Kunstmatige intelligentie (AI) verandert de manier waarop beveiligingsteams cyberdreigingen detecteren en onderzoeken ingrijpend. Door grote hoeveelheden beveiligingsdata te analyseren, kan AI subtiele tekenen van kwaadaardige activiteiten sneller opsporen dan traditionele tools of menselijke analisten alleen.

Volgens onderzoeksbureau Gartner zal in 2028 ongeveer 50 procent van de platforms voor detectie, onderzoek en respons op dreigingen (TDIR), waaronder technologieën als EDR, XDR, SIEM en SOAR, gebruikmaken van agentische AI-mogelijkheden. Dit is een flinke stijging ten opzichte van minder dan 10 procent in 2024. AI kan organisaties helpen om dreigingsdetectie, incidentrespons en containment te versterken, terwijl het ook een oplossing biedt voor het tekort aan cybersecurityspecialisten.

Een belangrijk voordeel van AI is het vermogen om telemetrygegevens op grote schaal te verwerken, iets wat voor menselijke teams vrijwel onmogelijk is. Moderne IT-omgevingen genereren dagelijks miljarden logs en events van endpoints, netwerken, cloudservices en identiteitsystemen. Machine learning-modellen kunnen deze signalen vrijwel realtime correleren en afwijkend gedrag herkennen, zoals ongebruikelijke inlogpatronen, verdachte laterale bewegingen of pogingen tot datalekken, die anders in de enorme hoeveelheid data zouden verdwijnen.

Uit een onderzoek uit 2025 blijkt dat 45 procent van de organisaties AI al heeft geïntegreerd in hun detectieworkflows, terwijl 88 procent verwacht dat AI binnen drie jaar een belangrijke rol zal spelen in detectie-engineering. AI automatiseert veel routinetaken die voorheen door Tier 1 en Tier 2 analisten werden uitgevoerd, zoals het beoordelen van logs, triageren van alerts, identificeren van compromitteringsindicatoren en het coördineren met systeembeheerders tijdens onderzoeken.

Volgens Martin Sordilla, senior technology en security architect bij Accenture, versnelt AI deze processen aanzienlijk door taken als alerttriage, documentatie, bewijsverzameling en het bijhouden van de keten van bewaring te automatiseren. Organisaties zien hierdoor een efficiëntiewinst van ongeveer 40 tot 50 procent bij lagere SOC-taken, waardoor menselijke analisten zich kunnen richten op complexere onderzoeken en responsactiviteiten.

Daarnaast helpt AI bij het verminderen van alertmoeheid door alerts te clusteren en risico-gebaseerde prioritering mogelijk te maken, aldus Dipto Chakravarty, chief product en technology officer bij Black Duck. Natural language processing-agenten kunnen dreigingsalerts op grote schaal samenvatten en koppelen aan threat intelligence feeds zoals CVE.org en de CISA KEV Catalog. Dit draagt bij aan geautomatiseerde playbooks voor veelvoorkomende incidenten.

AI speelt ook een rol bij het verrijken van threat intelligence door gegevens uit diverse bronnen te verzamelen, te correleren en te voorzien van extra context, zoals CVE-informatie. Nicole Bucala, CEO van Databee, benadrukt dat AI-agenten inzichten uit georganiseerde en genormaliseerde datasets kunnen versnellen door analisten in staat te stellen vragen in natuurlijke taal te stellen, zonder dat gespecialiseerde queries of handmatige analyses nodig zijn.