Gorodenkoff - stock.adobe.com
Cisco XDR: KI-Agenten sollen IT-Teams entlasten
Das Erkennen von und Reagieren auf Bedrohungen und Angriffe kann beliebig komplex sein. KI-Agenten in Cisco XDR sollen nun bei derlei Unbill IT-Teams die Arbeit erleichtern.
Anlässlich der RSA Conference 2025 hat Cisco seine XDR-Lösung mit neuen Funktionen ausgestattet, die Security-Teams angesichts der wachsenden Bedrohungslage besser unterstützen sollen. Dabei spielen insbesondere KI-gestützte Reaktionen eine wesentliche Rolle.
Eine der Neuerungen ist Instant Attack Verification, die eine verbesserte Einordung von Bedrohungen erlauben soll. So soll eine automatisierte Erkennung und Reaktion auf eine Vielzahl von Angriffen möglich werden. Dabei wird jede Warnmeldung auf den Prüfsstand gestellt, ob es sich tatsächlich um eine Bedrohung handelt. Dabei untersuchen KI-Agenten mehrere Vektoren, korrelieren Verhaltensweisen, untersuchen verschiedenste Signale aus der IT-Umgebungen und schaffen so Kontext.
Maschinelles Lernen, maschinelles Schlussfolgern und LLMs werden kombiniert, um damit entsprechende KI-Agenten aktiv werden zu lassen. Kommt es zu einem eindeutigen Ergebnis, können vorgefertigte Playbooks in Cisco XDR oder Splunk SOAR ausgelöst werden. Ob diese vorgefertigten Reaktionen dann ein menschliches Eingreifen erfordern, kann in den Vorlagen entsprechend hinterlegt sein.
Grafische Darstellung von Angriffen
Damit IT-Teams und Security-Analysten besser nachvollziehen können, was da gerade in ihrer IT-Umgebung vorgegangen ist, wird die Funktion Cisco XDR Attack Storyboard eingeführt. Eine KI-gestützte Untersuchung soll den IT-Teams dabei helfen, einen Angriff in kurzer Zeit zu verstehen. So fertigt die KI zum besseren Verständnis einen dynamischen Angriffsgraphen an. Dieser fasst die Schritte und Ereignisse des Angriffs anhand von MITRE-ATT&CK-Taktiken zusammen und bildet dies auf einer sich entwickelnden Zeitleiste ab. Damit können zum Beispiel sowohl Analysten als auch Incident Responder erkennen was passiert ist und daraus ableiten, was zu tun ist. So plant, laut Cisco, die KI die Untersuchung, hebt die Ursachen hervor und schlägt empfohlene Maßnahmen vor.
Automatische Erstellung von Berichten
Auditoren und Führungskräfte sollen dem Storyboard verständliche Berichte entnehmen können, die sich wieder um in Erkenntnisse umsetzen ließen.
Automatisierte Forensik soll IT-Teams bessere Einblicke in Endpunktaktivitäten bei der Sicherheitsanalyse bieten. So werden Beweise auf Endgeräten gesammelt, wie etwa Registrierungsdateien, Speicherauszüge oder Aktivitätsprotokolle. Die Beweissicherung könne aufgrund von Risikobewertungen oder Verhaltensanalysen erfolgen und durch einen einfachen Klick ausgelöst werden.
