découvrez comment la nouvelle solution de socradar, agentic threat intelligence, s'appuie sur la connaissance de l'intelligence artificielle pour créer des stratégies de cybersécurité exploitables, permettant aux entreprises de faire face de manière proactive à l'évolution des menaces numériques.
Publié le par Franck F.

SocRadar lance l'intelligence agentive des menaces pour transformer les connaissances de l'IA en stratégies exploitables.

Le paysage de la cybersécurité passe d'une collecte passive à une défense active et autonome. La nouvelle offre de SOCRadar recadre le renseignement sur les menaces comme une capacité opérationnelle capable non seulement d'informer mais aussi d'exécuter. S'inspirant des principes de l'IA agentique, la plateforme introduit des agents autonomes qui détectent, enrichissent et agissent sur les menaces à travers les chaînes d'outils, réduisant ainsi le temps de confinement et permettant une adaptation continue au comportement de l'adversaire.

Ce dossier présente la conception technique, les implications opérationnelles, les modèles d'intégration avec les fournisseurs en place et les considérations de gouvernance que les RSSI et les responsables SOC doivent évaluer. Chaque section présente des exemples concrets et une étude de cas d'une entreprise de taille moyenne, Horizon Security, qui pilote le renseignement sur les menaces agentiques pour défendre son parc de serveurs en nuage et d'équipements de télécommunications.

SocRadar Agentic Threat Intelligence Platform : vue d'ensemble et capacités

Le lancement de SocRadarLa plateforme agentique de renseignement sur les menaces de la société marque un tournant dans la manière dont la télémétrie de la sécurité devient action. Plutôt que de fournir des rapports statiques, la plateforme déploie un essaim d'agents d'intelligence artificielle spécialisés qui recueillent en permanence des signaux externes, les mettent en corrélation avec la télémétrie interne et proposent ou exécutent des mesures d'atténuation lorsque les seuils de confiance sont atteints. Cette architecture est conçue pour réduire le temps moyen de détection (MTTD) et le temps moyen de réponse (MTTR) des analystes en automatisant les tâches routinières d'enrichissement et de confinement.

Architecture de base et rôles des agents

Au cœur du système se trouve une couche d'orchestration modulaire qui assigne aux agents des rôles distincts : reconnaissance, enrichissement, corrélation et réponse. Chaque agent exécute des flux de travail contraints et tient à jour des registres de provenance. Par exemple, un agent de reconnaissance analyse les flux de sources ouvertes à la recherche d'un groupe de CIO émergent, puis transmet les candidats à un agent d'enrichissement qui interroge les sources du dark web et la télémétrie historique. Si les seuils de corrélation sont atteints, un agent de réponse peut exécuter des étapes de confinement pré-approuvées, telles que l'isolement des points finaux ou la mise en quarantaine des informations d'identification.

  • Agents de reconnaissance - les collecteurs de signaux externes continus.
  • Agents d'enrichissement - les créateurs de contexte qui utilisent les informations sur les menaces et les empreintes digitales.
  • Agents de corrélation - faire correspondre les indicateurs externes aux anomalies internes.
  • Agents de réponse - des exécuteurs automatisés de playbooks dans le cadre de contrôles de politiques.

Horizon Security, l'étude de cas en cours, a déployé un pilote axé sur les charges de travail en nuage. Au cours de l'essai, un agent de reconnaissance a détecté un kit d'hameçonnage actif annonçant des informations d'identification volées liées à un fournisseur tiers. L'agent d'enrichissement a croisé les modèles du kit avec les campagnes précédentes suivies par l'agent d'enrichissement. Futur enregistré et des alertes historiques dans le SIEM d'Horizon. L'agent de corrélation ayant fait correspondre les indicateurs externes avec les tentatives d'authentification anormales, un agent de réponse a mis en place un confinement des mouvements latéraux sur plusieurs sessions d'utilisateurs suspects, bloquant ainsi toute escalade supplémentaire.

Performance, précision et contrôle humain

Les mesures de performance des premiers déploiements soulignent la réduction des cycles d'analyse. La plateforme offre des seuils de confiance configurables ; les réviseurs humains peuvent approuver les réponses automatisées au-delà d'un seuil inférieur, tandis que les actions très perturbatrices nécessitent une autorisation manuelle explicite. Cette conception permet d'équilibrer la rapidité avec les exigences de gouvernance communes aux entreprises qui s'appuient déjà sur des fournisseurs tels que Palo Alto Networks et Splunk pour la télémétrie du réseau et des journaux.

