Der Beitrag beschreibt die heute verbreitete Fehlkonstruktion in vielen Sicherheitsteams so: Sie lassen ein „langsames“ System Arbeit erledigen, die eigentlich automatisiert ablaufen müsste. Gemeint ist damit sowohl die manuelle Sichtung großer Alarmmengen durch Analysten als auch der direkte Einsatz großer Sprachmodelle auf rohen Erkennungsdaten. Beides sei ein Fall von System 2 für Aufgaben, die in Kahnemans Logik zu System 1 gehören.

Als empirische Grundlage verweist die Autorin auf eine Untersuchung von mehr als 25 Millionen Enterprise-Alerts. Deren Ergebnis: 98 Prozent der Warnmeldungen könnten autonom abgeschlossen werden, während weniger als 2 Prozent eine menschliche Überprüfung erfordern. In einem Unternehmen mit 450.000 Warnmeldungen pro Jahr seien laut dieser Forschung 54 echte Bedrohungen gerade in den niedrig priorisierten Meldungen verborgen – also in jenem Stapel, der wie Rauschen wirke und oft nicht vorne in der Warteschlange lande.

Die typische Alarm-Triage im SOC beschreibt der Text daher als klassisches System-1-Problem. Fragen wie, ob eine Datei bereits als bösartig bekannt ist, ob ein Anmeldeversuch zum historischen Verhalten passt oder ob eine IP-Adresse schon in einem abgeschlossenen Fall vorkam, benötigten keine langwierige Abwägung, sondern Antworten mit Maschinengeschwindigkeit rund um die Uhr. Wenn Menschen diese Arbeit übernehmen müssten, verlangsame sich die Bearbeitung, sie werde vereinfacht, und am Ende würden Warnmeldungen übersprungen.

Ein autonomes „schnelles Gehirn“ des SOCs müsse deshalb kontinuierlich und ohne Aufforderung arbeiten. Der Beitrag nennt dafür Speicher-Scans, Dateianalysen und signalübergreifende Korrelationen über Endpunkt, Identität, Netzwerk und Cloud hinweg. Dieses System solle 100 Prozent der Signale forensisch untersuchen, eindeutige Fehlalarme schließen und nur die Fälle an Menschen weiterreichen, die tatsächlich Aufmerksamkeit verdienen – samt bereits zusammengestellter Belege. Ein „AI SOC“ erreiche dabei laut dem Text mit 98 Prozent Genauigkeit in weniger als zwei Minuten ein Urteil.

Die Rolle von Claude, Codex und Cursor sieht die Autorin dagegen nicht in der Massen-Triage, sondern bei bewusstem, komplexem Arbeiten. Genannt werden Fallanalyse, Entwicklung von Erkennungsregeln, Incident-Reporting und Threat Hunting auf Basis eines Branchenbriefings. Solche Aufgaben verlangten Synthese, Urteilsvermögen und die Verknüpfung forensischer Erkenntnisse mit dem Geschäftskontext, über den nur Analysten verfügten.

Ein Copilot sollte daher erst bei eskalierten Fällen ansetzen, nicht bei einer rohen Warnmeldung. Nach Darstellung des Beitrags sollte ein Claude-Agent seine Arbeit mit einer bereits vollständig aufgebauten Untersuchung beginnen, in der die forensische Analyse abgeschlossen, verwandte Signale korreliert und eine empfohlene Reaktion vorbereitet ist. Der Analyst beurteile dann einen kuratierten, beleggestützten Fall, statt zunächst zu prüfen, ob sich die Warnmeldung überhaupt lohnt.

Der Text betont außerdem einen Rückkopplungseffekt zwischen beiden Ebenen. Jede in Claude geschriebene Tuning-Regel und jeder mit neuem Kontext abgeschlossene Fall mache die autonome Schicht im Folgemonat präziser. Beide Systeme arbeiteten also nicht nur nebeneinander, sondern verbesserten sich gegenseitig über eine gemeinsame Wissensbasis.

Strategisch leitet die Autorin daraus eine Kritik an ausgelagerter Alarmuntersuchung durch MDR-Anbieter ab. Wer die Untersuchung an einen Dienstleister abgebe, besitze die daraus entstehende Wissensschicht nicht selbst. Erkennungsregeln, Fallhistorie, Triage-Logik und organisatorischer Kontext sammelten sich dann in der Plattform des Anbieters. Wenn ein Unternehmen später Claude oder Codex an die eigenen Security Operations anbinden wolle, fehle dem „langsamen Gehirn“ damit die Grundlage. Die Verlagerung der Untersuchung ins eigene Haus sei deshalb laut Beitrag nicht nur eine Frage von Kosten oder Abdeckung, sondern eine Voraussetzung dafür, dass ein Analysten-Copilot überhaupt nützlich wird.