und hier beginnen wir, uns in die probabilistische Richtung zu bewegen, das ist die GenAI-Assistenz. Und das dritte Universum, auf das sich die heutige Präsentation konzentriert, ist die agentenbasierte KI. Wenn Sie also in Universum eins einsteigen, ist das deterministische Automatisierung. Es handelt sich also um regelbasierte Automatisierung. Hier muss die Logik für den gegebenen Input explizit definiert werden. Das sind die genauen Schritte, und damit erhält man mit Sicherheit eine bestimmte Ausgabe. Betrachten Sie dies also als klassische Automatisierung. Es sind Wenn-dann-Regeln. Und sie eignet sich hervorragend für eine stark kontrollierte Umgebung. Es ist extrem effizient. Wie Sie auf der Folie gezeigt haben, denken Sie an Fließbänder. Es hat auch Anwendungen in Sicherheitsoperationen. Schauen wir uns also an, wie sich die deterministische Automatisierung in diesem SecOps-Szenario auswirkt. Richtig? Es kann sich um einen Alarm mit hohem Schweregrad handeln, der mitten in der Nacht auftaucht. Auf der Grundlage der Alarminformationen gibt es eine erste Anreicherung mit Bedrohungsdaten und dann eine Reihe von vordefinierten Regeln. So wird zum Beispiel die Replikation durch p, die Risikobewertung des Geräts und so weiter überprüft. Und wenn eine der Regeln zutrifft, kann die Automatisierung bis zum Ende durchgeführt werden. Wunderbar. Aber stellen wir uns jetzt eine andere Situation vor. Nehmen wir an, es gibt einen Grenzfall. Es gibt nicht die Logik, die für diese spezielle Eingabe kodiert ist. Und in diesem Fall kann die Automatisierung die Dinge bis zur Lösung bringen. Um dieses erste Universum der deterministischen Automatisierung zusammenzufassen, ist sie sehr gut geeignet, um bekannte Szenarien zu bewältigen, und um den Punkt zu verdeutlichen, wie gut sie für eine begrenzte Anzahl von Anwendungen geeignet ist, werde ich diese Analogie zu einem Rennwagen verwenden. Richtig? Auf der linken Seite sehen Sie, dass er auf der Rennstrecke der Schnellste sein wird, aber sobald Sie ihn von der Straße nehmen, kann er nicht mehr funktionieren. Richtig? Er kann mit all den Unebenheiten und Unbekannten nicht umgehen. Und so kommen wir zurück zu SecOps für bekannte Szenarien. Richtig? Denken Sie also an bekannte Alarmtypen, bekannte Bedrohungsmuster. Deterministische Automatisierung spielt eine sehr wichtige Rolle. Sie wird die schnellste sein. Sie wird am effizientesten sein. Und das ist der Grund, warum diese Fähigkeit in SecOps weit verbreitet ist. Sie ist standardmäßig in vielen XDR-Plattformen, SIEM-Plattformen und natürlich in SOAR-Tools enthalten und verfügbar. Aber wie Sie alle wissen, und so sehr wir uns das auch wünschen, ist SecOps kein Fließband. Es ist dynamisch. Wir haben Gegner, die ständig innovativ sind. Sie haben neue Werkzeuge. Sie haben neue Packfaktoren. Die deterministische Automatisierung spielt also eine wichtige Rolle bei SecOps, aber die Grenzen sind sehr deutlich, da es Unbekannte gibt, die eingeführt werden. Das wurde also in das nächste Universum teleportiert, in das Universum der KI-Systeme. Und das ist etwas, mit dem wir alle in den letzten Jahren sehr vertraut geworden sind. Oder? Wir nutzen sie wahrscheinlich in unserem persönlichen Leben, in unserem Arbeitsleben. Sie haben wirklich etwas verändert. Sie helfen, die Kluft zwischen menschlicher Sprache und Maschinenlogik zu überbrücken. Mit KI-Assistenten können wir uns also oft einfach durch zwei Dinge durchquatschen. Oder? Wir fordern sie auf, und sie antworten. Kehren wir also zu unserem SecOps-Szenario zurück. Wieder kommt der Alarm herein. Aber in diesem Fall wird er an einen Analysten eskaliert. Der Analyst hat also einen Prozess, in dem er einen Vorfall bearbeitet. Und genau hier kann ein Gen AI-Assistent hilfreich sein. Ein Beispiel für einen Gen AI-Assistenten, von dem Sie vielleicht schon gehört haben, ist Microsoft Security Copilot. Sie können sich vorstellen, dass ein Gen-KI-Assistent in einer SecOps-Umgebung, richtig, wir haben ihn in vielen anderen Umgebungen verwendet, aber in einer SecOps-Umgebung kann ein Gen-KI-Assistent verwendet werden, um