  • Seuils de confiance configurables pour les actions autonomes.
  • Pistes d'audit et provenance pour chaque décision de l'agent.
  • Modèles de politiques alignés sur les régimes de conformité et les intégrations de fournisseurs.

Concrètement, les équipes SOC qui ont associé SocRadar aux investissements existants de CrowdStrike et SentinelOne a vu moins de faux positifs transmis aux analystes parce que la plateforme a enrichi les alertes brutes avec des TTP contextuelles des acteurs de la menace et a vérifié les indicateurs par rapport à plusieurs sources avant de les transmettre à l'échelon supérieur. Le projet pilote a également révélé que l'automatisation des tâches d'enrichissement fastidieuses permettait aux analystes de mieux se concentrer sur les enquêtes complexes.

Pour en savoir plus sur la valeur opérationnelle et l'évolution du marché vers la défense agentique, consultez l'analyse de l'IA agentique dans la cyberdéfense à l'adresse www.dualmedia.com/ai-agents-cyber-defense/ et la croissance du marché de l'IA agentique à l'adresse www.dualmedia.com/ai-agents-market-growth/.

LIRE  Explorer les innovations logistiques : comment l'automatisation et l'IA minimisent les coûts et améliorent l'efficacité des entreprises.

Aperçu général : Le renseignement agentique sur les menaces recadre la télémétrie en actions opérationnelles en combinant des agents modulaires, un contrôle de confiance et une provenance intégrée, ce qui accélère la réponse tout en préservant le contrôle humain.

Comment la Threat Intelligence Agentic automatise la détection, l'analyse et la réponse

Les systèmes agentiques font le lien entre la détection et la réponse en exécutant des microdécisions validées qui forment collectivement une posture de défense adaptative. À la différence des manuels de jeu SOAR traditionnels basés sur des règles, ces agents intègrent le raisonnement probabiliste, le contexte historique de la campagne et la validation de sources croisées pour déterminer les actions appropriées. Le pipeline d'automatisation réduit le travail des analystes et raccourcit les boucles d'attaque.

Pipeline de détection et fusion des signaux

Le pipeline de détection s'appuie sur la fusion de plusieurs sources : flux externes, télémétrie de la protection des points d'extrémité, flux réseau et journaux dans le nuage. Les agents étiquettent chaque signal avec des métadonnées - fiabilité de la source, pertinence temporelle et score de confiance. Par exemple, un binaire suspect détecté sur un point d'extrémité par CrowdStrike est enrichi de la réputation du domaine de Futur enregistré et mis en corrélation avec une campagne active suivie par Trace sombre l'analyse comportementale du style.

  • Ingestion de signaux avec pondération de la source.
  • Enrichissement automatisé pour réduire le temps de triage du SOC.
  • Corrélation adaptative exploitant les profils historiques des campagnes.

Horizon Security en a fait l'expérience lors d'un événement de spear-phishing. La télémétrie initiale des points d'extrémité provenait d'un agent EDR et signalait un outil de vidage d'informations d'identification. La plateforme agentique a automatiquement effectué des recherches dans les domaines et sur le dark web, en corrélant les résultats avec des signatures qui ressemblaient à des outils associés à un groupe connu de ransomware. La corrélation automatisée a augmenté la priorité de l'alerte et a recommandé de mettre fin immédiatement à la session.

Logique de décision et actions sûres

La logique de décision utilise un modèle de seuil à plusieurs niveaux : les actions à faible impact (marquage, enrichissement) peuvent être entièrement automatisées ; les actions à impact moyen (isolation de points d'extrémité uniques) nécessitent souvent une approbation en un clic ; les actions à fort impact (segmentation à l'échelle du réseau) requièrent l'autorisation d'un humain. Cela permet de réduire la fatigue liée aux alertes tout en favorisant la rapidité là où c'est sûr.

  • Des seuils de décision stratifiés permettent une automatisation progressive.
  • Les procédures de recul et de confinement sont testées au préalable par des agents de simulation.
  • Les journaux de provenance fournissent un rappel complet de la raison d'être de l'agent pour l'audit.

Les comparaisons avec les opérateurs historiques permettent de clarifier ce changement. Des fournisseurs comme FireEye fournissait des playbooks de détection et de réponse avancés dans les générations précédentes, et ThreatConnect spécialisée dans l'orchestration de playbooks définis par l'homme. Le modèle agentique de SocRadar associe ces capacités à une adaptation autonome, ce qui permet une amélioration continue sans mise à jour manuelle des scripts.

