Comment eSentire enquête sur les menaces à un niveau expert et à grande échelle avec Claude

eSentire est un fournisseur de détection et de réponse gérées (MDR) qui protège des millions de points de terminaison chez des milliers de clients dans le monde entier. Sa plateforme Atlas utilise Claude pour effectuer des enquêtes autonomes sur les menaces, en analysant les signaux à travers la télémétrie des points de terminaison, de l'identité, du réseau et du cloud pour détecter et contenir les attaques en quelques minutes.

Avec Claude, eSentire a atteint :

• 99,96 % de confinement des ransomwares avant tout chiffrement de fichiers, soit plus du double de la moyenne du secteur (44 %)
• Plus de 120 000 enquêtes autonomes en 12 mois sur l'ensemble de sa base de clients, avec une moyenne de 44 appels d'outils couvrant la télémétrie des points de terminaison, de l'identité, du réseau et du cloud
• Plus de 90 % d'alignement avec les meilleurs experts SOC dans une évaluation continue en production, correspondant aux performances des analystes humains ou les dépassant
• Une enquête agentique de 6 minutes en moyenne, alors que la durée médiane de présence de l'attaquant dans le secteur est de 11 jours
• 41 % d'attaques confirmées en plus détectées par client après le déploiement d'enquêtes agentiques, avec une baisse de 11 % du volume global d'alertes

Le défi : Égaler la vitesse des attaquants sans sacrifier la profondeur

Les attaques alimentées par l'IA s'exécutent désormais à des milliers de requêtes par seconde, un rythme qu'aucune équipe SOC humaine ne peut égaler. eSentire devait enquêter sur les menaces en direct dans des milliers d'environnements clients hétérogènes, en corrélant des signaux entre les couches de points de terminaison, d'identité, de réseau et de cloud, et en raisonnant sur l'intention de l'attaquant avec des informations incomplètes. Le défi consistait à garantir la même profondeur qu'un analyste senior apporterait à chaque signal, et pas seulement à ceux repérés comme critiques.

« Lorsque les attaquants peuvent exécuter des agents IA qui agissent plus rapidement que tout SOC humain, la seule réponse viable est une IA qui défend à la même vitesse et avec la même profondeur », déclare Dustin Hillard, CPTO d'eSentire. « C'est ce que nous avons construit sur Claude. »

La solution : Pourquoi eSentire a choisi Claude sur le raisonnement sur la sécurité

Les bancs d'essai de cybersécurité standard étaient saturés, avec des modèles leaders obtenant un score quasi parfait, mais ces tests sont fondés sur des problèmes définis avec des réponses vérifiables. Or le travail de production d'eSentire est fondamentalement différent : l'agent reçoit un événement de détection et des sources de télémétrie, mais pas de réponse prédéfinie, et doit décider quels outils appeler, comment interpréter les preuves contradictoires et à quel verdict parvenir.

Lorsque eSentire a évalué plusieurs modèles dans des scénarios de sécurité réels, Claude offrait les meilleures performances pour les raisonnements de sécurité complexes. Ses capacités agentiques excellaient dans l'orchestration de flux de travail multi-outils tout en maintenant la cohérence des investigations, ce qui est essentiel pour le travail MDR, et chaque génération suivante de modèle a encore amélioré ces résultats.

« Les bancs d'essai montrent si un modèle peut résoudre un problème connu dans un environnement contrôlé », explique Hillard. « Nous avions besoin de Claude pour résoudre des problèmes inconnus dans des environnements clients en direct, plusieurs milliers de fois par jour, avec une profondeur de niveau expert sur chacun d'entre eux. C'est une situation fondamentalement différente, et Opus 4.6 relève ce défi. »

Comment eSentire effectue des enquêtes agentiques avec Claude

La plateforme Atlas d'eSentire exécute Claude Opus 4.6 sur Amazon Bedrock via l'Agent SDK dans une architecture multi-agents qui reflète le flux de travail d'un analyste SOC senior. Chaque enquête comporte en moyenne 44 appels d'outils autonomes : collecte de renseignements sur les menaces, corrélation des signaux entre le SIEM et la télémétrie des points de terminaison, analyse de l'activité liée aux identités, reconstruction du comportement de l'attaquant grâce aux données de processus et de réseau, et établissement des liens entre les résultats des flux de travail. En 12 mois, la plateforme a exécuté plus de cinq millions d'appels d'outils, représentant l'équivalent de 468 000 heures de travail d'expert, chaque appel correspondant en moyenne à environ cinq minutes de travail d'analyste.

