KI-Agenten im SOC: Vom KI-Hype zur operativen Realität
Den Blog lesen
Vectra AIwurde im Gartner Magic Quadrant für NDR 2026 als einer der führenden Anbieter eingestuft
Bericht lesen
Hamburger-Symbol oberste Zeile
Hamburger-Symbol mittlere Zeile
Hamburger Symbol unterste Zeile
  1. Blogs
    >
  2. Erkennung von Bedrohungen durch KI

KI-Agenten im SOC: Vom KI-Hype zur operativen Realität

June 24, 2026
6/24/2026
Fabien Guillot
Direktor, Technisches Marketing bei Vectra
KI-Agenten im SOC: Vom KI-Hype zur operativen Realität

Vor einigen Wochen haben wir in München unsere bislang größte Anwenderkonferenz veranstaltet! Am letzten Tag haben wir einen CTF-Wettbewerb zum Thema threat hunting Untersuchungen organisiert. Ratet mal, wer die komplizierteste Aufgabe am schnellsten lösen konnte? Die KI.

Keine einfache Frage. Keine einfache Suche. Die schwierigste Aufgabe. Sie wurde in weniger als zwei Minuten gelöst. Dazu musste man den Kontext verstehen, Metadaten untersuchen, die Daten umschichten, die Nutzdaten entschlüsseln, die richtigen Folgefragen stellen, mehrere Abfragen durchführen, Zusammenhänge herstellen und schließlich das endgültige Flag finden.

Mit anderen Worten: Es musste sich weitgehend wie ein SOC-Analyst verhalten.

Dieser Moment hat uns eindrucksvoll vor Augen geführt, wo KI-Agenten einen echten Mehrwert schaffen können. Nicht, indem sie Fachwissen ersetzen oder jedes Problem wie von Zauberhand lösen, sondern indem sie die sich wiederholenden Recherchearbeiten beschleunigen, die Analysten tagtäglich ausbremsen.

Es handelte sich nicht um ein generisches LLM, das diese Herausforderungen von Haus aus bewältigte. Es war ein speziell zusammengestellter KI-Agent, der mit den richtigen Fähigkeiten optimiert wurde, um die Vectra AI vollständig zu bedienen – ein Projekt, das wir am selben Tag wie die Veranstaltung als Open Source veröffentlicht haben.

KI kommt in verschiedenen Schichten des Stacks zum Einsatz

Bevor wir über KI-Agenten, das Model Context Protocol (MCP) usw. sprechen, ist es wichtig, einen Schritt zurückzutreten und etwas klarzustellen: KI ist für Vectra AI nichts Neues.

KI ist Teil unserer DNA.

Vectra AI von Grund auf dafür entwickelt, mithilfe von maschinellem Lernen und KI-Techniken das Verhalten von Angreifern zu erkennen. Dazu gehören überwachte und unüberwachte Lernmethoden, die darauf ausgelegt sind, Verhaltensmuster über den gesamten Angriffszyklus hinweg zu identifizieren – und nicht nur bekannte Tools, Signaturen oder statische Indikatoren.

Diese Unterscheidung ist wichtig.

Angreifer können ihre Tools wechseln. Sie können Dateien umbenennen. Sie können ihre Infrastruktur wechseln. Sie können Befehle ändern. Doch ihr Verhalten folgt nach wie vor bestimmten Mustern – denselben Mustern, die sich auch im MITRE ATT&CK widerspiegeln. Sie müssen sich nach wie vor lateral bewegen. Sie müssen nach wie vor Berechtigungen ausweiten. Sie benötigen nach wie vor eine Command-and-Control-Verbindung. Und sie müssen nach wie vor Daten aufspüren, darauf zugreifen und diese abziehen.

Genau hier hat KI schon immer eine entscheidende Rolle in der Vectra AI gespielt: Sie ermöglicht die Erkennung von Verhaltensmustern entlang der gesamten MITRE ATT&CK – und zwar umfassender, widerstandsfähiger und nützlicher als die bloße Suche nach bekanntermaßen schädlichen Artefakten.