La plateforme prend également en charge les boucles de tests contradictoires. Les agents de simulation injectent des indicateurs de test bénins pour valider que les agents de réponse agissent dans le respect des contraintes politiques. Cette pratique réduit le risque d'erreurs d'automatisation perturbatrices et renforce la confiance des opérateurs.

  • Simulations contradictoires automatisées pour la validation des politiques.
  • Apprentissage continu à partir d'analyses post-incidents pour affiner les seuils.
  • Points d'intégration pour les contrôles EDR, XDR et cloud-native.

Sur le plan opérationnel, ce modèle signifie moins d'escalades pour les incidents de routine et une maîtrise plus rapide des attaques confirmées. Les SOC associent cette plateforme à des analyses provenant de Splunk et des flux d'informations provenant de Futur enregistré a constaté une baisse mesurable des tâches répétitives et une augmentation proportionnelle des enquêtes de grande valeur.

Aperçu général : L'automatisation régie par des seuils échelonnés et une simulation permanente permet d'obtenir des réponses fiables, vérifiables et rapides, réduisant ainsi les MTTD/MTTR tout en maintenant la sécurité opérationnelle.

Intégration avec les piles de sécurité : Splunk, Palo Alto Networks et IBM Security

Les renseignements sur les menaces agentiques atteignent leur valeur grâce à une intégration transparente avec les outils de sécurité existants. L'intégration permet la propagation des signaux, l'exécution des actions et la vérification en boucle fermée. SocRadar vise une connectivité API-first avec les SIEM, les pare-feu, les EDR/XDR, les TIP et les plates-formes IAM pour offrir une automatisation de bout en bout.

Modèles d'intégration et fournisseurs pris en charge

Trois modèles d'intégration principaux se dégagent : l'ingestion de données télémétriques, la consultation de données enrichies et l'exécution de commandes/contrôles. Pour l'ingestion de données télémétriques, les connecteurs tirent des journaux et des alertes de SIEM tels que Splunk ou des services de journalisation natifs de l'informatique en nuage. Les recherches d'enrichissement interrogent des TIP tels que ThreatConnect ou des plates-formes de renseignement telles que Futur enregistré. L'exécution des commandes/contrôles exploite les API d'orchestration sur les appareils ou les fournisseurs de services en nuage et, dans de nombreuses entreprises, cela inclut les éléments suivants Palo Alto Networks les pare-feux et les Sécurité IBM les outils de réponse aux incidents.

  • Ingestion de données télémétriques : Connecteurs SIEM et collecteurs webhook.
  • Enrichissement : Intégration de TIP et d'OSINT pour le contexte et la réputation.
  • Exécution : API d'automatisation pour isoler les points d'extrémité ou mettre à jour les règles du pare-feu.
LIRE  Libérer la puissance de l'IA : découvrir des idées et des solutions innovantes

L'architecture d'Horizon Security intègre la plate-forme agentive avec Splunk pour la centralisation des données, Palo Alto Networks pour l'application du pare-feu, et d'un playbook existant en ThreatConnect. Lorsqu'un agent recommande de bloquer un domaine C2, l'action est transmise à l'API d'orchestration du pare-feu et un événement est enregistré dans Splunk à des fins d'audit et d'analyse des tendances.

Capacité Points d'intégration Action type Temps de latence prévu
Reconnaissance Flux OSINT, TIP Drapeau Candidats au CIO De secondes en minutes
Enrichissement Recorded Future, indices du web sombre Ajouter le contexte TTP De secondes en minutes
Corrélation Splunk, EDR (CrowdStrike/SentinelOne) Classer les alertes par ordre de priorité Procès-verbal
Réponse Palo Alto Networks, IBM Security orchestration Isoler le point final, bloquer le domaine De l'immédiat aux minutes

Les intégrations réussies nécessitent des schémas bien définis pour les formats d'indicateurs et un modèle de provenance normalisé. La plateforme établit une correspondance entre la gravité des alertes propres à chaque fournisseur et une échelle interne unifiée, ce qui simplifie l'application des politiques dans des outils hétérogènes tels que Futur enregistré et FireEye les appareils électroménagers.

Considérations opérationnelles et exemples de cas

Les défis de l'intégration sont pragmatiques : Limites de débit de l'API, schémas de télémétrie incohérents et nécessité d'une autorisation basée sur les rôles pour les actions automatisées. Horizon Security s'est attaqué à l'étranglement de l'API en mettant en œuvre des fenêtres d'interrogation adaptatives et des files d'attente pour éviter toute interruption de service. Pour l'harmonisation des schémas, l'équipe a adopté un format d'événement commun produit par la plateforme agentive et consommé par tous les outils en aval.

