KI-Angriffe sind noch schneller. Ihre SIEM-Plattform auch?

Ein SIEM – Security Information and Event Management – ist die zentrale Plattform für SecOps. Es erfasst und korreliert Daten in einer Umgebung, erkennt Bedrohungen und verschafft Analysten die nötige Transparenz, um Vorfälle zu untersuchen und zu reagieren. Moderne SIEMs haben sich zu agentischen SecOps-Plattformen weiterentwickelt – mit KI-gestützter Erkennung, automatisierter Untersuchung und nativen Reaktionsfunktionen über den gesamten SOC-Lebenszyklus hinweg –, in denen autonome Agenten die Arbeit und Analysten die Beurteilung übernehmen.

Elastic ist eine agentische SecOps-Plattform, die bereits einheitliches SIEM und XDR umfasst. Autonome Agenten übernehmen den gesamten Lebenszyklus von der Ingestion bis zur Reaktion – sie korrelieren Alerts, untersuchen Entitäten und erstellen Reaktionspläne. Native Automatisierung über Elastic Workflows führt die Reaktion aus: skriptgesteuerte Playbooks für definierte Aufgaben, agentische Denkvorgänge für komplexe Untersuchungen. Der Elastic AI Agent wird mit speziell entwickelten Fähigkeiten für jede SOC-Phase bereitgestellt. Analysten übernehmen Beurteilung, Verifizierung und Genehmigung.

KI-Fähigkeiten sind speziell entwickelte Funktionen, die einem KI-Agenten beibringen, wie er bestimmte Sicherheitsaufgaben ausführt – Bedrohungssuche, Alert-Analyse, Erkennungsengineering, Entitätsanalytik und mehr. Im Gegensatz zu allgemeiner KI sind diese Fähigkeiten genau auf die tagtäglichen Workflows von SOC-Analysten zugeschnitten. Jede Fähigkeit bündelt spezialisierte Anweisungen und Tools für eine einzelne Aufgabe und wird nur bei Bedarf geladen – so bleibt der Agent schlank und präzise, anstatt durch überladene Systemabfragen überlastet zu werden. Die Fähigkeiten greifen zudem ineinander – Alert Analysis sendet Daten an Entity Analytics, und Threat Hunting speist die Erkennungspipeline, ohne dass der Analyst jede Weitergabe manuell verwalten muss.

Elastic bietet mit dem Elastic AI Agent Out-of-the-box-Security-Fähigkeiten, ganz ohne Konfiguration. Diese Fähigkeiten decken Bedrohungssuche, Alert-Analyse, Erkennungsengineering, Entitätsanalytik und Anomalie-Untersuchungen ab. Plattform-Fähigkeiten für die Dashboard-Erstellung, Workflow-Authoring und Graphenerstellung sind ebenfalls verfügbar, sodass Analysten durch Dialoge Dashboards erstellen, Automatisierungen schreiben und Angriffspfade visualisieren können. Fähigkeiten lösen sich automatisch gegenseitig aus und werden über Workflows oder bedarfsbasiert durch Agent Builder ausgeführt. Teams können auch maßgeschneiderte Fähigkeiten für ihre Umgebung erstellen. Fähigkeiten sind innerhalb von Elastic Security oder von jedem MCP-kompatiblen KI-Tool wie Claude, Cursor und VS Code aus zugänglich. Jeder Denkschritt ist sichtbar und überprüfbar.

Elastic Security ist von jedem MCP-kompatiblen KI-Tool aus zugänglich – einschließlich Claude, Cursor, VS Code und GitHub Copilot. Über die Elastic Security MCP App können Analysten Alerts triagieren, Bedrohungssuchen ausführen, Tickets verwalten und mit Erkennungsregeln interagieren, ohne das KI-Tool zu verlassen, in dem sie bereits arbeiten. Die gleichen Fähigkeiten, die in Elastic Security verfügbar sind, stehen auch extern zur Verfügung. Security-Arbeit findet dort statt, wo sich der Analyst befindet, nicht nur in einer dedizierten Konsole.

Ja. Elastic Workflows integriert native Automatisierung direkt in Elastic Security – wo Ihre Sicherheitsdaten bereits im SIEM gespeichert sind. Es automatisiert Triage, Anreicherung, Reaktion, Benachrichtigung und Ticketmanagement für jedes Alert und jede Untersuchung. Workflows kombiniert skriptbasierte Automatisierung für definierte Aufgaben mit agentischer Logik für komplexe Untersuchungen, sodass KI-Agenten auf Basis ihrer Erkenntnisse handeln können. Es ist kein separates SOAR-System erforderlich, das gekauft, integriert oder gewartet werden muss, und es gibt auch keine Integration, die während eines laufenden Vorfalls ausfällt.

