Von Alarmmüdigkeit zu agentenbasierter Reaktion: Wie Workflows und Agent Builder den Regelkreis schließen

Die Verantwortlichen der SOCs stehen täglich vor der Herausforderung, mit einfachen mathematischen Gesetzmäßigkeiten umzugehen, die einfach nicht aufgehen. Die Datenmengen wachsen exponentiell, die Angriffsflächen vergrößern sich weltweit, doch die Kapazität Ihres Teams bleibt linear. Dieses Problem lässt sich nicht durch Neueinstellungen lösen.

Der Versuch, einzelnen Benachrichtigungen nachzugehen, ist eine zum Scheitern verurteilte Strategie. Um erfolgreich zu sein, müssen wir über einfache Automatisierungsskripte hinausgehen und in das Zeitalter der agentenbasierten KI eintreten.

Bei Elastic betrachten wir den modernen Sicherheitsbetrieb als ein operatives Nervensystem. Es braucht Sinne (die Datengrundlage, um alles zu sehen), ein Gehirn 🧠 (KI-gesteuerte Analysen, um das Signal im Rauschen zu finden) und Hände 🙌 (Arbeitsabläufe, um Aktionen auszuführen und Ergebnisse zu erzielen).

Mit der Einführung von Agent Builder und Elastic Workflows vereinen wir diese Elemente. Wir liefern Ihnen nicht einfach nur einen Chatbot; wir geben Ihnen die Möglichkeit, ein autonomes SOC aufzubauen, in dem Agenten Daten analysieren und Workflows komplexe Aktionen ausführen – und zwar bidirektional.

Hier erfahren Sie, wie diese beiden leistungsstarken Systeme zusammenarbeiten, um Ihre Sicherheitsabläufe zu transformieren.

Die Kraft des Zusammenspiels von „Gehirn“ und „Händen“.

Um zu verstehen, warum diese Kombination von Bedeutung ist, müssen wir ihre Rollen differenzieren.

• Elastische Arbeitsabläufe (Die Hände): Diese sind deterministisch. Sie eignen sich perfekt für starre, wiederholbare Prozesse – „Wenn X passiert, erstelle ein Jira-Ticket, pinge Slack an und isoliere den Host.“ Sie bieten Struktur, Nachvollziehbarkeit und Zuverlässigkeit.
• Agenten-Builder (Das Gehirn): Agenten arbeiten probabilistisch und auf Grundlage von Schlussfolgerungen. Sie nehmen ihre Umgebung wahr, planen eine Abfolge von Schritten und passen sich an. Ein Agent kann einen vagen Bedrohungsbericht einsehen und entscheiden, welche Abfragen durchgeführt werden sollen, um Beweise zu finden.

Die Magie entsteht durch das Zusammenspiel beider: Bisher musste man sich zwischen einem starren Handlungsplan und einer manuellen Untersuchung entscheiden. Workflows können nun Agenten aufrufen, um während einer Automatisierungsschleife komplexe Analysen durchzuführen, und Agenten können Workflows als Werkzeuge aufrufen , um während eines Chats zuverlässige, rechenintensive Aktionen durchzuführen.

Was dies nicht ist

Um es klarzustellen: Es geht hier nicht darum, Ihre Analysten zu ersetzen. Es geht darum, die Mühen zu beseitigen, die sie daran hindern, die Arbeit zu tun, die wirklich zählt – das kreative, konfrontative Denken, das kein Modell nachbilden kann. Ziel ist es, Ihr Team von reaktiven Log-Jägern zu proaktiven Bedrohungsjägern zu entwickeln. Der Agent erledigt die Fleißarbeit; Ihre Mitarbeiter treffen die Entscheidungen.

Anwendungsfall: Automatisierte Triage bei Alarmierung

Von der Alarmierung zur Analyse ohne menschliches Eingreifen

Betrachten wir ein reales Szenario mit einem Ransomware-Angriff (z. B. BlackCat/ALPHV – ein Ransomware-as-a-Service-Angriff). In einem herkömmlichen Setup wird eine Warnung ausgelöst, und ein Analyst verbringt 30 Minuten damit, Protokolle zu sammeln, die Virusanzahl zu überprüfen und eine Zusammenfassung zu schreiben.

Mit Elastic wird diese gesamte Triagephase automatisiert, bevor der Analyst seinen Laptop öffnet, wodurch die durchschnittliche Triagezeit von 30 Minuten auf unter 2 Minuten reduziert wird.

Der Arbeitsablauf:

1. Auslösen: Attack Discovery läuft nach einem Zeitplan und korreliert 15 unterschiedliche Warnmeldungen zu einer einzigen, hochpräzisen Angriffskette.
2. Workflow-Schritt (Anreicherung): Der Workflow wird automatisch ausgelöst und durchläuft alle beteiligten Entitäten – Hosts, Benutzer, Dateihashes. Es führt eine Abfrage gegen Bedrohungsinformationsquellen wie VirusTotal durch.
3. Workflow-Schritt (Agent aufrufen): Der Workflow übergibt dieses Datenpaket an einen bestimmten „Triage-Agenten“.
4. Agentenausführung: Der Agent kopiert die Daten nicht einfach nur. Es analysiert die Angriffskette, vergleicht sie mit dem MITRE ATT&CK-Framework, korreliert zugehörige Protokolle und generiert eine für einen Tier 2 -Analysten lesbare Untersuchungszusammenfassung.
5. Ergebnis: Der Workflow speichert diese KI-generierte Analyse direkt in einem neuen Fall, inklusive Schweregradbewertung, detaillierter Untersuchung, Ursachenanalyse und empfohlenen nächsten Schritten.

