Security

Microsoft CTI-REALM benchmark til AI detection engineering

3 min læsning

Resumé

Microsoft har lanceret CTI-REALM, en open-source benchmark, der måler om AI-agenter faktisk kan udføre detection engineering fra ende til anden ud fra threat intelligence-rapporter frem for blot at svare på sikkerhedsspørgsmål. Det er vigtigt for SOC- og sikkerhedsteams, fordi benchmarken tester realistiske workflows, værktøjer og mellemtrin på tværs af Linux, AKS og Azure, hvilket kan give et mere retvisende billede af, hvor moden AI er til operationelt sikkerhedsarbejde.

Brug for hjælp med Security?Tal med en ekspert

Introduktion

Microsoft har annonceret CTI-REALM, en ny open-source benchmark målrettet en voksende udfordring i sikkerhedsoperationer: at afgøre, om AI-agenter kan udføre reelt detection engineering-arbejde og ikke blot besvare cybersikkerhedsspørgsmål. For sikkerhedsteams, der evaluerer AI til SOC- og detection-scenarier, er dette vigtigt, fordi benchmarken fokuserer på operationelle resultater—opbygning og validering af detections ud fra threat intelligence.

Hvad er nyt i CTI-REALM

CTI-REALM (Cyber Threat Intelligence Real World Evaluation and LLM Benchmarking) er bygget til at teste det fulde workflow, som sikkerhedsanalytikere følger, når de opretter detections.

Nøglefunktioner

  • Evaluerer AI-agenter på end-to-end generering af detection-regler frem for isolerede tests af CTI-viden.
  • Anvender 37 kuraterede CTI-rapporter fra offentlige kilder, herunder Microsoft Security, Datadog Security Labs, Palo Alto Networks og Splunk.
  • Måler performance på tværs af Linux-endpoints, Azure Kubernetes Service (AKS) og Azure cloud-infrastruktur.
  • Scorer ikke kun de endelige outputs, men også mellemtrin såsom:
    • Forståelse af CTI-rapporter
    • Mapping til MITRE ATT&CK-teknikker
    • Identifikation af datakilder
    • Forfining af KQL-queries
    • Generering af Sigma-regler
  • Giver agenter adgang til realistiske værktøjer, herunder CTI-repositories, schema explorers, Kusto query engines, MITRE ATT&CK-referencer og Sigma-databaser.

Tidlige resultater fra Microsofts test

Microsoft evaluerede 16 frontier model-konfigurationer på CTI-REALM-50, et benchmark-sæt med 50 opgaver.

Bemærkelsesværdige resultater omfatter:

  • Anthropic Claude-modeller toppede ranglisten, primært på grund af stærkere værktøjsbrug og iterativ query-forfining.
  • I GPT-5-familien overgik medium reasoning high reasoning, hvilket tyder på, at mere reasoning kan reducere effektiviteten i agentiske detection-scenarier.
  • Azure cloud-detection viste sig at være den mest udfordrende, med lavere scorer end Linux og AKS på grund af kompleksiteten ved at korrelere flere telemetrikilder.
  • Fjernelse af CTI-specifikke værktøjer reducerede performance på tværs af alle testede modeller.
  • Tilføjelse af menneskeskrevet workflow-vejledning forbedrede performance markant for mindre modeller.

Hvorfor dette er vigtigt for IT- og sikkerhedsadministratorer

For SOC-ledere, detection engineers og sikkerhedsarkitekter tilbyder CTI-REALM en mere praktisk måde at evaluere AI på, før det tages i brug i produktionsworkflows. I stedet for at basere sig på brede benchmark-scorer kan teams identificere, hvor en model har udfordringer—såsom threat comprehension, telemetry mapping eller regelspecificitet.

