Agentic AI és az AI-natív SOC jövője
Krékity Gusztáv
2025.12.04
Palo Alto Networks EMEA Tech Summit (Barcelona) – 1. rész
A Barcelonában megrendezett Palo Alto Networks EMEA Tech Summit idei fő üzenete világos és következetes volt: a vállalat minden termékvonala és fejlesztési iránya az autonóm, AI-vezérelt kiberbiztonság felé fordul.
A hagyományos SOC-működés új korszakba lép, ahol már nem pusztán AI-alapú támogatásról beszélünk, hanem Agentic AI-ról – olyan intelligens ügynökökről, amelyek képesek nemcsak értelmezni, hanem teljesen önállóan végrehajtani a biztonsági műveleteket.
Ez az irány több ponton összhangban áll azokkal a törekvésekkel, amelyek mentén InfoSec üzletágunk is építi saját fejlesztéseit, különösen a SOC-analitikusok munkáját támogató, kontextust építő és automatizációt erősítő AI-funkciók területén. A Summiton elhangzottak megerősítik, hogy a modern SOC-ok fejlődésének középpontjában az automatizáció, a valós idejű korreláció és az intelligens döntéstámogatás áll – mindez több technológiai környezetben, különböző SIEM-megoldásokban is megjelenő irány lehet.
Agentic AI – az autonóm SOC alapja
A Summit legdominánsabb üzenete:
a Palo Alto nem egyszerűen AI-t integrál a SOC-ba, hanem Agentic AI-t épít, amely képes önállóan gondolkodó és cselekvő biztonsági ügynökökként működni.
Az Agentic AI lényege, hogy a rendszer:
- önállóan értelmezi a beérkező eseményeket,
- felismeri és végig követi a teljes támadási láncot,
- döntést hoz külső utasítás nélkül,
- majd automatikusan végrehajtja a szükséges lépéseket, sok esetben playbookok használata nélkül.
Gyakorlati példák a bemutatott működésből:
- kompromittált végpont izolálása,
- felhasználói hozzáférés blokkolása,
- hálózati szabály módosítása valós időben,
- komplett incidenskezelési folyamat levezénylése emberi beavatkozás nélkül.
Az Agentic SIEM hátterét továbbra is a Cortex XSIAM és az XDR motor biztosítja, amelyeket a 3.0-s verziótól kezdve már kifejezetten AI-natív architektúrával terveznek.
Agentic SIEM – egy új SOC-architektúra születik
A Summit egyik kulcsmondanivalója szerint a vállalat ambiciózus, de egyértelmű jövőképet lát:
A klasszikus, log-gyűjtésre épülő SIEM-ek 5 éven belül elveszíthetik relevanciájukat.
Az XSIAM 3.0 fejlesztési irányának három fő pillére:
1) AI-natív működés
A rendszer eleve úgy épül fel, hogy az AI végezzen el minden olyan feladatot, ahol az ember csak lassítaná a folyamatot.
2) Egységes adatmodell
Valós idejű adatok összehangolt gyűjtése és elemzése:
- hálózati forgalom,
- végpontok,
- identitások,
- felhőesemények,
- alkalmazáslogok.
A Precision AI ezekből a forrásokból folyamatosan kontextust épít – nem eseményeket kezel, hanem támadási láncokat értelmez.
3) Teljes incidensciklus automatizálása
Az XSIAM célja, hogy:
- észlelje,
- azonosítsa,
- priorizálja,
- majd lezárja az incidenseket,
– és mindössze néhány olyan pont marad, amely továbbra is emberi döntést igényel.
A SOC jövőképe: végponttól a felhőig tanuló és reagáló rendszer
A Summit egyértelmű jövőképet festett a következő évekről:
- a SOC autonóm módon működik,
- a rendszer valós időben átlátja a teljes támadási felületeket,
- csak a valóban kritikus eseteket emeli humán elemzők elé,
- és képes lesz arra, hogy akár teljesen önálló védelmi folyamatokat vezényeljen le.
Egy ilyen SOC:
- gyorsabb,
- konzisztens döntést hoz,
- és sokkal szélesebb adatkészlettel dolgozik, mint bármely emberi csapat.
A Palo Alto egyértelműen egy Agentic AI-ra épülő, autonóm SOC-koncepció felé halad, amely újradefiniálhatja, hogyan működnek a biztonsági műveleti központok a következő években.
A bemutatott irányok jól rezonálnak az iparági trendekkel és azzal a szemlélettel is, amely mentén InfoSec üzletágunk a SOC-műveletek támogatását célzó fejlesztéseit építi.
Ez az első része egy többrészes összefoglaló-sorozatnak. A következő cikkben a Cortex Cloud, a „code-to-cloud-to-SOC” modell és a felhőbiztonsági automatizáció kerül előtérbe.