Chaque cas suit un flux de travail analytique structuré qu'un analyste senior mettrait des heures à répliquer manuellement, plusieurs sous-agents collaborant sur chaque cas.

C'est dans les cas ambigus que cela se manifeste le plus clairement. Une compromission d'identité où l'activité de l'attaquant recoupe le comportement normal d'un utilisateur légitime nécessite que l'agent évalue la chronologie, la géographie, les chaînes d'agent utilisateur et les règles de transfert d'e-mails avant de prendre une décision. Opus 4.6 gère systématiquement ces cas à un niveau qui correspond à celui des meilleurs enquêteurs humains d'eSentire. Il doit également raisonner efficacement sur plus de 3 600 flux de travail d'enquête distincts couvrant toutes les principales plateformes EDR, SIEM et d'identité.

Après le déploiement de l'analyse agentique, eSentire a détecté 41 % d'attaques confirmées de plus par client, tout en réduisant le volume global d'alertes de 11 %. Plus de menaces réelles détectées, moins de bruit. Les analystes seniors examinent chaque résultat critique et agissent en conséquence, offrant une couche de confiance que l'automatisation seule ne fournit pas. L'IA analyse chaque signal en profondeur, ce qui permet à l'équipe humaine de se concentrer sur les décisions critiques les plus essentielles : engagement client, décisions de confinement et stratégie de remédiation.

« Avant les investigations agentiques, nous devions choisir entre la profondeur et la vitesse », explique Hillard. « Désormais, toutes les investigations sont traitées avec la rigueur analytique approfondie qu'appliqueraient nos meilleurs experts. C'est ce qui change les résultats. »

Le résultat : Un confinement mesurable à l'échelle de la production

eSentire mesure cette rigueur à travers une évaluation continue de la production : des spécialistes SOC seniors examinent de manière indépendante un échantillon des cas que l'agent a étudiés, et l'alignement est mesuré en fonction de critères comme la survenance d'une compromission, la classification de la gravité et la réponse recommandée. Sur plus de 500 résultats examinés, Claude obtient systématiquement plus de 90 % d'alignement avec les spécialistes senior sur le verdict final. Par rapport aux analystes juniors utilisant la même méthodologie, l'agent est plus performant.

Sur 12 mois de production, les résultats sont concrets. Sur près de 10 000 incidents remontés chez plus de 1 400 clients : 

• 31 % ont été bloqués avant l'exécution, 
• 18 % étaient des tentatives d'attaques qui ont échoué, 
• 36 % étaient des compromissions d'identité détectées et corrigées avant que les attaquants n'accèdent aux données d'entreprise, et 
• 14 % étaient des compromissions d'appareils où le SOC a détecté une activité, a isolé l'hôte et a mené la remédiation.

Sur près de deux millions de points d'extrémité protégés, les attaquants ont réussi à se déplacer latéralement vers un deuxième appareil dans moins de 0,5 % des incidents. Les ransomwares ont chiffré des fichiers dans moins de 0,04 % des cas. Chacun de ces cas a été détecté. La question n'a jamais été de savoir si l'attaque était détectée, mais à quelle vitesse elle pourrait être stoppée. À titre de comparaison, le temps de persistance global médian des attaquants est de 11 jours, et seulement 44 % des attaques de ransomwares dans l'ensemble du secteur sont stoppées avant le chiffrement.

Perspectives d'avenir

La plateforme se développe pour intégrer et intervenir sur l'ensemble des technologies de sécurité qu'un client exécute, quelle que soit la pile technologique du fournisseur. Chaque nouvelle intégration approfondit à la fois le contexte d'investigation et les capacités de réponse disponibles pour toutes les enquêtes.

« Nous créons une plateforme où chaque signal de sécurité, quel que soit le fournisseur, bénéficie de la même profondeur d'analyse et de la même qualité de résultat », explique Hillard. À mesure que le paysage des menaces s'accélère, eSentire fait le pari de ne faire de compromis ni sur la profondeur ni sur la vitesse.

‍