  • Comprendre les limites de l'API et mettre en œuvre un polling adaptatif.
  • Normaliser les schémas d'événements pour réduire les erreurs de traduction.
  • Maintenir le système RBAC afin de garantir le moindre privilège pour les actions automatisées.

Pour les organisations qui évaluent les écosystèmes des fournisseurs, la compatibilité de la plateforme avec les systèmes de gestion de l'information de l CrowdStrike, SentinelOne, Palo Alto Networks, et Splunk est un puissant vecteur d'adoption. L'intégration avec Sécurité IBM permet une gestion des incidents et une préservation médico-légale de qualité professionnelle.

Pour une lecture stratégique des implications du marché et de la manière dont ces intégrations accélèrent les résultats, consultez les ressources d'analyse comparative telles que www.dualmedia.com/comparative-analysis-of-ai-tools-for-cybersecurity/ et les cas d'utilisation réels sur www.dualmedia.com/real-world-applications-of-ai-in-cybersecurity-solutions/.

Aperçu général : De solides intégrations API et des modèles d'événements normalisés sont des conditions préalables à l'opérationnalisation de l'intelligence agentique dans diverses piles de sécurité, permettant des actions rapides et vérifiables entre les fournisseurs.

Opérationnaliser les connaissances en matière d'IA : Playbooks, flux de travail et gestion des risques

Transformer le renseignement en opérations reproductibles nécessite des manuels de jeu codifiés, des procédures de retour en arrière et une évaluation continue des risques. La plateforme de SocRadar met l'accent sur la conception de playbooks : les agents exécutent des tâches discrètes correspondant à des runbooks opérationnels rédigés par des analystes et revus par des responsables de programme. Cela permet de réduire les variations et d'améliorer la prévisibilité en cas d'incidents.

Conception et mise en œuvre des règles de jeu

Les playbooks sont construits sous forme de modules composables : valider, enrichir, décider, agir et documenter. Chaque module comporte des conditions préalables, des résultats acceptables et des étapes de retour en arrière. Par exemple, un cahier de jeu répondant à la compromission d'un identifiant valide les indicateurs, les enrichit avec le contexte externe, décide des actions de confinement sur la base des profils de risque, met en œuvre l'isolement et documente toute l'activité pour assurer la conformité.

  • Les modules composables permettent la réutilisation des différents types de menaces.
  • Les étapes de retour en arrière sont obligatoires pour toute action affectant les systèmes de production.
  • Les manuels de jeu sont versionnés et liés aux comptes-rendus d'incidents.

Horizon Security a cartographié les flux de travail de confinement des ransomwares dans des playbooks d'agents. Lorsqu'un agent de reconnaissance signale une activité de cryptage de fichiers suspecte, un agent de réponse déclenche un module de confinement immédiat limité aux plages de sous-réseaux affectées. Le module de retour en arrière préserve les instantanés pour l'analyse médico-légale et actualise automatiquement les jetons d'accès afin d'empêcher la réutilisation des informations d'identification.

Un contexte réel sur les tendances des ransomwares et les résultats des mesures d'atténuation est disponible à l'adresse www.dualmedia.com/ransomware-attack-decline/ et des études d'impact des ransomwares sont disponibles à l'adresse www.dualmedia.com/ransomware-attacks-oil-gas/.

LIRE  Améliorer l'expérience utilisateur dans les échanges de crypto-monnaies

Gestion des risques et gouvernance

La gouvernance exige que les actions automatisées soient clairement prises en charge. Un plan de contrôle gère les politiques : quels agents peuvent agir, quel est leur champ d'action et les voies d'escalade. L'évaluation des risques est dynamique : les agents prennent en compte la criticité des opérations (par exemple, production ou développement), les contraintes réglementaires et les taux de faux positifs antérieurs pour décider de l'étendue de l'automatisation.

  • Définir la responsabilité des décisions des agents et des matrices d'escalade.
  • Utiliser l'évaluation dynamique des risques pour faire évoluer l'automatisation en toute sécurité.
  • Archiver la provenance détaillée pour les audits et la conformité.

Dans le cadre du projet pilote, les contrôles de gouvernance ont empêché l'exécution automatique d'une segmentation du réseau à fort impact. Au lieu de cela, la plateforme a transmis un ticket prioritaire au responsable de l'incident et a fourni une séquence d'actions recommandées, réduisant ainsi le risque d'erreurs ayant un impact sur le service.

La maturité opérationnelle bénéficie également des boucles d'apprentissage continu. Les analyses post-incidents alimentent les modèles d'agents et les manuels de jeu, ce qui permet d'affiner les seuils et de réduire les escalades inutiles. Cet apprentissage est traçable : la plateforme enregistre les modules de jeu exécutés, qui les a approuvés et leurs résultats, ce qui permet une amélioration continue des processus.