Dette kan hjælpe organisationer med at:

  • Validere, om en AI-model er egnet til detection engineering-opgaver
  • Identificere, hvor menneskelig gennemgang og guardrails fortsat er nødvendige
  • Sammenligne modeller objektivt før operationel implementering
  • Øge tilliden til AI-assisteret udvikling af detections

Næste skridt

Sikkerhedsteams med interesse i AI-assisteret detection engineering bør:

  • Gennemgå CTI-REALM-forskningspapiret og benchmark-metodologien
  • Teste kandidatmodeller mod benchmarken før produktionsadoption
  • Bruge resultaterne til at definere review-processer og guardrails
  • Overvåge Inspect AI-repositoriet for tilgængelighed af CTI-REALM og community-bidrag

Microsoft positionerer CTI-REALM som en community-ressource, der skal hjælpe branchen med at benchmarke modeller konsistent og anvende AI mere sikkert i sikkerhedsoperationer.

Brug for hjælp med Security?

Vores eksperter kan hjælpe dig med at implementere og optimere dine Microsoft-løsninger.

Tal med en ekspert

Hold dig opdateret om Microsoft-teknologier

Læs den originale artikel af Arjun Chakraborty
SecurityAI agentsthreat intelligencedetection engineeringKQL

Relaterede indlæg

Security

Trivy supply chain compromise: Defender-guide

Microsoft har udgivet vejledning til detektion, undersøgelse og afhjælpning af Trivy supply chain compromise i marts 2026, som påvirkede Trivy-binæren og relaterede GitHub Actions. Hændelsen er vigtig, fordi den gjorde betroet CI/CD-sikkerhedsværktøj til et våben for at stjæle legitimationsoplysninger fra build-pipelines, cloud-miljøer og udviklersystemer, mens det så ud til at køre normalt.

Security

AI-agentstyring: Afstemning af intention for sikkerhed

Microsoft skitserer en styringsmodel for AI-agenter, der afstemmer bruger-, udvikler-, rollebaseret og organisatorisk intention. Rammeværket hjælper virksomheder med at holde agenter nyttige, sikre og compliant ved at definere adfærdsgrænser og en klar rækkefølge, når konflikter opstår.

Security

Microsoft Defender predictive shielding stopper GPO-ransomware

Microsoft beskrev en reel ransomware-sag, hvor Defenders predictive shielding opdagede ondsindet misbrug af Group Policy Object (GPO), før krypteringen begyndte. Ved at hærdne GPO-udrulning og afbryde kompromitterede konti blokerede Defender cirka 97 % af de forsøgte krypteringsaktiviteter og forhindrede, at nogen enheder blev krypteret via GPO-leveringsvejen.

Security

Microsoft sikkerhed til agentic AI på RSAC 2026

Microsoft præsenterede på RSAC 2026 en samlet sikkerhedsstrategi for agentic AI og annoncerede, at Agent 365 bliver generelt tilgængelig 1. maj som et kontrolplan til at overvåge, beskytte og styre AI-agenter i stor skala. Samtidig udvider virksomheden synligheden i AI-risici med nye og kommende værktøjer som Security Dashboard for AI, Shadow AI Detection i Entra og forbedret Intune-appinventar, hvilket er vigtigt for virksomheder, der vil bruge AI sikkert uden at miste kontrol over data, identiteter og skygge-IT.

Security

Zero Trust for AI: Microsofts nye sikkerhedsmodel

Microsoft har lanceret Zero Trust for AI, som overfører de velkendte principper om eksplicit verifikation, mindst mulige privilegier og antagelse om brud til AI-miljøer med modeller, agenter og datakilder. Samtidig udvider virksomheden sin Zero Trust Workshop med en ny AI-søjle og opdaterede vurderingsværktøjer, så organisationer mere systematisk kan identificere og håndtere AI-specifikke trusler som prompt injection og data poisoning. Det er vigtigt, fordi virksomheder får en konkret ramme til at gøre AI-udrulning mere sikker og moden på tværs af IT, sikkerhed og forretning.

Security

Microsoft advarer om phishing i skattesæsonen

Microsoft advarer om en bølge af skatte-relaterede phishing- og malwarekampagner, der udnytter emner som W-2, 1099, refusioner og kontakt med revisorer til at stjæle legitimationsoplysninger og omgå 2FA. Det er vigtigt, fordi angrebene i stigende grad er målrettede og bruger teknikker som QR-koder, flertrins-omdirigeringer, cloud-hostede filer og legitime administrationsværktøjer, hvilket gør dem sværere at opdage med traditionelle sikkerhedskontroller.