Dinge wie die Zusammenfassung von Vorfällen zu tun. Darin ist er extrem gut. Er kann zum Schreiben von Suchanfragen verwendet werden. Er kann verwendet werden, um MITRE-Techniken zu erklären. GenAI-Assistenten sind also, wie der Name schon sagt, großartig darin, Menschen zu unterstützen. Sie sind großartig darin, einige der mühsamen Arbeiten in SecOps zu erledigen, aber letztendlich sind sie reaktiv. Richtig? Sie müssen veranlasst werden. Zusammenfassend kann man also sagen, dass die KI-Systeme in SecOps eingesetzt werden können, um die Triage zu beschleunigen. Sie können die Qualität verbessern, aber allein können sie einen Vorfall nicht auf die Art und Weise aufklären, wie es ein Mensch kann. Und das bringt uns zu unserem dritten Universum, dem Universum der agentenbasierten KI. Natürlich können wir uns vorstellen, dass KI nicht nur als Analyst, nicht nur als Spitzenanalyst, sondern wirklich als Analystenteam agiert. Es handelt sich um eine KI, die planen kann, die logisch denken kann, die reflektieren kann, die verfeinern und priorisieren kann und die sich auf der Grundlage von Feedback kontinuierlich verbessert. Das ist also die KI, die auf ein Ziel hinarbeitet und nicht einfach nur Regeln ausführt. Kehren wir also zu unserem Szenario mit den Sicherheitsdiensten zurück. Wir haben diesen Alarm, der eingeht. Er wird an einen Analysten eskaliert. Und natürlich können Sie sehen, dass Agentic AI wie ein Top-Analyst, wie ein Tier-3-Analyst arbeiten kann. Sie kann mit einer Hypothese beginnen, eine Reihe von Tools verwenden, um mehr Kontext zu erhalten, kann Abfragen durchführen und die von den Tools zurückgegebenen Ergebnisse auswerten. Er erledigt also die Routinearbeit eines Junior-Analysten, er führt die fortgeschrittenen Untersuchungen und Schlussfolgerungen eines Senior-Analysten durch, und er tut dies alles automatisch und autonom. Und genau hier liegt die Stärke der agentenbasierten KI. Aus diesem Grund sehen wir in der agentenbasierten KI mehr als nur ein Werkzeug. Wir betrachten sie als einen Teamkollegen. Es ist ein Teamkollege, der natürlich die Vorteile eines maschinenbasierten Teamkollegen hat. Sie kann nonstop arbeiten. Es kann sehr gut skalieren. Es brennt nicht aus. Und für uns alle als Verteidiger ist das ein unglaublich leistungsfähiges Paradigma, mit dem wir der Zunahme von Angriffen und Angreifern begegnen können. Wie ich bereits erwähnt habe, haben wir am Anfang dieser Präsentation eine Demo für Sie alle. Aber vorher möchte ich diesen ersten Teil über die drei Universen, die wir betrachtet haben, zusammenfassen. Deterministische Automatisierung, regelbasiert, schnell, effizient, ideal für bekannte Szenarien. Und wir haben KI-Assistenten. Sie sind nützlich für die Unterstützung, aber letztlich sind sie reaktionär. Sie müssen veranlasst werden. Und dann haben wir noch die agentenbasierte KI. Und agentenbasierte KI hat ein hohes Maß an kognitiver Autonomie. Wenn man es also von links nach rechts betrachtet, gibt es ganz links keine kognitive Autonomie, und je weiter man nach rechts geht, desto höher ist der Grad der kognitiven Autonomie, bis hin zu ganz rechts, wo es sich um eine wirklich fortgeschrittene Autonomie handelt. Universum drei ist also nicht etwas, das weit entfernt ist. Es hat nichts mit dieser mythischen Realität zu tun. Es ist tatsächlich etwas, in dem Vedanta und Ubi leben. Wir leben bereits in allen drei dieser Universen. Wir verwenden alle drei dieser Ansätze bei der Bereitstellung von verwalteten psychologischen Operationen. Und im nächsten Teil dieser Präsentation möchte ich Ihnen zeigen, wie wir agentenbasierte KI in SecOps einsetzen. Und eine der Möglichkeiten, wie wir das tun, ist unser Incident Investigator Agent. Ich werde also aufhören, die Präsentation zu teilen. Die Nachricht schaltet auf Bildschirmfreigabe um. Sehr gut. Was Sie hier sehen, ist also unsere SecOps-Arbeit. Das ist also die Plattform, die unsere Analysten in unserem Cyber Defense Center nutzen, um Vorfälle zu untersuchen und zu beheben. Ich zeige Ihnen ein Beispiel dafür, wie sie bei einem bestimmten Vorfall vorgehen und wie die