  • Organiser régulièrement des exercices sur table comprenant des scénarios automatisés.
  • Mesurer les taux de réussite des playbooks et ajuster les seuils de décision.
  • Utiliser des injections simulées pour valider les procédures de retour en arrière et de confinement.

Des ressources supplémentaires sur les stratégies opérationnelles et la conception de playbooks pilotés par l'IA sont disponibles sur les sites www.dualmedia.com/agentic-ai-defense-intelligence/ et www.dualmedia.com/ai-costs-management-strategies/.

Aperçu général : L'automatisation de type "Playbook-first" avec retour en arrière obligatoire et évaluation dynamique des risques permet une opérationnalisation sûre, reproductible et vérifiable de l'intelligence agentique.

Gouvernance, confiance et avenir de la veille stratégique sur les menaces

La confiance dans les systèmes autonomes est la clé de voûte de l'adoption. Les cadres de gouvernance, les fonctions d'explication et l'alignement réglementaire déterminent jusqu'où l'automatisation peut être étendue. La conception de la plateforme est axée sur des décisions explicables, des contrôles humains dans la boucle et l'auditabilité pour répondre aux besoins de l'entreprise et de la réglementation.

Explicabilité, audit et conformité

Chaque décision d'un agent est accompagnée d'une justification : les signaux utilisés, le calcul de confiance et l'action recommandée. Cette explicabilité est vitale pour les équipes juridiques et de conformité, en particulier lorsque les actions automatisées affectent les données des clients ou les infrastructures critiques. Les journaux d'audit sont immuables et consultables, ce qui garantit que les analyses post-incident peuvent reconstituer l'ensemble de la chaîne de décision.

  • Charges utiles de justification pour l'explicabilité.
  • Journaux d'audit immuables pour la criminalistique et la conformité.
  • Modèles de politiques alignés sur les cadres réglementaires communs.

Les principaux fournisseurs dans les espaces adjacents, notamment Trace sombre et FireEyeont fait l'objet d'un examen minutieux en ce qui concerne les actions automatisées. L'accent mis par SocRadar sur le raisonnement transparent et le retour en arrière modulaire est une réponse directe à ces préoccupations. Les entreprises qui combinent la plateforme avec la gouvernance de la sécurité de fournisseurs tels que Sécurité IBM renforcer leur position en matière de conformité.

Dynamique du marché et paysage des fournisseurs

L'émergence d'une intelligence agentive des menaces amplifie la différenciation concurrentielle. Certains fournisseurs mettent l'accent sur l'analyse de la détection, tandis que d'autres se lancent dans la réponse autonome. L'écosystème évolue rapidement, avec des partenariats et des acquisitions qui façonnent les capacités - rappelons que plusieurs grands fournisseurs ont intégré des modules d'IA ou acquis des startups spécialisées dans l'orchestration pour accélérer leurs feuilles de route.

  • La consolidation et les partenariats accéléreront la parité des fonctionnalités.
  • Des normes ouvertes pour la provenance et les formats d'indicateurs réduiront le verrouillage.
  • La validation continue et les essais par des tiers deviendront la norme en matière de marchés publics.

Pour les praticiens qui se préparent à ce changement, des ressources telles que trust agentic AI takeaways (www.dualmedia.com/trust-agentic-ai-takeaways/) et l'évolution historique de l'IA dans la cybersécurité (www.dualmedia.com/historical-evolution-of-ai-in-cybersecurity/) fournissent un contexte utile sur les meilleures pratiques de gouvernance et les trajectoires d'adoption.

Enfin, l'industrie doit s'attaquer aux risques adverses : les attaquants qui sondent les politiques des agents et conçoivent des leurres pour déclencher un comportement automatisé perturbateur. Des tests adverses robustes et des exercices en équipe rouge restent essentiels pour renforcer la logique de décision de l'agent contre la manipulation.

  • Mettre en œuvre des tests contradictoires dans le cadre des processus de déploiement.
  • Surveiller les déclenchements anormaux de l'agent qui peuvent indiquer une manipulation.
  • Maintenir la surveillance humaine pour les domaines de décision à fort impact.

Aperçu général : La confiance dans l'intelligence agentique dépend de la possibilité de l'expliquer, d'une gouvernance rigoureuse et d'une validation contradictoire continue - ce n'est qu'alors que la défense autonome deviendra un élément fiable de la posture de sécurité de l'entreprise.