Security

CTI-REALM open-source benchmark voor AI-detectie

3 min leestijd

Samenvatting

Microsoft heeft CTI-REALM uitgebracht, een open-source benchmark die meet of AI-agents daadwerkelijk bruikbare detectieregels kunnen bouwen en valideren op basis van threat intelligence, in plaats van alleen cybervragen te beantwoorden. Dat is relevant voor security- en SOC-teams, omdat het een realistischer beeld geeft van de praktische inzetbaarheid van AI in detectie-engineering over Linux, AKS en Azure-omgevingen.

Hulp nodig met Security?Praat met een expert

Introductie

Microsoft heeft CTI-REALM aangekondigd, een nieuwe open-source benchmark gericht op een groeiende uitdaging in security operations: bepalen of AI-agents echt detectie-engineeringwerk kunnen uitvoeren, en niet alleen cybersecurityvragen kunnen beantwoorden. Voor securityteams die AI evalueren voor SOC- en detectietoepassingen is dit belangrijk, omdat de benchmark zich richt op operationele uitkomsten—het bouwen en valideren van detecties op basis van threat intelligence.

Wat is er nieuw in CTI-REALM

CTI-REALM (Cyber Threat Intelligence Real World Evaluation and LLM Benchmarking) is ontwikkeld om de volledige workflow te testen die security-analisten volgen bij het maken van detecties.

Belangrijkste mogelijkheden

  • Evalueert AI-agents op end-to-end generatie van detectieregels in plaats van geïsoleerde tests van CTI-kennis.
  • Gebruikt 37 samengestelde CTI-rapporten uit openbare bronnen, waaronder Microsoft Security, Datadog Security Labs, Palo Alto Networks en Splunk.
  • Meet prestaties in Linux-endpoints, Azure Kubernetes Service (AKS) en Azure-cloudinfrastructuur.
  • Beoordeelt niet alleen de eindresultaten, maar ook tussenliggende stappen zoals:
    • Begrip van CTI-rapporten
    • MITRE ATT&CK-techniekmapping
    • Identificatie van databronnen
    • Verfijning van KQL-query's
    • Generatie van Sigma-regels
  • Biedt agents realistische tooling, waaronder CTI-repositories, schema explorers, Kusto query engines, MITRE ATT&CK-referenties en Sigma-databases.

Vroege bevindingen uit Microsofts tests

Microsoft evalueerde 16 frontier model configurations op CTI-REALM-50, een benchmarkset met 50 taken.

Opvallende resultaten zijn onder meer:

  • Anthropic Claude-modellen voerden de ranglijst aan, grotendeels dankzij sterker toolgebruik en iteratieve queryverfijning.
  • In de GPT-5-familie presteerde medium reasoning beter dan high reasoning, wat erop wijst dat meer redeneercapaciteit de effectiviteit in agentic detectiescenario's kan verminderen.
  • Azure-clouddetectie bleek het moeilijkst, met lagere scores dan Linux en AKS door de complexiteit van het correleren van meerdere telemetry-bronnen.
  • Het verwijderen van CTI-specifieke tools verlaagde de prestaties van alle geteste modellen.
  • Het toevoegen van door mensen geschreven workflowrichtlijnen verbeterde de prestaties van kleinere modellen aanzienlijk.

Waarom dit belangrijk is voor IT- en securitybeheerders

Voor SOC-leiders, detectie-engineers en securityarchitecten biedt CTI-REALM een praktischere manier om AI te evalueren voordat het in productie-workflows wordt gebruikt. In plaats van te vertrouwen op brede benchmarkscores, kunnen teams vaststellen waar een model moeite mee heeft—zoals threat comprehension, telemetry-mapping of regelspecificiteit.