Doch die Erkennung ist nur die erste Stufe.

Im Laufe der Jahre Vectra AI zudem KI-Funktionen entwickelt, die bereits aktiv werden, bevor das Signal den Analysten überhaupt erreicht. Dies ist ein wichtiger Aspekt, denn der Nutzen der KI im SOC beschränkt sich nicht nur darauf, was geschieht, wenn ein Analyst eine Frage in natürlicher Sprache stellt. Ein Großteil des Nutzens ergibt sich vielmehr aus den Vorgängen, die bereits früher in der Pipeline stattfinden.

So hilft beispielsweise „AI Triage“ dabei, Störsignale automatisch zu reduzieren und Erkennungen operativ umzusetzen, sodass sich die Teams auf die wirklich wichtigen Aufgaben konzentrieren können, anstatt in einer Flut von Warnmeldungen unterzugehen. Vectra AI zudem in KI-gestützte Bedrohungserkennung und KI-gesteuerte Priorisierung investiert, um Sicherheitsteams dabei zu unterstützen, zu erkennen, welche Entitäten, Verhaltensweisen und Angriffsmuster vorrangig Beachtung verdienen.

Mit anderen Worten: Wenn ein Signal dem Analysten vorgelegt wird, ist es bereits durch mehrere KI-Ebenen verarbeitet worden.

Genau das macht die nächste Phase so wirkungsvoll.

Wenn ein Analyst die KI-gestützte Suche innerhalb der Vectra AI nutzt oder wenn ein Team sein eigenes LLM oder einen lokalen Agenten über APIs und MCP mit Vectra verbindet, greifen sie nicht auf rohe, ungefilterte Telemetriedaten zurück. Sie nutzen vielmehr ein angereichertes, KI-gestütztes Signal, das von der Plattform bereits erkannt, sortiert, priorisiert und in einen Kontext gesetzt wurde.

Das ist ein großer Unterschied.

KI im SOC erlebt gerade einen Aufschwung.

Seien wir doch mal ehrlich: Es gibt tatsächlich viele solcher Momente. Jeder Anbieter hat eine KI-Geschichte zu erzählen. Jeder Analystenbericht enthält einen KI-Aspekt. Auf jeder Konferenz gibt es mindestens eine Veranstaltung, in der versprochen wird, dass agentische KI, Copiloten, Assistenten, MCP, Automatisierung und „Human-in-the-Loop“-Workflows bald alles verändern werden.

Und das sind sie wahrscheinlich auch.

Doch während Hunt Club München wurde eines ganz deutlich: Die meisten Sicherheitsteams stellen sich nicht die Frage: „Hält KI Einzug ins SOC?“

Sie stellen eine viel praktischere Frage:

„Wo fangen wir an, worauf sollen wir uns verlassen, und wie können wir das sinnvoll nutzen, ohne noch mehr Chaos im Betrieb zu verursachen?“

Das war der Schwerpunkt des Vortrags, den ich kürzlich im Hunt Club gehalten habe. Dort haben wir über KI im SOC-Stack gesprochen und darüber, wie Sicherheitsverantwortliche den Schritt vom KI-Hype zur operativen Realität schaffen können.

Das Ziel war einfach: Es sollte praxisnah sein. Keine weitere abstrakte Diskussion über KI. Keine weitere Prognose zur „Zukunft des SOC“. Wir wollten, dass die Teilnehmer am Ende ein klares Bild davon mitnehmen, was KI heute leisten kann, wie Vectra AI KI im SOC Vectra AI und wie Teams mit dem von uns im Rahmen der Präsentation veröffentlichten Open-Source-Starter-Kit selbst mit ihren eigenen lokalen Agenten experimentieren können.

Denn die eigentliche Frage ist nicht, ob KI Teil des SOC sein wird.

Die eigentliche Frage lautet: Welcher Weg ist für Ihr Team derzeit der sinnvollste?