Untersuchung durch Agentic AI unterstützt wird. Wenn ich mich also zu diesem Vorfall durchklicke, können Sie sehen, dass das erste, was sie sehen, wenn sie auf diesem speziellen Vorfallsdetail landen, ein Vorfallsuntersuchungsbericht ist. Und wie Sie sehen, ist dieser Bericht extrem umsetzbar. Das, was hier präsentiert wird, die kurze Zusammenfassung und die nächsten Schritte, die sie in Betracht ziehen sollten, ist im Grunde die Arbeit, die ein Top-Analyst gemacht hätte, aber nur von unserem Vorfallsermittler erledigt, und das in wenigen Minuten. Und sie wird unseren Analysten angezeigt, wenn Vorfälle eskalieren, damit sie sehen können, was passiert sein könnte und was sie als nächstes in Betracht ziehen sollten. In dieser Hinsicht ist es also extrem umsetzbar. Sie können die Aufzählungspunkte mit den wichtigsten Schlüsselelementen der Ergebnisse in Fettdruck sehen und so weiter. Was ich noch hervorheben möchte, sind diese Schaltflächen hier. Ein Schlüsselelement unserer Anwendung von Agentic AI ist, dass wir einen Menschen in die Schleife einbeziehen. Das zeigt sich daran, dass die Agentic AI zwar die Arbeit erledigt, sie aber an einen Menschen weiterleitet, der dann sein Urteilsvermögen einsetzt und prüft, ob er damit einverstanden ist oder ob er eine andere Meinung dazu hat. Sie können sofortiges Feedback zu diesem Gesamtbericht geben, oder, wie ich Ihnen gleich zeigen werde, zu einzelnen Schritten, die der Ermittler unternommen hat. Das ist also genau das hier. Sie können sofortiges Feedback geben. Aber ein wichtiger Bestandteil des verantwortungsvollen Einsatzes von KI ist die Transparenz der Entscheidungen. Richtig? Unsere Analysten müssen also die Ergebnisse der Ermittler nicht beim Wort nehmen. Sie können nachsehen, wie der Ermittler zu diesen Schlussfolgerungen gekommen ist. Es gibt also eine Reihe von Informationen, die hier präsentiert werden. Ich werde zu diesem Abschnitt hinunterblättern. Sie können sehen, zu welcher Hypothese der Ermittler gekommen ist, wie er sie bewertet hat, die wichtigsten Ergebnisse, und der Teil, der meiner Meinung nach die Transparenz der Entscheidung wirklich unterstreicht, ist dieser Abschnitt über die Beweise. Wenn man hier hineinklickt, kann man genau sehen, für welches Tool sich der Ermittlungsbeamte entschieden hat, welche Eingaben er gemacht hat und welche Ergebnisse er erhalten hat. Sie können diese Abfragen selbst ausführen. Im Grunde ist also alles nachvollziehbar, alles ist überprüfbar, und es besteht volle Transparenz darüber, wie die KI der Agenda zu einer bestimmten Entscheidung gekommen ist. Paris, ich weiß nicht, ob Sie vielleicht etwas zu diesem Feedback sagen wollen. Nein. Ich darf unseren Zuhörern ein paar Geheimtipps geben. Stimmt's? Ich denke, ja, das ist großartig. Stimmt's? Die mächtige, die es ist sehr mächtig, die Demo-Basis, weil sie manchmal bleiben wir in der Sphäre der abstrakten, aber das sah in der Praxis jeden Tag zu erhöhen. Es ist wirklich, wirklich mächtig darin. Sie sprachen über KI-Systeme und wie wir uns von reaktiven, proaktiven Systemen, die aufgefordert werden müssen, uns eine Antwort zu geben, zu autonomen KI-Systemen entwickeln. Und das ist genau das, was wir hier sehen. Was wir bei Continuum implementiert haben, ist ein vollwertiger, authentischer Incident Investigator, der auf der Grundlage vieler Daten im Tag aufgebaut ist, richtig, viel internes Wissen von Antinio, denn Sie haben gerade erwähnt, dass, okay, der Agent selbst den Plan und den Untersuchungsplan und die Hypothese aufstellen und am Ende eine Bewertung abgeben muss. Wir alle wissen, dass die Basis und die Modelle nicht über das gesamte Wissen verfügen, das für Sicherheitsoperationen erforderlich ist, um diese Aufgabe auf dem Niveau eines Menschen zu erfüllen. Sie haben also gerade diesen kleinen Einblick gesehen, mit dem ’Gefällt mir"-Button hier, was wir proaktiv von den Verteidigern in der Benutzeroberfläche verlangen. Aber wir sehen auch, wie die Menschen mit diesem Bericht interagieren und was sie sonst noch tun, um eine Untersuchung abzuschließen, abgesehen von dem impliziten Feedback, das