Introduktion

Microsoft argumenterer for en ny model for sikkerhedsdrift: agentic SOC. For IT- og sikkerhedsledere er dette vigtigt, fordi den voksende kompleksitet i angreb, mængden af alarmer og trusler på tværs af domæner har gjort traditionelle menneskestyrede SOC-workflows sværere at opretholde. Microsofts seneste vejledning beskriver AI-agenter og autonomt forsvar som næste skridt i at skalere SecOps.

Hvad er agentic SOC?

Ifølge Microsoft flytter agentic SOC sikkerhed fra primært at reagere på hændelser til at forudse angriberadfærd og afbryde den tidligere. Modellen kombinerer:

• Autonom trusselsforstyrrelse indbygget i sikkerhedsplatformen
• AI-agenter der hjælper med undersøgelse, korrelation, prioritering og respons
• Menneskeligt tilsyn med fokus på vurdering, governance og strategiske beslutninger

I Microsofts eksempel kan et forsøg på tyveri af legitimationsoplysninger udløse automatisk kontolåsning og enhedsisolering inden for få sekunder, mens en AI-agent undersøger relateret aktivitet på tværs af identitet, endpoint, email og cloud-signaler.

Hvad er nyt i Microsofts budskab

Microsofts blog og whitepaper fremhæver en tolagsmodel for fremtidens SecOps:

1. Indbygget autonomt forsvar

Dette grundlæggende lag håndterer trusler med høj sikkerhed automatisk ved hjælp af politikbundne kontroller. Microsoft siger, at dette allerede kører i stor skala, hvor ransomware-angreb afbrydes på gennemsnitligt tre minutter, og titusindvis af angreb inddæmmes hver måned.

2. Agentdrevne operationelle workflows

Oven på dette hjælper AI-agenter med triage, undersøgelser og analyse på tværs af domæner. Microsoft oplyser, at interne test viser, at agenter kan automatisere 75 % af phishing- og malwareundersøgelser i live-miljøer under tilsyn af defenders.

Betydning for IT- og sikkerhedsteams

For SOC-teams er den praktiske konklusion ikke en fuld erstatning af analytikere, men et skift i roller:

• Analytikere går fra alarmtriage til at overvåge resultater og håndtere tvetydige sager
• Detection engineers fokuserer mere på signalkvalitet, tillidstærskler og automatiseringslogik
• Sikkerhedsledere får behov for stærkere governance omkring agentadfærd, eskaleringsveje og justering af politikker

Dette understreger også behovet for integrerede værktøjer på tværs af identitet, endpoint, cloud og email-sikkerhed for at gøre agentdrevne undersøgelser nyttige.

Hvad administratorer bør gøre nu

Sikkerhedsadministratorer og SOC-ledere bør overveje disse næste skridt:

• Gennemgå Microsofts nye whitepaper om roadmap for agentic SOC
• Vurdér, hvor autonom respons allerede er aktiveret i Microsoft Defender
• Identificér gentagne undersøgelsesworkflows, som sikkert kan automatiseres
• Definér governance-kontroller for AI-assisterede undersøgelser og automatiske handlinger
• Revurdér SOC-roller, især omkring detection engineering og tilsyn

Konklusion

Microsofts vision om agentic SOC er et strategisk roadmap for næste fase af SecOps: mindre manuel triage, hurtigere afbrydelse og mere menneskeligt fokus på robusthed og risikoreduktion. Organisationer, der allerede har investeret i Microsoft Defender og bredere XDR-funktioner, vil være bedst positioneret til at teste denne model tidligt.