Intelligente Bedrohungserkennung für Verteidigungs-SOCs
Erweiterte KI-gestützte Bedrohungserkennung für schnellere MTTD und MTTR
Share on TwitterAuf Twitter teilen
Share on LinkedInAuf LinkedIn teilen
Share on FacebookAuf Facebook teilen
Share by EmailPer E-Mail teilen
Print this pageDrucken
Die eigenen Einschätzungen des Verteidigungsministeriums (MoD) beschreiben eine inakzeptable Cyber-Risikolage inmitten einer eskalierenden Welle böswilliger Cyber-Aktivitäten1 – eine ernüchternde Realität für die Leiter von Security Operations Centers (SOCs) im Verteidigungsbereich. Da das Risiko von Cyberangriffen zu den höchsten Risiken gehört, die vom Verteidigungsausschuss verwaltet werden2, wächst der Druck auf die Sicherheitsteams. SOC-Teams müssen komplexe Cyber-Bedrohungen erkennen, bevor sie Schaden anrichten. Dennoch kämpfen SOCs weltweit in vielen Unternehmen immer noch mit Erkennungszeiten von Tagen oder Wochen – viel zu langsam für Angreifer, die es auf die Verteidigungsinfrastruktur abgesehen haben.
Aus diesem Grund sieht die digitale Verteidigungsstrategie des US-Verteidigungsministeriums die Fähigkeit zur „schnellen Erkennung und Reaktion mit integrierten Cyber-Abwehrsystemen vor, die kritische Funktionen abdecken und die Erkennung und Reaktion auf Cyber-Angriffe ermöglichen“. Dies erfordert einen anderen Ansatz als das bloße Hinzufügen weiterer Tools. Verteidigungs-SOCs benötigen einheitliche Funktionen, die die mittlere Erkennungszeit (MTTD) und die mittlere Reaktionszeit (MTTR) drastisch reduzieren – Kennzahlen, die für den Schutz kritischer Verteidigungsgüter von entscheidender Bedeutung sind.
Elastic Security unterstützt Kunden aus dem Verteidigungsbereich, indem es KI-gestützte Analysen mit speziell für SOC-Analysten entwickelten Workflows kombiniert, um die täglichen operativen Anforderungen von SOC-Teams im Verteidigungsbereich zu erfüllen. Durch die Automatisierung von Prozessen, die Korrelation von Alarmen mit Attack Discovery und die Anleitung von Analysten durch den Elastic AI Assistant wird der manuelle Aufwand reduziert, die SOC-Transparenz verbessert, Kontext bereitgestellt und die Reaktionszeiten verkürzt.
Schnellere Erkennung mit Attack Discovery
Leistungsstarke SOCs erreichen in der Regel eine MTTD zwischen 30 Minuten und vier Stunden³; bei leistungsschwächeren SOCs können Bedrohungen monatelang oder sogar jahrelang unentdeckt bleiben. Mit dem richtigen Ansatz können Verteidigungs-SOCs die Erkennungszeiten jedoch deutlich verkürzen. Kunden von Elastic sehen bereits heute messbare Ergebnisse. Ein Kunde von Elastic konnte die MTTD um 75 % reduzieren, während andere Kunden von einer Reduzierung der mittleren Untersuchungszeit MTTI) von 300 Minuten auf 90 Minuten und der mittleren Wiederherstellungszeit (MTTR) von 180 auf 6 Minuten berichteten. Diese Verbesserungen zeigen die Vorteile der Lösungen von Elastic wie Attack Discovery. Das Tool analysiert Kontextdaten – Risikobewertungen für Hosts und Benutzer, Kritikalität von Assets und Schweregrad von Warnmeldungen – zur Identifizierung der bedrohlichsten Gefahren. Dank dieses Kontextverständnisses können SOCs echte Bedrohungen inmitten der täglichen Flut ermüdender Warnmeldungen priorisieren.
