Wie eSentire mit Claude Bedrohungsuntersuchungen auf Expertenebene in großem Umfang durchführt

eSentire ist ein Anbieter von Managed Detection and Response (MDR), der Millionen von Endpunkten bei Tausenden von Kunden weltweit schützt. Die Atlas-Plattform des Unternehmens verwendet Claude zur Durchführung autonomer Bedrohungsuntersuchungen und analysiert Signale über Endpunkt-, Identitäts-, Netzwerk- und Cloud-Telemetrie, um Angriffe in Minutenschnelle zu erkennen und einzudämmen.

Mit Claude konnte eSentire Folgendes erreichen:

• 99,96 % Ransomware-Eindämmung vor jeder Dateiverschlüsselung, mehr als doppelt so hoch wie im Branchendurchschnitt von 44 %
• Über 120.000 autonome Untersuchungen des gesamten Kundenstamms in 12 Monaten, mit durchschnittlich 44 Tool-Aufrufen in den Bereichen Endpunkt-, Identitäts-, Netzwerk- und Cloud-Telemetrie
• Über 90 % Übereinstimmung mit den besten SOC-Experten bei der kontinuierlichen Produktionsbewertung, die die Leistung der menschlichen Analysten erreicht oder übertrifft
• Durchschnittliche agentische Untersuchung in 6 Minuten, wobei die mediane Verweilzeit für einen Angreifer in der Branche 11 Tage beträgt
• Nach der Bereitstellung agentischer Untersuchungen wurden 41 % mehr bestätigte Angriffe pro Kunde erkannt, wobei das Warnvolumen insgesamt um 11 % gesunken ist

Die Herausforderung: Mit der Geschwindigkeit der Angreifer mithalten, ohne Tiefe einzubußen

KI-gestützte Angriffe werden jetzt mit Tausenden von Anfragen pro Sekunde ausgeführt – ein Tempo, das kein menschliches SOC-Team erreichen kann. eSentire musste Live-Bedrohungen in Tausenden heterogenen Kundenumgebungen untersuchen, Signale über Endpunkt-, Identitäts-, Netzwerk- und Cloud-Ebenen hinweg korrelieren und die Absicht der Angreifer anhand unvollständiger Informationen einschätzen. Die Herausforderung bestand darin, dies mit der gleichen Tiefe zu tun, die ein Senior-Analyst für jedes Signal einbringen würde, nicht nur für die als kritisch markierten Signale.

„Wenn Angreifer KI-Agenten ausführen können, die schneller sind als jedes menschliche SOC, ist die einzige brauchbare Antwort eine KI, die sich mit der gleichen Geschwindigkeit und Tiefe verteidigt“, sagte Dustin Hillard, CPTO von eSentire. „Das haben wir auf Claude entwickelt.“

Die Lösung: Warum eSentire sich für Claude für sicherheitsbezogenes Reasoning entschieden hat

Standard-Cybersicherheits-Benchmarks waren gesättigt und die führenden Modelle erzielten nahezu perfekte Ergebnisse, aber diese Benchmarks präsentieren definierte Probleme mit überprüfbaren Antworten. Die Produktionsarbeit von eSentire ist grundlegend anders: Der Agent erhält ein Erkennungsereignis und Telemetriequellen, aber keine vordefinierte Antwort, und muss entscheiden, welche Tools er aufrufen soll, wie er widersprüchliche Beweise interpretiert und zu welchem Urteil er gelangen soll. 

Als eSentire mehrere Modelle in realen Sicherheitsszenarien bewertete, lieferte Claude die höchste Leistung für komplexes sicherheitsbezogenes Schlussfolgern. Seine agentischen Fähigkeiten waren hervorragend geeignet, Workflows mit mehreren Tools zu orchestrieren und gleichzeitig die Kohärenz der Untersuchungen aufrechtzuerhalten, was für die MDR-Arbeit unerlässlich ist, und jede nachfolgende Modellgeneration hat dies weiter verbessert.

„Benchmarks messen, ob ein Modell ein bekanntes Problem in einer kontrollierten Umgebung lösen kann", sagte Hillard. „Wir brauchten Claude, um unbekannte Probleme in realen Kundenumgebungen zu lösen – tausende Male am Tag, mit der Tiefe eines Experten bei jedem einzelnen Problem. Das ist eine grundlegend andere Herausforderung, und Opus 4.6 meistert sie.“

Wie eSentire mit Claude agentische Untersuchungen durchführt

Auf der Atlas-Plattform von eSentire wird Claude Opus 4.6 auf Amazon Bedrock über das Agent SDK in einer Multiagenten-Architektur ausgeführt, die den Workflow eines leitenden SOC-Analysten widerspiegelt. Jede Untersuchung umfasst durchschnittlich 44 autonome Tool-Aufrufe: Abfrage von Bedrohungsinformationen, Korrelation von Signalen über SIEM- und Endpunkt-Telemetrie hinweg, Analyse der Identitätsaktivitäten, Rekonstruktion des Angreiferverhaltens über Prozess- und Netzwerkdaten hinweg und Verknüpfung von Ergebnissen über Workflows hinweg. In einem Zeitraum von 12 Monaten führte die Plattform mehr als 5 Millionen Tool-Aufrufe aus, was 468.000 Stunden äquivalentem Expertenaufwand entsprach, wobei jeder Aufruf durchschnittlich etwa 5 Minuten Analystenarbeit erforderte.