sie dem System geben. Das ist sehr wichtig. Richtig? Unsere Verteidiger bearbeiten also ständig Hunderte, Tausende von Vorfällen pro Woche. Dieses Wissen erfassen wir und geben es an die Ermittler weiter, um zukünftige Ermittlungen zu planen. Das ist eine sehr wichtige Sache. Das zweite haben Sie schon oft angesprochen. Richtig? Wir sehen hier in der Ausgabe, wir sehen einige Tools, die ausgeführt worden sind. Richtig? Wie jeder Verteidiger, der seine Ermittlungen abschließen will, benötigt er einige Werkzeuge, die ihm zur Verfügung stehen. Dazu gehören IP-Reputationen, die Verwendung eines Open-Source-Tools, aber vor allem die Ausführung ausgefeilter KQL-Tools in der Kundenumgebung, um Einblicke zu erhalten, wie z. B. Signierungsprotokolle, Geräte-Zeitleiste, Risiko-Reputation für Benutzer usw. usw. So wie die Verteidiger diese Werkzeuge brauchen, braucht auch die KI sie, und das ist ein weiteres Geheimnis: Ihr Agent ist nur so leistungsfähig wie die Werkzeuge, die ihm zur Verfügung stehen, um Informationen zu sammeln und bei Bedarf Maßnahmen zu ergreifen. Und wir machen weiter. Wir haben das große Glück, dass wir über unsere Plattform sehr tief in die Umgebung unserer Kunden integriert sind, um vor Ort Untersuchungen durchzuführen. Wir müssen nicht unbedingt Kundendaten einlesen. Diese Tools führen die Abfrage an Ort und Stelle aus, rufen eine API auf, verwenden je nach Bedarf eine Art internes Tool oder ein Open-Source-Tool, um die Informationen zu sammeln und eigenständig eine End-to-End-Untersuchung durchzuführen. Untersuchung. Ja, das sind nur zwei kleine Erfolgsgeheimnisse, die wir haben. Natürlich sind wir in der vorteilhaften Lage, dass wir sehr gute Analysten und Fachleute haben, die uns ständig Feedback geben und das System mit ihrer Intellektualität und ihrem Handeln jeden Tag bereichern. Ausgezeichnet. Ja, sehr gut. Und eigentlich möchte ich noch auf den dritten Punkt eingehen. Dantini, wir haben das Privileg, Hunderte von Organisationen zu betreuen. Sie leiten ein Team von KI-Ingenieuren, und Sie arbeiten nicht in einem Silo. Sie arbeiten sehr eng mit unseren Sicherheitsanalysten, unserem Cyber Defense Center, zusammen. Richtig? So sind wir in einer einzigartigen Position, um diese leistungsstarken Agenten zu entwickeln. Und sie sind sehr, sehr, sehr glücklich, diese Tools zu nutzen. Richtig? Denn wir wissen, dass Verteidigerteams mit der sich wiederholenden Arbeit für Warnungen, die sie nicht lesen sollten, überfordert sind. Aber aus dem einen oder anderen Grund ist vielleicht eine Automatisierung noch nicht vorhanden oder sie ist nicht richtig eingestellt oder es gibt neue Erkennungen. Sie haben am Anfang erwähnt, dass es sich um einen Grenzfall handelt. Das stimmt. Tatsächlich gibt es viele Grenzfälle. Während wir hier sprechen, verfolgen wir die neuen Arten von Bedrohungen, sogar KI-generierte Bedrohungen, wir bekommen jede Woche tonnenweise neue Arten von Erkennungen, so dass die Automatisierung hinterherhinken könnte. Oder? Das ist ein bekanntes Problem. Wie Sie sagten, läuft die Automatisierung unter perfekten Bedingungen, wenn sie weiß, was sie zu tun hat, wenn wir wissen, was wir verschlüsseln müssen. Aber wenn dieser Fall eintritt, brauchen die menschlichen Verteidiger Unterstützung, und die bekommen sie durch KI-Hilfe, proaktiv oder reaktiv. Sagen wir, sie würden bereits Hand in Hand mit einem agentenbasierten KI-System arbeiten, einem KI-Agenten, in unserem Fall einem Ermittlungsagenten. Aber nicht nur. Oder? Es gibt auch Agenten für Bedrohungsdaten. Es gibt viele Agenten, die, wie Sie sagten, als kleines Team bei der Untersuchung und Triage und schließlich bei der Reaktion auf einen Sicherheitsvorfall helfen können. Ja, genau. Ja. Okay. Ausgezeichnet. Ich hoffe also, dass Sie alle ein klareres Bild von diesen drei Universen haben, von der deterministischen Automatisierung, von der ich denke, dass sie gut verstanden wird, aber ich hoffe, dass das geholfen hat, die Unterschiede zwischen KI-Assistenz und agentenbasierter KI zu klären. Und zweitens, wie wir bei Ontinue agentenbasierte KI in der Praxis