Введение

Microsoft продвигает новую модель операций безопасности: agentic SOC. Для ИТ- и security-руководителей это важно, поскольку растущая сложность атак, объём оповещений и междоменные угрозы делают традиционные рабочие процессы SOC под управлением людей всё менее устойчивыми. В последних рекомендациях Microsoft AI agents и автономная защита рассматриваются как следующий этап масштабирования SecOps.

Что такое agentic SOC?

По данным Microsoft, agentic SOC переводит безопасность от преимущественно реактивного реагирования на инциденты к предвосхищению поведения атакующих и более раннему пресечению атак. Модель объединяет:

• Автономное предотвращение угроз, встроенное в платформу безопасности
• AI agents, которые помогают с расследованием, корреляцией, приоритизацией и реагированием
• Контроль со стороны человека, сосредоточенный на суждении, governance и стратегических решениях

В примере Microsoft попытка кражи учётных данных может в течение секунд автоматически привести к блокировке учётной записи и изоляции устройства, в то время как AI agent расследует связанную активность по сигналам identity, endpoint, email и cloud.

Что нового в подходе Microsoft

В блоге и whitepaper Microsoft делает акцент на двухуровневой модели будущего SecOps:

1. Встроенная автономная защита

Этот базовый уровень автоматически обрабатывает угрозы с высокой степенью уверенности с помощью контролей, ограниченных политиками. Microsoft заявляет, что это уже работает в крупном масштабе: ransomware-атаки пресекаются в среднем за три минуты, а ежемесячно локализуются десятки тысяч атак.

2. Операционные workflows, управляемые агентами

Поверх этого уровня AI agents помогают с triage, расследованиями и междоменным анализом. Microsoft сообщает, что внутреннее тестирование показывает: агенты могут автоматизировать 75% расследований phishing и malware в реальных средах под контролем Defender.

Влияние на ИТ- и security-команды

Для команд SOC практический вывод заключается не в полной замене аналитиков, а в изменении ролей:

• Аналитики переходят от triage оповещений к контролю результатов и обработке неоднозначных случаев
• Detection engineers больше сосредотачиваются на качестве сигналов, порогах уверенности и логике автоматизации
• Security-руководителям потребуется более сильное governance в отношении поведения агентов, путей escalation и настройки политик

Это также подчёркивает необходимость интегрированных инструментов для identity, endpoint, cloud и email security, чтобы расследования под управлением агентов были действительно полезны.

Что администраторам делать дальше

Администраторам безопасности и руководителям SOC стоит рассмотреть следующие шаги:

• Изучить новый whitepaper Microsoft о roadmap для agentic SOC
• Оценить, где в Microsoft Defender уже включено автономное реагирование
• Определить повторяющиеся workflows расследований, которые можно безопасно автоматизировать
• Определить governance-контроли для расследований с поддержкой AI и автоматических действий
• Пересмотреть роли в SOC, особенно в области detection engineering и контроля

Итог

Видение Microsoft для agentic SOC — это стратегическая дорожная карта следующего этапа SecOps: меньше ручного triage, более быстрое пресечение угроз и больший фокус людей на устойчивости и снижении рисков. Организации, уже использующие Microsoft Defender и более широкие возможности XDR, будут в наилучшем положении для раннего тестирования этой модели.