Das Publikum hat uns etwas Wichtiges mitgeteilt

Einer der wertvollsten Aspekte des Hunt Club war nicht nur das, was wir präsentiert haben, sondern auch das Feedback, das wir erhalten haben.

Im Verlauf der Veranstaltung stellten wir den Teilnehmern eine einfache Frage: Wo steht Ihr SOC heute, und wo soll es in drei Jahren stehen?

Die Antworten waren aufschlussreich.

Heute beschrieben die meisten Teams ihr SOC als eine Mischung aus regelbasiert und KI-gestützt. Als wir sie jedoch fragten, wo sie in drei Jahren stehen möchten, änderte sich das Bild komplett!

Nun ja, diese Zahlen sprechen für sich. Sie verraten uns auch etwas sehr Menschliches: Verteidiger sind ehrgeizig, aber sie sind nicht leichtsinnig.

Der größte Sprung geht nicht in Richtung „KI erledigt alles“. Er geht vielmehr in Richtung teilweiser Autonomie, bei der die KI die gesamte Untersuchung durchführen und eine Reaktion empfehlen kann, der Mensch jedoch weiterhin jede Maßnahme überprüft und die endgültige Entscheidung trifft.

Diese Nuance ist entscheidend.

Das Publikum sagte nicht: „Bitte entfernt den Analysten aus dem SOC.“ Es sagte vielmehr: „Bitte beseitigt die sich wiederholende, anstrengende und zeitraubende Arbeit, die die Analysten davon abhält, das zu tun, was sie eigentlich gut können.“

Und ehrlich gesagt, genau darum sollte es bei der Diskussion über KI im SOC gehen.

Denn der Weg von der manuellen Untersuchung zur autonomen Reaktion ist kein einziger Sprung. Es handelt sich um eine Reifekurve.

Dieser Entwicklungsprozess ist wichtig, da jedes SOC von einer anderen Ausgangsbasis ausgeht.

Einige Teams im Raum experimentierten bereits mit lokalen Agenten, MCP-Servern, benutzerdefinierten Workflows und interner Automatisierung. Andere befanden sich noch in einer früheren Phase und versuchten erst zu verstehen, wo KI in der Systemarchitektur ihren Platz hat und wie sichergestellt werden kann, dass sie keine neuen Risiken, keine neue Komplexität und kein falsches Sicherheitsgefühl mit sich bringt.

Und genau das ist der springende Punkt: Die Einführung von KI im SOC ist nicht nur eine Frage der Technologie. Es ist eine Frage des Betriebsmodells.

  • Können wir den Daten vertrauen, mit denen das Modell trainiert wird?
  • Können Analysten nachvollziehen, warum die KI eine Empfehlung ausgesprochen hat?
  • Können wir dafür sorgen, dass Menschen weiterhin an wichtigen Entscheidungen beteiligt bleiben?
  • Können wir vermeiden, dass sensible Daten an Stellen gesendet werden, an die sie nicht gehören?

Die Umfrage bestätigte, was viele Sicherheitsverantwortliche bereits intuitiv spüren: Die Teams wollen schnell vorankommen, aber sie wollen dabei auf Nummer sicher gehen. Sie möchten, dass KI ihnen dabei hilft, die Reaktionszeiten von Stunden auf Minuten zu verkürzen, legen aber gleichzeitig Wert auf Kontrolle, Transparenz und Vertrauen.

Das SOC braucht keine weitere „Magie“. Es braucht eine nützliche KI, die der tatsächlichen Arbeitsweise der Verteidiger entspricht.

KI im SOC beginnt mit dem Stack

Genau diese Reifekurve ist der Grund, warum wir während der Präsentation über KI im Stack gesprochen haben.

Denn es kommt darauf an, wo die KI zum Einsatz kommt.

Wenn KI nur an der Spitze der Erkennung steht, losgelöst vom Kontext und vom Arbeitsablauf, wird sie zu einem Chatbot, der sich in einem Meer aus unübersichtlichen Daten bewegt. Manchmal hilfreich, oft beeindruckend, aber nicht korrekt!  