anwenden. Das dritte und letzte Thema, das ich ansprechen möchte, ist der Microsoft Security Store. Der Microsoft Security Store ist ein neues Schaufenster für Sicherheit. Microsoft hat ihn, ich glaube, es war der dreißigste September, angekündigt, und er bietet eine ganze Reihe von Lösungen. Ich werde meinen Bildschirm teilen und wir werden ihn Ihnen live zeigen. Aber ich denke, was für die heutige Diskussion besonders relevant ist, ist der Abschnitt, der den KI-Agenten gewidmet ist. Und in diesem Abschnitt finden Sie eine breite Palette von Sicherheits-Copilot-Agenten. Das sind Agenten, die von Microsoft entwickelt wurden. Es sind Agenten, die von Partnern entwickelt wurden, darunter Ontinue. Lassen Sie mich Ihnen kurz eine Live-Ansicht davon geben. Wenn Sie also auf security store dot Microsoft dot com gehen, werden Sie dieses Schaufenster sehen. Ontinue. Und Sie können sehen, dass eine Reihe von Dingen angezeigt werden. Ich werde nach Agenten filtern, und dies ist einer von zwei Agenten, die wir im Microsoft Security Store anbieten. Dies ist unser Posture Adviser Agent. Ich werde ihn mir anhand einiger Details genauer ansehen. Aber bevor wir in die Details gehen, Marius, denke ich, dass es für die Zuhörer interessant wäre, über die Reise zu berichten, die wir mit Microsoft bei der Entwicklung von Security Copilot Agenten gemacht haben. Ja. Sicher. Sicher. Ja. Wie Sie schon sagten, ist der Security Store von Microsoft ein neues Produkt, das vor kurzem auf den Markt gekommen ist, aber jetzt für alle verfügbar ist, allgemein verfügbar. Das heißt, die Konzeption und Implementierung begann Anfang des Jahres. Wir hatten das Glück, zu einer kleinen Gruppe von Partnern zu gehören, einer kleinen Gruppe, die sehr eng mit den Produktmanagern von Security Copilot und Security Store von Microsoft zusammengearbeitet hat, um dieses neue Angebot mitzugestalten. Dies ist ein wichtiger Teil von Microsoft, der das Versprechen einlöst, Kunden zu helfen, ihre Position kontinuierlich zu stärken und ihre Investitionen zu monetarisieren. Und es ist eine großartige Gelegenheit für Kunden, nach Sicherheitslösungen und Agenten zu suchen, sie zu kaufen, einzusetzen und unabhängig zu verwalten, die, wie Sie sagten, von Microsoft entwickelt wurden. Vielleicht können Sie in der Dropdown-Liste der Verlage filtern, während wir sprechen. Wenn Sie diese Option entfernen, bleibt nur noch Microsoft übrig. Ich weiß nicht, wie viele unserer Zuhörer Security Copilot aktiviert haben, aber das ist eine großartige Möglichkeit, diese Agenten jetzt unabhängig einzusetzen und auf sie zuzugreifen und ihre Ergebnisse zu sehen. Es gibt verschiedene davon. Richtig? Wir sehen den Phishing-Test-Agenten, der als einer der ersten auf den Markt kam, den Threat-Intelligence-Agenten, den Agenten zur Verhinderung von Datenverlusten, den Agenten für bedingten Zugriff, den Optimierungsagenten und so weiter. Sie können jetzt einfach klicken, einsetzen und das Ergebnis unabhängig in ihrer Umgebung beobachten. Und ja, das ist auch das, was wir mit dieser Zusammenarbeit mit Microsoft erreichen wollten, um zu verstehen, wie wir das Angebot von Microsoft ergänzen können, wie wir den Agenten speziell für unsere Kunden und ihre Bedürfnisse entwickeln können, und wie wir unsere Cyber-Beratung unterstützen und den Kunden helfen können, ihre Sicherheitslage zu verbessern. Daher ist dieser Posture Advisor Agent Core ein kostenloses Angebot. Wir bieten ihn nicht nur für Bestandskunden an, denn er ist derzeit im Security Store erhältlich. Und, ja, vielleicht können Sie Vijay zeigen, wie man das bekommen kann. Sicher. Ja. Und das ist der Punkt, an dem der Security Store unglaublich mächtig ist. Als Sicherheits- oder IT-Administrator können Sie Agenten finden, die für Sie relevant sind. Und wenn man dann runtergeht, kann man sie im Grunde direkt von hier aus einsetzen. Wenn ich jetzt auf "Get it now" drücke und zu dieser Registerkarte wechsle, erhalten Sie einen Bildschirm wie diesen, auf dem Sie ein relevantes Rechnungsabonnement, eine Ressourcengruppe usw. auswählen können. Der Clou ist, dass dieser Agent direkt