Attack Discovery verknüpft automatisch zugehörige Warnungen und Ereignisse und korreliert sie zu schlüssigen Angriffsberichten, die die Bewegungen des Angreifers im Netzwerk aufdecken. Analysten können komplette Angriffsketten erkennen, die laterale Bewegungsversuche, Privilegienerweiterungen und potenzielle Datenexfiltration als zusammenhängende Elemente zeigen. Die verwendeten Erkennungsregeln orientieren sich am MITRE ATT&CK® Framework, während Machine-Learning- Komponenten Abweichungen von etablierten Baselines identifizieren. Auf diese Weise werden sowohl bekannte Bedrohungen als auch neuartige Angriffsmethoden erfasst, ohne Analysten mit Fehlalarmen zu überfordern. Angriffe werden bereits in der Frühphase des Angriffszyklus eingedämmt, wodurch das Risiko für kritische Systeme reduziert wird.
Beschleunigung von Ermittlungen mit dem Elastic AI Assistant für SecOps
Der Elastic AI Assistant fungiert als Copilot für SOC-Analysten und automatisiert Aufgaben wie die Zusammenfassung von Warnmeldungen und Workflow-Empfehlungen. Gleichzeitig generiert er Erklärungen zu Bedrohungen in natürlicher Sprache und schlägt entsprechende Gegenmaßnahmen vor. Er nutzt benutzerdefinierte Wissensquellen aus der Verteidigungsbranche wie Bedrohungsberichte, Asset-Informationen und organisatorische Playbooks, um die KI-generierten Erkenntnisse mit den Kontexten und Anforderungen des Verteidigungsministeriums abzugleichen.
Dabei handelt es sich um automatisierte Arbeit auf Expertenniveau, die den Untersuchungsaufwand verkürzt und die in der Digitalen Verteidigungsstrategie des Verteidigungsministeriums identifizierten Bedenken ausräumt – die umfangreichen Verteidigungslücken in der Cybersicherheit bei Personal, Prozessen und Technologie.
Elastic AI Assistant in Aktion
Im Hintergrund integriert Elastic AI Assistant Retrieval Augmented Generation (RAG) mit hybriden Suchfunktionen. Wenn ein Analyst über Abfragen in natürlicher Sprache mit dem System interagiert, ruft es zunächst relevanten Kontext aus normalisierten Datenströmen ab, der in das konfigurierte Large Language Model (LLM) eingespeist wird. Dabei kann es sich um das bevorzugte und gehostete LLM der Verteidigungsnutzer handeln, das in Ihrer sicheren Umgebung betrieben wird. Auf diese Weise können Benutzer in sicheren Umgebungen den kritischen Kontext aufrechterhalten, der generischen KI-Systemen in der Regel fehlt.
Die dem KI-Assistenten zugrunde liegende Search AI Platform von Elastic optimiert die Suchrelevanzbewertung, um hochpräzise Signale beim Abruf zu priorisieren und sicherzustellen, dass Analysten die wichtigsten Erkenntnisse für verteidigungsspezifische Sicherheitsaufgaben erhalten. Diese enge Kopplung zwischen Suchinfrastruktur und generativer KI ermöglicht den Verzicht auf manuelle Datenkorrelation und gewährleistet gleichzeitig die für Verteidigungsoperationen erforderliche Überprüfbarkeit.
Beim Erstellen von Abfragen können selbst kleine Fehler eine Untersuchung beeinträchtigen oder zu unzuverlässigen Ergebnissen führen. Der Elastic AI Assistant hilft, dies mit einem integrierten Validierungs-Workflow für Abfragen in der Elasticsearch Query Language (ES|QL) zu verhindern. Jede vom AI Assistant generierte Abfrage wird automatisch geprüft. Das bedeutet, dass eine Abfrage bereits vor dem Eintreffen bei Ihnen überprüft und an Ihre Umgebung angepasst wurde, sodass Sie sich auf die Genauigkeit der Ergebnisse verlassen können. Da Analysten sich nicht mehr jedes Detail merken müssen, verbringen sie weniger Zeit mit der Fehlerbehebung und können ihre Untersuchungen beschleunigen.
Optimierung der MTTR mit Elastic Security
Elastic Security optimiert die MTTR mit einem einheitlichen Ansatz für die Sicherheitsreaktion, indem es Endpoint- und SIEM-Daten in einer einzigen Betriebsansicht zusammenführt. Auf diese Weise entfällt der Kontextwechsel, der die Incident-Response verlangsamen kann, und die MTTR wird in einigen Fällen um etwa 40 % reduziert.
