AI agent az incidenskezelésben: fél év gyakorlati tapasztalatai
Szabó Gábor
2025.10.02

A kiberbiztonsági központok (SOC-ok) világszerte hasonló kihívásokkal néznek szembe: növekvő incidensszám, monoton ismétlődő feladatok, emberhiány és egyre nagyobb felsővezetői és szabályozói elvárások. Az EURO ONE InfoSec üzletágának SOC csapata az elmúlt félévben a NetWitness AI elemző agent modulját tesztelte, hogy a mesterséges intelligencia hogyan tudja enyhíteni ezeket a terheket.
Mi is az a SOC, és hogyan működik?
A SOC a szervezet „kibervédelmi központja”, amely a kiberbiztonsági incidensek gyors felismerésére és hatékony kezelésére fókuszál. A cél: minimalizálni az üzletmenetre gyakorolt hatásokat.
A főbb SOC-folyamatok közé tartoznak:
- Incident Detection & Response (IDR): incidensek észlelése, elemzése, válaszlépések meghatározása és azok elvégzésének koordinálása, támogatása. Dokumentálás, belső riportálás, kötelező hatósági jelentések (pl NIS2 alapján) és ügyfélkommunikáció.
- Sérülékenységkezelés: hibák, sebezhetőségek azonosítása és kezelése.
- Threat Intelligence: a külső támadási trendek és hullámok folyamatos figyelése, releváns információk feldolgozása.
- Threat Hunting: rejtett incidensek proaktív felkutatása.
Ezeket a folyamatokat tipikusan több szinten dolgozó elemzők (L1–L3), valamint specializált szerepkörök (pl. threathunter, sérülékenység-elemző) látják el. A kihívás leginkább abban rejlik, hogy az incidensek száma és bonyolultsága folyamatosan nő, a feladatok pedig sokszor ismétlődőek és időigényesek.
A NetWitness AI agent szerepe
A NetWitness AI agent nem egyszerű automatizációs eszköz, hanem egy szerepkör alapú virtuális elemző, amely autonóm módon vizsgálja ki a riasztásokat. Feladata, hogy:
- összegyűjtse a kontextust,
- idővonalat készítsen,
- megfogalmazza a konklúziót és a javasolt lépéseket.
Így a humán elemzők már nem nyers adatokat, hanem jól strukturált riportot kapnak, amelyet értelmezniük kell. Ez jelentős fókuszváltást hozott: a manuális adatgyűjtés helyett a döntéshozatal és a stratégiai gondolkodás került előtérbe.

Az első 2600 incidens tanulságai
Az AI agent az elmúlt fél év alatt több mint 2600 incidenst vizsgált meg, amelyek összesen 62 különböző incidenstípusba sorolhatók. Ez a széles spektrum jól mutatja, hogy az elemzői feladatok nem korlátozódnak egy-egy támadási mintára, hanem a legegyszerűbb szabályalapú riasztásoktól a komplex viselkedéselemzési szabályokig terjednek.
- Medián humán elemzési idő: 2,5 perc/incidens.
- Konzisztens teljesítmény: az AI folyamatosan, azonos színvonalon működött.
- Pontosság: az esetek több mint 90%-ában csak formai jellegű észrevételek merültek fel.
- Tartalmi hiányosság: az incidensek 1%-ánál kritikus és 5%-nál egyéb tartalmi hibát jegyeztek fel a humán elemzők.
- Hallucináció: extrém ritka (0,27%).
- Megbízhatóság a 62 incidenstípusban:
- 3 incidenstípusban a humán elemzők szigorúbbak voltak, mert több háttérinformációval rendelkeztek.
- 13 incidenstípusban viszont az AI bizonyult szigorúbbnak: hamarabb jelzett további vizsgálati igényt, mint a humán kollégák.
A humán elemzők szigorúan pontozták az AI által készített elemzéseket, és az eredmények azt mutatták, hogy az autonóm működés megbízható és hasznos támogatást nyújt. Illetve az AI nemcsak „hozzávetőlegesen jó” elemzéseket készít, hanem sokszor konzervatívabb, óvatosabb megközelítést alkalmaz, ami növeli a biztonságot és csökkenti a téves negatív döntések kockázatát.

Miért más ez, mint a klasszikus automatizáció?
A különbség lényege a rugalmasság. Míg a hagyományos SOAR playbookok merev, lépésről lépésre felépített automatizmusok, addig az AI agent szerepkör alapú, önállóan dolgozó “virtuális elemző”.
- Autonóm vizsgálat: a riasztások beérkezése után maga gyűjti össze a kontextust, kronológiai sorrendbe szedi az incidenshez köthető eseményeket és konklúziót fogalmaz meg.
- Humán fókuszváltás: a szakembereknek már nem manuális adatvadászattal kell kezdeniük a folyamatot, hanem egy előkészített riport értelmezésével.
- Betanítási funkció: a strukturált riportok a junior elemzők képzésében is hasznosnak bizonyultak.
Milyen előnyöket hozott a bevezetés?
- Gyorsaság – az incidensvizsgálati idő drasztikusan csökkent.
- Tehermentesítés – felszabadult kapacitás olyan folyamatokra, mint a threat hunting vagy a threat intelligence.
- Megbízhatóság – az AI sok esetben szigorúbban értékelt, mint a humán elemzők, valamint a kontroll és döntéshozatal továbbra is a humán elemzők kezében van.
- Skálázhatóság – a növekvő incidensmennyiség kezelése emberi erőforrás-bővítés nélkül is fenntartható.
Mi várható a jövőben?
Az AI agent ökoszisztéma folyamatosan fejlődik: már készülnek olyan modulok, amelyek a threat hunting vagy a threat intelligence folyamatokat támogatják. A kiberbiztonsági fenyegetések száma és komplexitása folyamatosan nő, miközben a szakemberhiány évről évre égetőbb probléma. A tapasztalataink alapján a SOC AI agent nem helyettesíti, hanem megerősíti az elemzők munkáját:
- gyorsabbá teszi az incidenskezelést,
- csökkenti a hibák esélyét,
- felszabadítja a szakemberek idejét a magasabb hozzáadott értékű feladatokra.
Ezért ügyfeleinknek azt javasoljuk, hogy ne halogassák a mesterséges intelligencia bevezetésével a kibervédelemben. Várjuk azon partnereinknek a jelentkezését, akik early adopterként aktívan részt vennének az AI agent bevezetésében. Az early adopterek nemcsak azonnali hatékonyságnövekedést érhetnek el, hanem lehetőséget kapnak arra is, hogy közvetlenül befolyásolják is a fejlesztés irányait. Az AI agent kipróbálása lehetőséget ad arra, hogy a szervezet egy lépéssel a támadók előtt járjon.