in Ihrem Microsoft Security Copilot eingesetzt wird, mit allen damit verbundenen Kontroll- und Steuerungsmöglichkeiten. Richtig? Es ist auch erwähnenswert, dass der Store auf dem traditionellen Azure Marketplace aufbaut, für diejenigen, die ihn kennen, und mit allen Vorteilen, die damit einhergehen, richtig, diese einheitliche Abrechnung und alle zusätzlichen Vorteile, die Microsoft-Kunden über den traditionellen Marketplace erhalten, sind auch auf den Security Store anwendbar. Ja, das stimmt. Und wenn Sie E5-Kunde sind, gab es kürzlich eine Ankündigung, dass Sicherheits-Copilot-Einheiten in den E5-Lizenzen enthalten sein werden. Das ist also ein Ort, an dem Sie Agenten erhalten können, die für Ihre Bedürfnisse relevant sind, und Sie können sie direkt von hier aus einsetzen. Ja, genau. Das ist ein wichtiges Thema. Sie haben die Secure Compute Units erwähnt, und für die Leute, die damals mit Security Copilot angefangen haben, ist das Thema Secure Compute Units bekannt. Jetzt hat Microsoft auf der Ignite vor einigen Wochen eine aufregende Ankündigung gemacht, dass alle e-fünf lizenzierten Kunden von Microsoft Anspruch auf eine bestimmte Anzahl von Security Compute Units, SCUs, haben. Das sind die Einheiten, die für den Betrieb von Security Copilot und den darauf aufbauenden Agenten benötigt werden. Ausgezeichnet. Das alles finden Sie unter security store dot Microsoft dot com. Damit höre ich mit dem Teilen auf und schaue, ob es welche gibt. Ja. Chris Taylor von Ontinue hat gerade unser aktuelles Whitepaper über Agentic AI geteilt. Bitte sehen Sie sich das an. Darin gehen wir auf einige der Punkte ein, die wir heute besprochen haben, insbesondere auf den Unterschied zwischen deterministischer Automatisierung, Gen-KI-Assistenten und Agentic AI. Wir geben unseren Zuhörern Zeit, ihre Fragen einzutippen oder einfach die Stummschaltung aufzuheben, denn wir sind nicht so viele. Ich denke, die Leute können einfach die Stummschaltung aufheben, um zu erfahren, wie wir das mit Ihnen machen können. Yep. Ja. Sie können Richtig. Sie können sich selbst stumm schalten, wenn Sie möchten. Richtig. Während wir also darauf warten, dass den Leuten Fragen einfallen oder sie mit Fragen kommen. Ein wichtiges Thema, das hier erwähnt werden sollte, ist, dass wir mit den Sicherheits-Copilot-Agenten jetzt die Möglichkeit haben, Agentic AI am Rande unserer Kunden einzusetzen. Das ist ein wichtiger Punkt. Sie werden sehr schön zeigen, wie wir Agentic AI implementiert haben, indem wir intern Agenten als Teil unserer ION-Plattform entwickelt haben. Und wir haben die Bedeutung einer tiefen Integration in die Umgebung unserer Kunden mit Hilfe von Werkzeugen zur Durchführung autonomer Untersuchungen und anderer fortgeschrittener Aktionen angesprochen. Aber unabhängig davon, wie tief wir integriert sind und wie viel Zugang wir zur Kundenumgebung haben, gibt es Dinge, auf die wir als MXDR-Anbieter aus gutem Grund keinen Zugriff haben. Dabei handelt es sich um Dinge, für die erhöhte Berechtigungen erforderlich sind, wie z. B. der Zugriff auf Richtlinien für die Zugangskontrolle, Lizenzierungsinformationen, Verteidigereinstellungen und all diese Dinge. Das können wir natürlich nicht automatisch von unserer Seite, von unserer Lösung aus erledigen. Das heißt, mit der Security Copilot Agent-Entwicklungsplattform, die wir jetzt haben, und der Verteilungsplattform durch den Security Store sind wir in der Lage, mehr und mehr Erkenntnisse und Empfehlungen für unsere Kunden direkt auf deren Edge zu automatisieren. Das war eine unglaublich leistungsstarke Funktion, mit der wir arbeiten und unseren Kunden bei ihrer Präventionsreise noch effektiver helfen konnten. Das stimmt. Genau. Das ist ein hervorragender Punkt. Ich meine, auf unserer Seite haben wir es abstrahiert verwendet, um unseren Kunden mit dem MxDR-Service bessere Ergebnisse zu liefern. Aber jetzt haben die Sicherheits-Co-Pilot-Agenten, die direkt in Ihrer Umgebung laufen, einen tieferen Zugang, wie Chris bereits erwähnt hat, und können so eine Rolle für einen Agenten in diesen beiden unterschiedlichen Bereichen spielen.

