Wprowadzenie

Microsoft promuje nowy model operacji bezpieczeństwa: agentic SOC. Dla liderów IT i bezpieczeństwa ma to znaczenie, ponieważ rosnąca złożoność ataków, liczba alertów i zagrożenia międzydomenowe sprawiły, że tradycyjne, prowadzone przez ludzi przepływy pracy SOC są coraz trudniejsze do utrzymania. Najnowsze wytyczne Microsoft przedstawiają agentów AI i autonomiczną obronę jako kolejny krok w skalowaniu SecOps.

Czym jest agentic SOC?

Według Microsoft, agentic SOC przesuwa bezpieczeństwo z głównie reakcji na incydenty w stronę przewidywania zachowań atakujących i wcześniejszego ich zakłócania. Model łączy:

• Autonomous threat disruption wbudowane w platformę bezpieczeństwa
• AI agents, które wspierają dochodzenia, korelację, priorytetyzację i reakcję
• Human oversight skoncentrowany na ocenie, nadzorze i decyzjach strategicznych

W przykładzie Microsoft próba kradzieży poświadczeń może w ciągu kilku sekund uruchomić automatyczną blokadę konta i izolację urządzenia, podczas gdy agent AI bada powiązaną aktywność w sygnałach z obszarów tożsamości, endpoint, email i chmury.

Co nowego wnosi przekaz Microsoft

Blog i whitepaper Microsoft podkreślają dwuwarstwowy model przyszłego SecOps:

1. Wbudowana autonomiczna obrona

Ta warstwa bazowa automatycznie obsługuje zagrożenia o wysokim poziomie pewności przy użyciu mechanizmów ograniczonych politykami. Microsoft twierdzi, że rozwiązanie to działa już na dużą skalę: ataki ransomware są zakłócane średnio w trzy minuty, a dziesiątki tysięcy ataków są powstrzymywane każdego miesiąca.

2. Operacyjne przepływy pracy sterowane przez agentów

Na tej podstawie agenci AI pomagają w triage, dochodzeniach i analizie międzydomenowej. Microsoft podaje, że testy wewnętrzne pokazują, iż agenci mogą automatyzować 75% dochodzeń dotyczących phishingu i malware w środowiskach produkcyjnych pod nadzorem defenderów.

Wpływ na zespoły IT i bezpieczeństwa

Dla zespołów SOC praktyczny wniosek nie oznacza pełnego zastąpienia analityków, lecz zmianę roli:

• Analitycy przechodzą od triage alertów do nadzorowania wyników i obsługi niejednoznacznych przypadków
• Detection engineers skupiają się bardziej na jakości sygnałów, progach pewności i logice automatyzacji
• Liderzy bezpieczeństwa będą potrzebować silniejszego governance wokół zachowania agentów, ścieżek eskalacji i dostrajania polityk

Podkreśla to także potrzebę zintegrowanych narzędzi obejmujących tożsamość, endpoint, chmurę i zabezpieczenia email, aby dochodzenia prowadzone przez agentów były naprawdę użyteczne.

Co administratorzy powinni zrobić dalej

Administratorzy bezpieczeństwa i liderzy SOC powinni rozważyć następujące kroki:

• Przejrzeć nowy whitepaper Microsoft dotyczący roadmapy agentic SOC
• Ocenić, gdzie odpowiedź autonomiczna jest już włączona w Microsoft Defender
• Zidentyfikować powtarzalne przepływy dochodzeniowe, które można bezpiecznie zautomatyzować
• Zdefiniować mechanizmy governance dla dochodzeń wspieranych przez AI i działań automatycznych
• Ponownie ocenić role w SOC, szczególnie w obszarze detection engineering i nadzoru

Najważniejszy wniosek

Wizja agentic SOC od Microsoft to strategiczna roadmapa dla kolejnej fazy SecOps: mniej ręcznego triage, szybsze zakłócanie zagrożeń i większe skupienie ludzi na odporności oraz ograniczaniu ryzyka. Organizacje, które już inwestują w Microsoft Defender i szersze możliwości XDR, będą najlepiej przygotowane do wczesnego przetestowania tego modelu.