Wenn KI tiefer in den Arbeitsablauf eingebettet und mit hochauflösenden Signalen, dem Untersuchungskontext, dem Verhalten von Entitäten, Reaktionsmaßnahmen und dem Feedback der Analysten verknüpft wird, gewinnt sie erheblich an Leistungsfähigkeit. Sie kann dabei helfen, Fälle zu klassifizieren, Zusammenhänge herzustellen, Prioritäten zu setzen, Untersuchungen durchzuführen, Zusammenfassungen zu erstellen, nach Bedrohungen zu suchen und Reaktionsmaßnahmen zu steuern.

Diese Unterscheidung ist entscheidend für den erfolgreichen Aufbau von Vertrauen in Ihr System.

Zwei Wege, ein Ziel

Wir vom Hunt Club wollten eines ganz klarstellen: Es gibt nicht nur einen einzigen richtigen Weg, KI in Ihrem SOC einzusetzen.  

Es gibt mindestens zwei praktische Möglichkeiten, um loszulegen! Wir bei Vectra AI möchten sicherstellen, dass wir Ihnen das bestmögliche Erlebnis bieten, ganz gleich, für welchen Weg Sie sich entscheiden!

Der erste Weg ist für viele Kunden der schnellste und einfachste: Nutzen Sie die bereits in die Vectra AI integrierten KI-Funktionen.  

Dieser Ansatz richtet sich an Teams, die die Vorteile der KI nutzen möchten, ohne eine eigene Agent-Infrastruktur aufbauen, Tools miteinander verknüpfen, lokale Konfigurationen verwalten oder benutzerdefinierte Workflows pflegen zu müssen. Die KI ist bereits dort integriert, wo die Arbeit stattfindet. Analysten können natürliche Sprache verwenden, um Untersuchungen durchzuführen, Fragen zu stellen, Daten zu analysieren, Zusammenfassungen zu erstellen und schneller zwischen Erkennungen und Entitäten zu wechseln.

Sie profitieren sofort davon! Sofort einsatzbereit!

Für viele Teams ist dies der richtige Ausgangspunkt. Nicht, weil es ihnen an Ehrgeiz mangelt, sondern weil sie Wert auf einfache Handhabung legen. Sie wollen eine KI, die direkt im Produkt integriert ist – mit den richtigen Daten, den richtigen Berechtigungen und dem richtigen Arbeitsablauf.

Der zweite Weg richtet sich an Teams, die auf ihrem Weg zur KI bereits weiter fortgeschritten sind oder sich einfach mehr Kontrolle wünschen: Entwickeln Sie lokale Agenten, die mit Ihren SOC-Workflows und Ihren Daten arbeiten können, einschließlich der Daten aus der Vectra AI .

Es handelt sich um ein offenes Agent-Framework, das sich mit den in Ihrer Umgebung bereits vorhandenen Tools, Kontexten und Prozessen verknüpfen lässt. Es bietet Teams mehr Flexibilität, die Benutzererfahrung anzupassen, eigene Playbooks zu programmieren und genau festzulegen, wie Agenten mit den Abläufen im SOC interagieren sollen.

Und natürlich schließen sich diese beiden Wege nicht gegenseitig aus.

Sie können beides gleichzeitig nutzen. Tatsächlich werden viele Teams wahrscheinlich zunächst mit den integrierten KI-Funktionen der Vectra AI beginnen und dann schrittweise mit lokalen Agenten experimentieren, je nachdem, wie ihre Reife, ihre Anforderungen und ihr Vertrauen wachsen. Wichtig ist, dass Sie sich nicht für immer auf einen Weg festlegen. Es geht darum, den Weg zu wählen, der Ihrem Team heute einen Mehrwert bietet, und gleichzeitig die Tür offen zu halten für die nächsten Schritte, die Sie unternehmen möchten.

Für diese Teams wollten wir mehr als nur Folien bereitstellen. Deshalb haben wir etwas Praktisches veröffentlicht!! Eine schlüsselfertige Lösung, die Sie NOCH HEUTE nutzen können!