In der sich schnell entwickelnden Landschaft der Cybersicherheit bietet die Integration von Künstlicher Intelligenz (KI) ein erhebliches Transformationspotenzial. Die Fähigkeiten der KI im Bereich der Sicherheitsoperationen können durch einen strukturierten Ansatz, der deterministische Automatisierung, KI-Unterstützung und agentenbasierte KI kombiniert, voll ausgeschöpft werden. Diese Ansätze verbessern gemeinsam die Effizienz von Sicherheitsoperationen. Dieses Webinar geht über konzeptionelle Diskussionen hinaus und konzentriert sich auf mehrere konkrete Sicherheitsempfehlungen für die effektive Nutzung von KI.

Deterministische Automatisierung: Bekannte Verteidigungsmaßnahmen verstärken

Die deterministische Automatisierung, die älteste Form der Automatisierung, ist schnell und effizient bei der Bearbeitung vorgegebener Szenarien. Durch die Implementierung regelbasierter Systeme können Sicherheitsteams schnell auf bekannte Bedrohungen und sich wiederholende Warnmuster reagieren. Im Folgenden finden Sie einige praktische Schritte zur Verbesserung der Sicherheit mit deterministischer Automatisierung:

Regelbasiertes Alert Management Konfigurieren Sie Ihre Systeme so, dass sie automatisch Warnungen auf der Grundlage vordefinierter Kriterien verwalten, wie z. B. die Überprüfung der IP-Reputation oder die Bewertung des Geräterisikos.
Regelmäßige Updates und Tuning Sorgen Sie dafür, dass die Regeln regelmäßig aktualisiert werden, um neue Bedrohungsmuster abzudecken. So bleibt das Automatisierungssystem wirksam gegen bekannte Angriffe.

