Im Zentrum des Textes steht die Unterscheidung zwischen agentischer KI und ergänzenden Assistentenfunktionen. Von „agentisch“ sprechen Anbieter demnach dann, wenn KI-Agenten die Kernarbeit des SOC übernehmen. Auf einem Datenblatt könne dieser Unterschied gering wirken, der eigentliche Nachweis erfolge aber in einem Proof of Concept.
Als zentrales Kriterium nennt der Quelltext Vorhersagbarkeit. Vertrauenswürdige Automatisierung im SOC hänge demnach stärker von den Daten als vom Modell ab. Ein Agent, der nur Alarme zusammenfasst, komme mit den Informationen aus dem Alarm selbst aus. Soll ein Agent aber Alarme eigenständig schließen oder Reaktionsmaßnahmen anstoßen, brauche er deutlich mehr Kontext – etwa zur betroffenen Entität wie Identität, Ressource oder Gerät beziehungsweise Asset, zu Konfigurationsabweichungen und zum normalen Verhalten dieser Entität.
Plattformen, die auf dieses Vertrauensniveau ausgelegt sind, pflegen laut Text einen Echtzeit-Wissensgraphen. Gemeint ist eine fortlaufend aktualisierte Abbildung von Identitäten, Ressourcen, Konfigurationen, Verhaltensgrundlinien und deren Beziehungen untereinander, die bereits vor dem ersten Alarm aufgebaut wird. In dieser Einbettung und in Verbindung mit einer mehrschichtigen Modellarchitektur lieferten Agenten konsistente und mit Belegen unterlegte Bewertungen. Nachgerüstete KI arbeite umgekehrt, indem sie erst nach Eingang eines Alarms Rohprotokolle abfrage; deshalb hielten ihre Schlussfolgerungen einer genaueren Prüfung oft nicht stand.
Ebenso wichtig sei die Breite der Plattform. Die stärksten Angebote erweiterten laut Quelltext die Erkennungsabdeckung auf Quellen, die bislang gar nicht instrumentiert wurden, führten kontinuierlich Threat Hunts aus und begännen bereits mit Reaktionsschritten, während sich ein Vorfall noch entwickelt. Diese Fähigkeiten ließen sich jeweils in einem Proof of Concept, in der eigenen Umgebung oder in einer Live-Demonstration des Anbieters überprüfen.
Als Beispiel nennt der Text Exaforce. Die Plattform wird dort als agentische KI-SOC-Plattform beschrieben, deren vier Exabots den gesamten SOC-Lebenszyklus abdecken. Exabot Detect fungiere als KI-Erkennungsingenieur, Exabot Triage bringe jeden Alarm mit der Tiefe eines Tier-3-Analysten zu einer Bewertung, Exabot Investigate senke die Hürde für Threat Hunting und Exabot Respond koordiniere Maßnahmen über die gesamte Angriffskette hinweg, wobei bei irreversiblen Schritten ein Mensch zustimmen müsse.
Alle vier Exabots arbeiten laut Quelltext auf einer gemeinsamen Echtzeit-Datenplattform, die Protokolle und Konfigurationen aus Cloud, SaaS, Identität, Endpunkt und Code aufnimmt und anreichert. Analysten könnten sämtliche Daten in natürlicher Sprache über Exabot abfragen. Dieselbe Plattform könne außerdem ein SIEM ersetzen – ohne Parser, Pflege der Datenpipelines und die sonst oft nötigen SIEM-Spezialisten.
Zur Untermauerung nennt der Text zwei Kundenbeispiele. Guardant Health habe Exaforce als primäres SIEM und MDR eingeführt. Mike Shannon, Director of Security Engineering bei Guardant Health, wird mit den Worten zitiert: „Ich schreibe keine Abfragen mehr. Ich frage einfach Exabot.“ Zudem heißt es, die Plattform von Invisible senke die Untersuchungszeit um 95 Prozent und verkürze Ermittlungen von Stunden oder Tagen auf Minuten. Forcepoint habe ein MSSP ersetzt, das eng begleitet werden musste, und halte mit Exaforce MDR nun eine mittlere Reaktionszeit von 14 Minuten bei P0-Vorfällen.
Der Betrieb könne laut Text entweder durch das interne Team oder über das MDR-Angebot von Exaforce erfolgen. Architektur und Exabots blieben in beiden Fällen identisch; nur der Betreiber wechsle. Zugleich betont der Quelltext, dass auch Exaforce das moderne SOC nicht zu einem gelösten Problem mache. Entscheidend sei nicht das jeweils fortschrittlichste Modell, sondern die Datenbasis, über die die Agenten schlussfolgern. Genannt werden dabei Echtzeitdaten, die mit Identitäten, Assets beziehungsweise Geräten, betroffenen Ressourcen und Verhaltensgrundlinien korreliert sind und so Bewertungen liefern sollen, die vorhersehbar, reproduzierbar und prüfbar sind.