Jeder Fall folgt einem strukturierten analytischen Workflow, für den ein leitender Analyst Stunden benötigen würde, um ihn manuell zu replizieren, wobei mehrere Subagenten an jedem Fall zusammenarbeiten.

Dies zeigt sich am deutlichsten in uneindeutigen Fällen. Bei einer Identitätskompromittierung, bei der sich die Aktivität des Angreifers mit dem normalen Verhalten eines legitimen Benutzers überschneidet, muss der Agent Timing, Geografie, User-Agent-Strings und E-Mail-Weiterleitungsregeln abwägen, bevor er eine Entscheidung trifft. Opus 4.6 bearbeitet diese Fälle konsequent auf einem Niveau, das den besten menschlichen Ermittlern von eSentire entspricht. Und es muss in über 3.600 verschiedenen Untersuchungs-Workflows auf allen wichtigen EDR-, SIEM- und Identitätsplattformen effektiv schlussfolgern.

Nach der Bereitstellung der agentischen Analyse erkannte eSentire 41 % mehr bestätigte Angriffe pro Kunde und reduzierte das Warnvolumen insgesamt um 11 %. Mehr echte Bedrohungen erkannt, weniger Falschmeldungen. Senior Analysten überprüfen jedes kritische Ergebnis und reagieren darauf, was eine Vertrauensebene bietet, die Automatisierung allein nicht bietet. Die KI analysiert jedes Signal detailliert, sodass sich das menschliche Team auf die wichtigsten Entscheidungen konzentrieren kann: Kundeninteraktion, Eindämmungsentscheidungen und Behebungsstrategie.

„Vor den agentischen Untersuchungen mussten wir uns zwischen Tiefe und Geschwindigkeit entscheiden", sagte Hillard. „Jetzt erhält jede Untersuchung die tiefgehende analytische Strenge, die unsere besten Experten anwenden würden. Das ändert die Ergebnisse.“

Das Ergebnis: Messbare Eindämmung im Produktionsmaßstab

eSentire misst diese Genauigkeit durch eine kontinuierliche Produktionsbewertung: hochrangige SOC-Experten überprüfen unabhängig voneinander eine Stichprobe derselben Fälle, die der Agent untersucht hat, und die Abstimmung wird anhand von Dimensionen gemessen, z. B. ob eine Kompromittierung stattgefunden hat, Schweregrad-Klassifizierung und empfohlene Reaktion. Bei mehr als 500 beurteilten Ergebnissen erzielt Claude konstant eine Übereinstimmung von über 90 % mit den hochrangigen Experten beim endgültigen Urteil. Im Vergleich mit Junior-Analysten, die dieselbe Methodik verwenden, übertrifft der Agent diese.

In 12 Monaten Produktion sind die Ergebnisse konkret. Von fast 10.000 eskalierten Vorfällen bei mehr als 1.400 Kunden: 

• 31 % wurden vor der Ausführung blockiert,
• 18 % waren versuchte Angriffe, die fehlgeschlagen sind, 
• bei 36 % handelte es sich um Identitätskompromittierungen, die erkannt und behoben wurden, bevor die Angreifer auf die Geschäftsdaten zugreifen konnten, und 
• 14 % waren Geräte-Kompromittierungen, bei denen das SOC Aktivität erkannte, den Host isolierte und Gegenmaßnahmen einleitete.

Bei fast zwei Millionen geschützten Endpunkten erreichten Angreifer in weniger als 0,5 % der Vorfälle laterale Bewegung auf ein zweites Gerät. Ransomware verschlüsselte Dateien in weniger als 0,04 %. Jeder einzelne dieser Fälle wurde erkannt. Die Frage war nie, ob der Angriff gefunden wurde, sondern wie schnell er gestoppt werden konnte. Zur Einordnung: Die globale mediane Verweilzeit von Angreifern beträgt 11 Tage, und nur 44 % der Ransomware-Angriffe branchenweit werden vor der Verschlüsselung gestoppt.

Blick in die Zukunft

Die Plattform wird erweitert, um jede Sicherheitstechnologie, die ein Kunde einsetzt, zu erfassen und darauf zu reagieren – unabhängig vom Anbieter-Stack. Jede neue Integration vertieft sowohl den Untersuchungskontext als auch die für jede Untersuchung verfügbaren Reaktionsmöglichkeiten.

„Wir entwickeln eine Plattform, auf der jedes Sicherheitssignal unabhängig vom Anbieter die gleiche Tiefe der Analyse und Ergebnisqualität erhält“, sagte Hillard. Da die Bedrohungslandschaft immer schneller wird, setzt eSentire darauf, dass Tiefe und Geschwindigkeit kein Kompromiss mehr sind.

‍