Fehldiagnostizierte Warnungen, Tool-Übersättigung und Alarmmüdigkeit werden durch Automatisierung, Machine Learning und KI-gestützte Analysen ersetzt, die MTTD und MTTR verkürzen. Hinzu kommen benutzerfreundliche Schnittstellen, eine intuitive Abfragesprache und Visualisierungen, die umfangreiche Schulungen überflüssig machen.
Weitere Informationen
Laden Sie unser Whitepaper herunter und erfahren Sie, wie der KI-gestützte Ansatz von Elastic SOC-Teams im Verteidigungsbereich dabei hilft, die Ermüdung von Analysten zu reduzieren, schneller zu reagieren und die Einsatzbereitschaft aufrechtzuerhalten. Teilen Sie uns Ihre Projektziele mit, um Lösungen für Ihre spezifischen Herausforderungen zu finden, und kontaktieren Sie unsere Verteidigungsexperten.
Sehen Sie sich die anderen Beiträge dieser Serie zur Cybersicherheit an
Entdecken Sie das Thema weiter
- Elastic Attack Discovery
- Agentic KI für Sicherheit
- Webinar: Sicherheitstrends für 2025: Vorhersage der Bedrohungsentwicklung und Abwehr von Grund auf
- Whitepaper: Die Zukunft der Cybersicherheitsabwehr: intelligenter, schneller, widerstandsfähiger
- Whitepaper: Zusammenarbeit in der Verteidigung sichern: Wie KI und behördenübergreifende Datentransparenz die Cyberverteidigungsbereitschaft beschleunigen
- Whitepaper: Beschleunigung der SOC-Operationen im Verteidigungsbereich durch KI-gestützte Suche und Automatisierung
Quellen:
UK Ministry of Defence, „Digital Strategy for Defence“, 2021.
TechUK, „Ministry of Defence releases new Cyber Resilience Strategy for Defence“, 2022.
Under Defense, „SOC Performance Unplugged: Understanding MTTD, MTTA&A, MTTR und mehr“, 2025.
Die Entscheidung über die Veröffentlichung der in diesem Blogeintrag beschriebenen Leistungsmerkmale und Features sowie deren Zeitpunkt liegt allein bei Elastic. Es ist möglich, dass noch nicht verfügbare Leistungsmerkmale oder Features nicht rechtzeitig oder überhaupt nicht veröffentlicht werden.
In diesem Blogpost haben wir möglicherweise generative KI-Tools von Drittanbietern verwendet oder darauf Bezug genommen, die von ihren jeweiligen Eigentümern betrieben werden. Elastic hat keine Kontrolle über die Drittanbieter-Tools und übernimmt keine Verantwortung oder Haftung für ihre Inhalte, ihren Betrieb oder ihre Anwendung sowie für etwaige Verluste oder Schäden, die sich aus Ihrer Anwendung solcher Tools ergeben. Gehen Sie vorsichtig vor, wenn Sie KI-Tools mit persönlichen, sensiblen oder vertraulichen Daten verwenden. Alle Daten, die Sie eingeben, können für das Training von KI oder andere Zwecke verwendet werden. Es gibt keine Garantie dafür, dass Informationen, die Sie bereitstellen, sicher oder vertraulich behandelt werden. Setzen Sie sich vor Gebrauch mit den Datenschutzpraktiken und den Nutzungsbedingungen generativer KI-Tools auseinander.
Elastic, Elasticsearch und zugehörige Marken sind Marken, Logos oder eingetragene Marken von Elasticsearch N.V. in den Vereinigten Staaten und anderen Ländern. Alle anderen Unternehmens- und Produktnamen sind Marken, Logos oder eingetragene Marken ihrer jeweiligen Eigentümer.
Teilen
- Share on Twitter
Auf Twitter teilen
- Share on LinkedIn
Auf LinkedIn teilen
- Share on Facebook
Auf Facebook teilen
- Share by Email
Per E-Mail teilen
- Print this page
Drucken