Elastic Security Labs presenteert het concept van het Agentic Security Operations Center (SOC), een evolutie binnen security operations waarbij AI-agents en bijbehorende vaardigheden worden ingezet om workflows zoals detectie, alert triage, incidentonderzoek en respons te automatiseren. Deze zogenoemde Agentic workflows ondersteunen analisten door routinetaken over te nemen, zonder de menselijke rol te vervangen.

Een Agentic SOC maakt gebruik van AI binnen platforms zoals SIEM, XDR of security analytics, of kan als extra laag boven legacy SIEM-systemen functioneren. Het doel is om sneller te reageren op aanvallen door geautomatiseerde en autonome agenten in te zetten. De kern van een succesvol SOC bestaat uit drie pijlers: het verzamelen van gecentraliseerde data, het detecteren van bedreigingen met behulp van geavanceerde regels en endpointbescherming, en het adequaat reageren op alerts. Elastic levert standaard meer dan 1.700 detectieregels voor zijn SIEM, exclusief de endpointregels van de XDR-oplossing Elastic Defend.

In de praktijk betekent dit dat een securityanalist bijvoorbeeld via een Slack-melding direct wordt geïnformeerd over een actieve aanval. Tegelijkertijd heeft het Elastic Agentic SOC automatisch een kwetsbare host geïsoleerd om verdere schade te voorkomen. Via Elastic Workflows en Agent Builder worden realtime data geanalyseerd en acties uitgevoerd. De case management functionaliteit binnen Elastic centraliseert alle relevante informatie, zoals een overzicht van de aanval, gekoppelde alerts, verdachte indicatoren en aanvullende contextuele gebeurtenissen. Dit ondersteunt de analist bij het onderzoeken en coördineren van de respons.