Elastic ist die agentische SecOps-Plattform, die SIEM, XDR und native Automatisierung vereint. Die Erkennungsregeln werden von Elastic Security Labs entwickelt, von der Community validiert und sind zur Überprüfung offen einsehbar. Die Plattform lässt sich ohne das Verschieben von Daten on-premises, in der Cloud oder in luftdichten Netzwerkumgebungen bereitstellen. Während Legacy-SIEM-Systeme strukturelle Bürden für Endpoints, Automatisierung, KI und Datenzugriff mit sich bringen, ist Elastic darauf ausgelegt, diese zu beseitigen.

Legacy-SecOps-Plattformen erlegen den SOC-Teams vier strukturelle Bürden auf – Kosten und Hindernisse, die vor dem Einsatz von KI durch Angreifer schon ineffizient waren und jetzt ein Risiko darstellen.

• Die Endpoint-Bürde: Abrechnung pro Gerät, die Kompromisse bei der Abdeckung erzwingt. Teams lassen Endpoints unüberwacht, weil die Kosten für eine vollständige Abdeckung unerschwinglich sind. Elastic umfasst XDR und Endpoint-Telemetrie ohne Gebühr pro Gerät – jeder Endpoint ist abgedeckt, und die Entscheidung über die Abdeckung wird nicht durch ein Preismodell bestimmt.
• Die Automatisierungsbürde: Eine separate SOAR-Lizenz ist erforderlich, damit das SIEM aktiv wird. Elastic Workflows ist nativer Bestandteil der Plattform. Sie müssen kein separates Produkt kaufen, integrieren oder warten.
• Die KI-Blackbox-Bürde: Proprietäre KI, die ihre Denkvorgänge verbirgt, sodass die Teams nicht in der Lage sind, die in ihrem Namen getroffenen Entscheidungen zu überprüfen. Die KI von Elastic ist transparent – Sie sehen die Prompts, Abfragen und Überlegungen hinter jeder Entscheidung. Jedes LLM kann genutzt werden, einschließlich On-Prem-Modelle für luftdichte Netzwerke.
• Die Datenbürde: Verzögerungen bei der Rehydrierung und Obergrenzen für die Ingestion, wodurch historische Daten während aktiver Untersuchungen unerreichbar werden. Elastic fragt Daten dort ab, wo sie gespeichert sind – Jahre von historischen Daten, die in derselben Abfrage wie Live-Daten durchsuchbar sind, ganz ohne Rehydrierungswartezeit oder andere Nachteile.

Gemeinsam stellen diese vier Bürden – Endpoint-, Automatisierungs-, KI-Blackbox- und Datenbürde – strukturelle Barrieren dar, die Sicherheitsabläufe fragmentieren und Lücken schaffen, die von Angreifern ausgenutzt werden. Elastic ist so konzipiert, dass alle vier eliminiert werden.

Ja. Elastic lässt sich On-Prem, in der Cloud oder in luftdichten Netzwerken bereitstellen, ohne dass Daten verschoben werden müssen. Die föderierte Suche führt Abfragen über verteilte Deployments hinweg aus, ohne Daten zu zentralisieren. KI-gestütztes Reasoning unterstützt On-Prem-LLMs für luftdichte Netzwerke – ohne Abhängigkeit vom Cloud-Modell eines Anbieters. Elastic Cloud verfügt über Zertifizierungen wie PCI-DSS, HIPAA, FedRAMP, DSGVO und TISAX. Die vollständige Dokumentation finden Sie in unserem Trust Center. Damit ist Elastic die Plattform der Wahl für Verteidigung, Behörden und regulierte Branchen mit strengen Anforderungen an Datenresidenz und Compliance.

Elastic unterstützt über 400 vorgefertigte Integrationen und bis zu 1.000 Sicherheits- und Datenquellenintegrationen insgesamt. Wenn eine neue Quelle verbunden wird, identifiziert die Plattform den Datentyp, ordnet das Schema automatisch zu und empfiehlt Erkennungsregeln, ganz ohne Pipeline-Engineering. Universelle Schema-Unterstützung über ECS und OCSF hinweg bedeutet, dass eine einmal geschriebene Erkennung quellenübergreifend funktioniert. Daten, die über OpenTelemetry versendet werden, werden nativ unterstützt.