Wir stellen vor: den Vectra AI Agent Starter

Im Rahmen der Präsentation haben wir den Vectra AI Agent Starter“vorgestellt, ein Open-Source-Starterpaket zum Erstellen eines KI-Agenten oder -Assistenten auf Basis der Vectra AI .

Das Repository ist bewusst klein gehalten: Lesen Sie es durch, führen Sie es aus und erweitern Sie es anschließend.

Das Ziel ist einfach: Sicherheitsteams einen praktischen Ausgangspunkt für die Entwicklung ihres eigenen KI-gestützten SOC-Assistenten zu bieten.  

Das Repo enthält die wichtigsten Komponenten, die ein Agent benötigt, um mit Vectra AI zu arbeiten:

  • Ein LLM Ihrer Wahl, wie beispielsweise Claude, GPT, Gemini oder ein anderes Modell über Ihren bevorzugten Agent-Host.
  • Ein MCP-Server , der es dem Agenten ermöglicht, mit den Daten in der Vectra-Plattform zu interagieren (Erkennung, Bewertung, PCAP, Metadaten, Protokolle usw.)
  • Kompetenzen der Mitarbeiter für SOC-Workflows, SQL-Rezepte, Berichterstellung, threat hunting und PCAP-Triage. Die Kompetenzen sind insbesondere darauf ausgerichtet, Fachwissen zum Betrieb der Vectra-Plattform zu vermitteln!
  • Ein AGENTS.md , das dem Agenten erklärt, was er ist, welche Fähigkeiten vorhanden sind und wann er sie einsetzen soll. Betrachten Sie dies als eine Einführungsdatei für den Agenten  

Dies ist kein fertiges Produkt. Es handelt sich um ein Starter-Kit, das Ihnen den Einstieg erleichtern soll!

Erweitern Sie es. Passen Sie es an. Fügen Sie Ihre eigenen SOC-Playbooks hinzu. Bringen Sie ihm Ihre Eskalationsrichtlinien, Ihre bisherigen Vorfälle, Ihren Wortschatz, Ihre Architektur, Ihr Berichtsformat und Ihren Übergabeprozess bei. Machen Sie es zu Ihrem eigenen, und Ihr Agent wird immer besser und besser!

Warum wir es veröffentlicht haben!

In der Cybersicherheit ist man immer versucht, alles hinter dem Vorhang zu verstecken!! Nicht bei uns!

Angesichts des rasanten Aufstiegs der KI, der Einführung von MCP und der Entstehung neuer Standards für agentenbasierte Arbeitsabläufe wollten wir einen anderen Ansatz verfolgen. Von Anfang an war es unser Ziel, sicherzustellen, dass die Vectra AI nicht nur KI-fähig, sondern auch KI-betriebsfähig ist! Das bedeutet, dass sie sicher und effektiv über einen LLM-gesteuerten Arbeitsablauf betrieben werden kann.

Aus diesem Grund haben wir frühzeitig in MCP investiert. Wir waren die ersten NDR-Anbieter, die MCP-Server auf den Markt gebracht haben, und haben diese auf der Grundlage von Kundenfeedback kontinuierlich weiterentwickelt. Dazu gehören Funktionen wie Multi-Tenancy und die Möglichkeit, Netzwerk-Metadaten direkt abzufragen.

Aber MCP ist nur ein Teil der Geschichte.

Wir haben außerdem in unsere APIs investiert, um sicherzustellen, dass sie genau die Fragen unterstützen, die Analysten im Rahmen einer Untersuchung tatsächlich stellen. Denn wenn ein Analyst verstehen möchte, was passiert ist, welche Entität von Bedeutung ist, was sich geändert hat, welche Risiken bestehen oder wie es weitergehen sollte, muss die Plattform den richtigen Kontext so bereitstellen, dass KI-Agenten ihn effizient nutzen können.

In einem früheren Blogbeitrag haben wir bereits näher auf einige dieser Forschungsergebnisse eingegangen . Es lohnt sich, diesen Beitrag zu lesen, um einen tieferen Einblick in unsere Sichtweise auf KI-gesteuerte Sicherheitsplattformen zu erhalten.