Einsatz von KI-Assistenten zur verbesserten Triage

KI-Hilfstools wie Microsoft Security Copilot können Aufgaben übernehmen, die menschliche Analysten oft überfordern, z. B. die Zusammenfassung von Vorfällen und das Schreiben von Suchanfragen. Hier erfahren Sie, wie Sie KI-Unterstützung in Ihre Cybersicherheitsstrategie integrieren können:

Zusammenfassung von Vorfällen und Vorschläge zur Reaktion Nutzen Sie KI, um aus Vorfallsdaten verwertbare Erkenntnisse zu gewinnen und weitere Schritte vorzuschlagen, um den manuellen Arbeitsaufwand für Analysten zu reduzieren.
Optimierung von Abfragen Einsatz von KI-Tools zur automatischen Formulierung und Optimierung von Abfragen für spezifische Bedrohungsuntersuchungen, um die Effizienz des Analyseprozesses zu steigern.

Agentische KI: Erweiterung der analytischen Fähigkeiten

Die agentenbasierte KI stellt einen revolutionären Wandel vom bloßen Befolgen von Regeln hin zur autonomen Entscheidungsfindung dar. Diese Form der KI fungiert als beständiges Teammitglied für Analysten, das in der Lage ist, zu argumentieren und sich anzupassen. Um agentenbasierte KI effektiv zu implementieren:

Automatisierung der Untersuchung von Vorfällen Entwicklung von KI-Agenten, die selbstständig Warnungen untersuchen, Hypothesen über mögliche Auswirkungen aufstellen und die Ergebnisse anhand vordefinierter Sicherheitsrichtlinien überprüfen.
Human-in-the-Loop-Feedback-Systeme Einrichtung von Systemen, bei denen menschliches Feedback die KI-Antworten kontinuierlich verbessert, um sicherzustellen, dass die Entscheidungen präzise und transparent bleiben.
Transparenz und Replizierbarkeit von Nachweisen Sorgen Sie für vollständige Transparenz der KI-Abläufe, indem Sie Analysten die Möglichkeit geben, den Entscheidungsprozess der KI zu überprüfen und zu replizieren.

Microsoft Security Store: Für die KI-Ära gemacht

Der Microsoft Security Store ist ein praktisches Schaufenster, in dem Sie KI-Agenten entdecken und einsetzen können, die die Sicherheitsanforderungen Ihres Unternehmens erfüllen. Alle Angebote werden entweder von Microsoft oder vertrauenswürdigen Partnern erstellt und für die Integration mit Microsoft Security-Produkten validiert. Die Bereitstellung von Agenten erfordert nur wenige Schritte und ermöglicht eine schnelle Wertschöpfung.

Seit Juni 2025 ist Ontinue Mitglied der Agentic Partner Bootcamp MSSP Cohort, einer exklusiven Gruppe von Microsoft-Partnern. Im Rahmen dieses Programms erhält Ontinue Private Preview-Zugriff auf die Tools zur Erstellung und Veröffentlichung von Security Copilot Agenten.

Inzwischen haben wir zwei Security Copilot Agenten entwickelt, die im Microsoft Security Store erhältlich sind.

Körperhaltung Berater Agent: Ein privates Angebot, das exklusiv für ION MXDR-Kunden über den Security Store kostenlos installiert und genutzt werden kann.
Posture Advisor Agent Core: Ein öffentliches Angebot, das über den Security Store für jede Organisation kostenlos installiert und genutzt werden kann.

Zusätzliche Ressourcen

Den Hype durchbrechen: Was agentenbasierte KI wirklich bedeutet und die Zukunft der Sicherheitsoperationen
Webinar-Aufzeichnung und Blog-Beitrag über die neuen Preisänderungen von Microsoft (einschließlich der Einbeziehung von Copilot)
Schließen Sie sich den über 600 anderen MDE-Nutzern im Defender-Benutzer Gruppe auf LinkedIn