Auswirkungen auf den Nutzer: Der Analyst beginnt seinen Tag mit der Überprüfung eines vollständig kontextualisierten Falls und muss sich nicht mehr mit Rohdaten von Protokollen herumschlagen.

Anwendungsfall: Die Untersuchung mit dem Fokus auf den Menschen

Natürliche Sprache in deterministisches Handeln umwandeln

Sobald ein Analyst mit einer Untersuchung beginnt, muss er oft administrative Aufgaben erledigen, die seinen Arbeitsfluss unterbrechen, wie z. B. herauszufinden, wer Bereitschaftsdienst hat, Krisenstäbe einzurichten oder die Führungsebene zu benachrichtigen.

Bei Elastic Security bleibt der Analyst in der Chat-Oberfläche. Da wir es Ihnen ermöglichen, Workflows als Werkzeuge für Ihre Agenten zu definieren, kann der Analyst den Agenten einfach bitten, die Logistik zu übernehmen.

Der Arbeitsablauf:

1. Analystenaufforderung: „Es handelt sich um einen bestätigten Vorfall.“ Wer hat Bereitschaftsdienst? Bitte erstellen Sie einen Slack-Kanal für diesen Vorfall und laden Sie die Betroffenen ein.
2. Agentenbegründung: Der Agent erkennt, dass die Absicht mit einem von Ihnen vorkonfigurierten Workflow-Tool namens „Incident Response Setup“ übereinstimmt.
3. Workflow-Ausführung:
   • Schritt 1: Fragt die PagerDuty-Integration ab, um den diensthabenden Techniker zu finden.
   • Schritt 2: Ruft die Slack-API auf, um einen Kanal mit dem Namen #incident-[id] zu erstellen.
   • Schritt 3: Veröffentlicht die erste Fallzusammenfassung in diesem Kanal.
4. Ergebnis: Der Agent bestätigt dem Analysten: „Ich habe den Kanal #incident-982 erstellt und Jane Doe (im Bereitschaftsdienst) dem Kanal hinzugefügt.“

Anwendungsfall: Geführte Sanierung und Eindämmung

Präzise Reaktion bei hoher Geschwindigkeit

Wenn es darum geht, eine Bedrohung einzudämmen, ist Schnelligkeit entscheidend, aber Sicherheit ebenso. Sie wollen nicht, dass ein LLM einen API-Aufruf an eine Firewall "halluziniert". Hier spielt die Kombination aus Agent und Workflow ihre Stärken im Hinblick auf die Sicherheit aus.

Der Arbeitsablauf:

1. Analystenaufforderung: „Isolieren Sie den Host, der an der BlackCat-Warnung beteiligt ist.“
2. Agentenlogik: Der Agent identifiziert den host123 -Host aus dem Kontext der Untersuchung. Es wird ein Plan erstellt, um den Workflow „Host Isolation“ aufzurufen.
3. Entscheidungspunkt: Der Agent präsentiert dem Benutzer den Plan: „Ich werde nun den Workflow ‚Host isolieren‘ für Host123 über Elastic Defend auslösen.“
4. Workflow-Ausführung: Der deterministische Workflow führt den Isolationsbefehl über Elastic Defend (XDR) aus und stellt so sicher, dass die Aktion protokolliert und genau wie von Ihrem Entwicklungsteam definiert ausgeführt wird.
5. Ergebnis: Der Wirt wird sofort isoliert.

Auswirkungen auf den Benutzer: Sie erhalten die einfache Interaktion in natürlicher Sprache kombiniert mit der Sicherheit und den Prüfprotokollen einer fest codierten Automatisierung.

Wir entfernen uns von einer Welt, in der man sich zwischen flexiblem KI-Chat und starren SOAR-Playbooks entscheiden muss. Die Zukunft ist ein autonomes SOC, in dem die beiden untrennbar miteinander verbunden sind.

Durch die Verwendung des Agent Builders zur Erstellung kundenspezifischer Agenten, die Ihre spezifische Umgebung verstehen (unter Verwendung von RAG mit Ihren eigenen Daten), und die Ausstattung dieser Agenten mit Elastic Workflows als Werkzeuge, vervielfachen Sie effektiv die Kapazität und Skalierungskompetenz Ihres Teams. Sie setzen nicht einfach nur einen Chatbot ein; Sie setzen ein virtuelles Teammitglied ein, das Ihre Betriebsabläufe kennt, Ihre Berechtigungen respektiert und rund um die Uhr arbeitet.

Für detailliertere Informationen zum Einstieg in Agent Builder lesen Sie diesen Blog.

Agent Builder und Workflows sind ab sofort als technische Vorschau verfügbar. Starten Sie mit einer Elastic Cloud-Testversion und sehen Sie sich hier die Dokumentation für Agent Builder und hier die Dokumentation für Workflows an.