Aus diesem Grund wollten wir mit dem Vectra AI Agent Starter“ noch einen Schritt weiter gehen.

  • Erkläre nicht nur das Konzept.
  • Zeige nicht nur ein Architekturdiagramm.
  • Sag nicht einfach: „KI-Agenten kommen.“

Wir wollten Teams eine praktische Schritt-für-Schritt-Anleitung an die Hand geben, mit der sie (innerhalb weniger Minuten!) mit einem lokalen SOC-Agenten loslegen können – der von uns entwickelt, zusammengestellt und getestet wurde.

Die Idee ist einfach: Kunden und Fachleuten einen sicheren Ausgangspunkt zu bieten. Etwas, das sie lesen, ausführen, testen, anpassen und entsprechend ihrer eigenen SOC-Arbeitsabläufe erweitern können.

Das sollte keineswegs eine weitere Geschichte nach dem Motto „Die KI wird das SOC eines Tages retten“ sein. Es ging um etwas viel Praktischeres: Hier erfahren Sie, wie Sie noch heute sicher damit experimentieren können.

Probieren Sie Eingabeaufforderungen wie „vectra priorities“ aus.

Durch die Verwendung von Aliasen, die in den Vectra AI enthalten sind, wird automatisch die aktuellste priorisierte Entität aus der Vectra AI analysiert.

„Hier ist eine CISA-Warnmeldung. Sucht in unserem gesamten Mandantenbereich nach allen darin genannten Elementen.“

Genau diese Beispiele sind die Art von Arbeitsabläufen, die wir zugänglicher machen wollten. Denn der beste Weg, KI-Agenten zu verstehen, besteht nicht darin, das Architekturdiagramm zu bewundern. Vielmehr geht es darum, den Arbeitsablauf auszuführen und zu erkennen, wo er hilfreich ist, wo er Begrenzungen benötigt und wo Ihr Team ihn anpassen möchte.

Aufruf zum Handeln

Die Einführung von KI im SOC muss keine Weggabelung sein. Betrachten Sie es als einen Reifeprozess.

Beginnen Sie mit den KI-Funktionen, die bereits in der Vectra AI integriert sind. Dies ist der schnellste Weg, um einen Mehrwert zu erzielen: KI-gestützte Suche, KI-basierte Untersuchungen, erweiterter Kontext, Priorisierung und Anleitungen direkt innerhalb der Workflows, die Analysten bereits nutzen.

Sobald Ihr Team bereit für weitere Anpassungen ist, können Sie die Lösung mit lokalen Agenten mithilfe des Vectra AI Agent Starter“ erweitern. Binden Sie Ihre eigenen Tools ein, programmieren Sie Ihre Playbooks, fügen Sie Ihren SOC-spezifischen Kontext hinzu und passen Sie den Agenten an die tatsächlichen Arbeitsabläufe Ihres Teams an.

Diese Schritte schließen sich nicht gegenseitig aus. Viele Teams nutzen beides: integrierte KI für einen sofortigen Nutzen und lokale Agenten für eine im Laufe der Zeit immer umfassendere Anpassung.

Das Ziel ist einfach: Fangen Sie praxisnah an, bauen Sie Vertrauen auf, lassen Sie den Menschen die Kontrolle behalten und steigern Sie die Autonomie, während Ihr SOC reift. Entdecken Sie das Starter-Kit, probieren Sie die integrierten KI-Funktionen aus, senden Sie uns Feedback, tragen Sie zum Open-Source-Projekt bei oder vereinbaren Sie eine Live-Demo. Wir sind hier, um Ihnen dabei zu helfen, KI schon heute in Ihrem SOC-Betrieb sinnvoll einzusetzen.

Die Zukunft des SOC wird nicht vom Hype um KI bestimmt werden. Sie wird von den Sicherheitsverantwortlichen bestimmt werden, die wissen, wie man KI sinnvoll einsetzt.

FAQ