Dit kan organisaties helpen om:

  • De geschiktheid van AI-modellen voor detectie-engineeringtaken te valideren
  • Vast te stellen waar menselijke beoordeling en guardrails nog steeds nodig zijn
  • Modellen objectief te vergelijken vóór operationele uitrol
  • Het vertrouwen in AI-ondersteunde detectieontwikkeling te vergroten

Volgende stappen

Securityteams die geïnteresseerd zijn in AI-ondersteunde detectie-engineering zouden:

  • De CTI-REALM-researchpaper en benchmarkmethodologie moeten bekijken
  • Kandidaatmodellen tegen de benchmark moeten testen vóór productie-adoptie
  • Resultaten moeten gebruiken om reviewprocessen en guardrails te definiëren
  • De Inspect AI-repository moeten volgen voor beschikbaarheid van CTI-REALM en bijdragen vanuit de community

Microsoft positioneert CTI-REALM als een communityresource om de sector te helpen modellen consistent te benchmarken en AI veiliger toe te passen in security operations.

Hulp nodig met Security?

Onze experts helpen u bij het implementeren en optimaliseren van uw Microsoft-oplossingen.

Praat met een expert

Blijf op de hoogte van Microsoft-technologieën

Lees het originele artikel van Arjun Chakraborty
SecurityAI agentsthreat intelligencedetection engineeringKQL

Gerelateerde artikelen

Security

Trivy supply chain-aanval: Defender-richtlijnen

Microsoft heeft detectie-, onderzoeks- en mitigatierichtlijnen gepubliceerd voor het Trivy supply chain-compromis van maart 2026, dat de Trivy-binary en gerelateerde GitHub Actions trof. Het incident is belangrijk omdat vertrouwde CI/CD-beveiligingstools werden misbruikt om referenties te stelen uit buildpijplijnen, cloudomgevingen en ontwikkelaarsystemen terwijl alles ogenschijnlijk normaal bleef werken.

Security

AI-agentgovernance: intent afstemmen voor security

Microsoft schetst een governancemodel voor AI-agents dat gebruikers-, ontwikkelaars-, rolgebaseerde en organisatorische intent op elkaar afstemt. Het framework helpt ondernemingen agents nuttig, veilig en compliant te houden door gedragsgrenzen en een duidelijke rangorde te definiëren wanneer conflicten ontstaan.

Security

Microsoft Defender predictive shielding stopt GPO-ransomware

Microsoft beschreef een praktijkgeval van ransomware waarbij Defender’s predictive shielding misbruik van Group Policy Objects (GPO’s) detecteerde voordat encryptie begon. Door GPO-verspreiding te verharden en gecompromitteerde accounts te verstoren, blokkeerde Defender ongeveer 97% van de poging tot encryptie en voorkwam het dat apparaten via het GPO-distributiepad werden versleuteld.

Security

Microsoft beveiliging voor agentic AI op RSAC 2026

Microsoft presenteerde op RSAC 2026 een end-to-end beveiligingsaanpak voor agentic AI, met als belangrijkste aankondiging dat Agent 365 op 1 mei algemeen beschikbaar wordt als control plane om AI-agents op schaal te beheren, beveiligen en monitoren. Daarnaast introduceert het bedrijf nieuwe zichtbaarheidstools zoals het Security Dashboard for AI en Entra Internet Access Shadow AI Detection, wat belangrijk is omdat organisaties sneller AI inzetten en daardoor meer risico lopen op datalekken, onbeheerd AI-gebruik en nieuwe dreigingen.

Security

Microsoft Zero Trust for AI: workshop en architectuur

Microsoft heeft zijn Zero Trust-aanpak uitgebreid naar AI met nieuwe richtlijnen en een aparte AI-pijler in de Zero Trust Workshop, zodat organisaties risico’s rond modellen, agents, prompts en databronnen systematisch kunnen beoordelen. Dit is belangrijk omdat bedrijven AI snel invoeren en securityteams daarmee concrete handvatten krijgen om dreigingen zoals prompt injection, data poisoning en ongeautoriseerde toegang beter te beheersen.

Security

Microsoft waarschuwt voor belastingseizoen phishing

Microsoft ziet in het belastingseizoen van 2026 een sterke toename van gerichte phishing- en malwarecampagnes die zich voordoen als belastingdocumenten, terugbetalingen en berichten van accountants. Dat is belangrijk omdat aanvallers steeds geavanceerdere technieken gebruiken, zoals QR-codes, meerstaps-doorverwijzingen, cloudbestanden en legitieme beheerhulpmiddelen, waardoor organisaties extra alert moeten zijn op diefstal van inloggegevens en malware-infecties.