Gartner setzt mit der ersten Prüffrage nicht beim Funktionsumfang eines Werkzeugs an, sondern bei den eigenen Engpässen: Welche SOC-Aufgaben binden heute repetitiv Zeit, ohne die Erkennung, Untersuchung und Reaktion auf Bedrohungen spürbar zu verbessern? Eine Lösung könne in der Demo beeindrucken und doch Arbeitsabläufe adressieren, die ein Team längst anders gelöst hat. Wichtig sei zudem, ob ein Produkt gezielt für bestimmte SOC-Rollen gebaut wurde – eine auf Triage und Untersuchung ausgelegte Plattform geht anders vor als eine, die auf Wenn-dann-Regeln setzt.

Volumenkennzahlen können laut Report in die Irre führen. 10.000 verarbeitete Alarme pro Monat bedeuteten wenig, wenn die Untersuchungsqualität leidet oder echte Treffer durchrutschen. Maßgeblich seien Verbesserungen bei den TDIR-Kennzahlen: mittlere Zeit bis zur Erkennung, mittlere Zeit bis zur Reaktion und Reduzierung von Fehlalarmen. Als eigentliches Endziel nennt Gartner die mittlere Zeit bis zur Eindämmung (Mean Time to Contain), da erst dort das Risiko sinkt. Gefragt seien reale Vergleichswerte aus ähnlichen Umgebungen – und die Klärung, ob diese aus einem Proof of Concept oder dem laufenden Produktivbetrieb stammen.

Die Kategorie steht noch am Anfang. Gartner beschreibt einen Markt mit vielen Startups und unterschiedlichen Designansätzen, was Anbieterrisiken mit sich bringt. Der Report empfiehlt, nach Verfügbarkeitsdatum, Kundenstamm sowie Finanzierung und finanzieller Aussicht eines Anbieters zu fragen. Übernahmen seien wahrscheinlich und sollten als Risiko im Lieferantenmanagement behandelt werden, nicht als Ausschlusskriterium. Auch Preismodelle verdienen Aufmerksamkeit: Manche Agenten rechnen nach Alarmvolumen ab, andere nach Datenmenge oder Token-Verbrauch – Kosten können bei hoher Last unerwartet skalieren.

Ein differenzierter Abschnitt widmet sich der Frage, ob die Technik menschliche Expertise über die Zeit stärkt. Wenn die AI die gesamte Ermittlungsarbeit übernimmt, fehlt Nachwuchsanalysten womöglich der Weg zur Senior-Rolle. Gute Umsetzungen, so der Report, legen ihre Argumentation offen und vermitteln dabei. Als Beispiel wird Prophet Security genannt, das jede Abfrage, Datenquelle und jeden Analyseschritt sichtbar macht.

Gartner unterscheidet zwischen “Human in the Loop” – menschliche Freigabe für jede Aktion – und “Human on the Loop”, bei dem die AI mehr Spielraum hat und der Mensch auf strategischer Ebene überwacht. Welches Modell passt, hänge von Risikobereitschaft, regulatorischen Vorgaben und Reife des Systems ab. Entscheidend seien Leitplanken für folgenreiche Aktionen wie das Sperren von Konten oder die Netzwerkisolierung sowie Fail-Safe-Mechanismen: Bei Mehrdeutigkeit solle ein Agent eskalieren statt handeln.

Bei Integrationen rät Gartner, die native Tiefe über SIEM, EDR, SOAR und Identitätsplattformen zu prüfen, statt einer bloßen Logo-Wand zu vertrauen – und zu klären, ob eine Lösung Datenzentralisierung verlangt oder umgebungsunabhängig arbeitet. Als womöglich wichtigstes Kriterium hebt der Report Transparenz hervor: Erklärbarkeit von Entscheidungen, menschenlesbare Prüfprotokolle für jede automatisierte Aktion und Schutz sensibler Daten. Für regulierte Branchen seien das Pflichtanforderungen; doch auch sonst entscheide Nachvollziehbarkeit darüber, ob Analysten dem Werkzeug genug vertrauen.

Der Report ist gesponsert und verfasst von Prophet Security, das seine Plattform nach denselben Prinzipien gebaut hat: transparente Untersuchungen, Integration über SIEM, EDR, Identitäts- und Cloud-Werkzeuge ohne Datenzentralisierung sowie ein Human-on-the-Loop-Modell. Alle sieben Bewertungskategorien finden sich im vollständigen Report.