Analityk SOC przychodzi rano do pracy. Na dashboardzie 847 nowych alertów z ostatnich 12 godzin. Firewall, SIEM, EDR, IDS - każde narzędzie generuje dziesiątki powiadomień. Wie, że statystycznie 680 z nich to false positive. Problem w tym, że nie wie, które 680.
Zaczyna przeglądać. Alert po alercie. Sprawdza kontekst, koreluje z innymi zdarzeniami, weryfikuje IP w bazach reputacji. Po 4 godzinach przetworzy może 120 alertów. Reszta czeka. A gdzieś w tym stosie jest realne zagrożenie, które właśnie eskaluje.
To codzienność zespołów Security Operations Center w Polsce i na całym świecie. Agent AI zmienia tę dynamikę fundamentalnie.
Problem: za dużo alertów, za mało ludzi
Skala problemu
Średni SOC w firmie średniej wielkości (200-1000 pracowników) generuje:
- 500-5 000 alertów dziennie
- 70-85% to false positive
- 15-30% wymaga sprawdzenia
- 1-5% to realne zagrożenia wymagające natychmiastowej reakcji
Alert fatigue - zmęczenie alertami - to uznany problem w cyberbezpieczeństwie. Im większa kolejka i im więcej pracy ręcznej przy triage'u, tym większe ryzyko, że część zdarzeń zostanie potraktowana zbyt pobieżnie.
Dlaczego jest tyle false positive
Narzędzia bezpieczeństwa działają na zasadzie "lepiej za dużo niż za mało":
- Reguły zbyt ogólne - każde logowanie z nowego IP to alert, nawet gdy pracownik pojechał w delegację
- Brak kontekstu - SIEM widzi anomalię, ale nie wie, że w firmie trwa migracja systemów
- Duplikacja - to samo zdarzenie generuje alerty w firewallu, EDR i SIEM jednocześnie
- Skany i boty - automatyczne skanowanie portów z internetu to 24/7, nie atak
Konsekwencje
- Realne zagrożenia ginąw szumie - atakujący to wiedzą i celowo generują szum
- Wypalenie analityków - rotacja w SOC to 25-35% rocznie
- Wolna reakcja - średni czas od wykrycia do reakcji (MTTR): 4-8 godzin
- Wysokie koszty - całodobowy SOC jest drogi nawet bez rozbudowanej automatyzacji
Jak agent AI triażuje alerty
Automatyczny triaż w 3 krokach
Krok 1: Deduplikacja i korelacja (milisekundy)
Agent odbiera alert i natychmiast sprawdza:
- Czy ten sam alert nie został już zgłoszony z innego źródła
- Czy jest powiązany z innymi alertami z ostatnich minut/godzin
- Czy dotyczy tego samego zasobu, IP lub użytkownika
Efekt: z 847 alertów zostaje 320 unikalnych zdarzeń.
Krok 2: Wzbogacanie kontekstem (sekundy)
Dla każdego zdarzenia agent zbiera kontekst:
- Kim jest użytkownik? (rola, dział, normalne wzorce pracy)
- Co to za zasób? (krytyczność, właściciel, ostatnie zmiany)
- Jakie jest źródłowe IP? (reputacja, geolokalizacja, historia)
- Czy to znany wzorzec? (baza znanych ataków, IOC)
- Co dzieje się w organizacji? (okno maintenance, deployment, testy penetracyjne)
Krok 3: Klasyfikacja i priorytetyzacja (sekundy)
Na podstawie kontekstu agent przypisuje każdemu zdarzeniu:
- Priorytet (krytyczny / wysoki / średni / niski / informacyjny)
- Pewność (na ile to prawdopodobnie realne zagrożenie)
- Rekomendowaną akcję (eskaluj / monitoruj / zamknij)
Przykładowy triaż
Alert: "Logowanie z nietypowej lokalizacji - user: jan.kowalski"
Źródło: Azure AD
Agent AI sprawdza:
├── Jan Kowalski - dział sprzedaży, podróżuje 3x/miesiąc
├── Lokalizacja: Berlin - firma ma klientów w Niemczech
├── Urządzenie: laptop firmowy (zarejestrowany w MDM)
├── MFA: potwierdzone
├── Poprzednie logowania z Berlina: 4x w ostatnim kwartale
Decyzja: FALSE POSITIVE - zamknij automatycznie
Powód: Znany wzorzec podróży, urządzenie firmowe, MFA OKAlert: "Logowanie z nietypowej lokalizacji - user: anna.nowak"
Źródło: Azure AD
Agent AI sprawdza:
├── Anna Nowak - dział finansów, praca stacjonarna
├── Lokalizacja: Moskwa - brak historii podróży
├── Urządzenie: nieznane (brak w MDM)
├── MFA: nie wymagane (konto serwisowe?)
├── 3 nieudane próby logowania w ostatniej godzinie
Decyzja: KRYTYCZNY - eskaluj natychmiast
Powód: Nietypowa lokalizacja, nieznane urządzenie, brak MFA,
wzorzec brute force
Rekomendacja: Zablokuj konto, powiadom analityka L2Wpływ na metryki SOC
Przed i po wdrożeniu agenta AI
| Metryka | Bez AI | Z agentem AI |
|---|---|---|
| Alerty wymagające ręcznego triażu | 100% | 15-25% |
| Czas triażu jednego alertu | 5-15 min | 2-5 sekund |
| MTTD (czas do wykrycia) | 4-8 godzin | 10-30 minut |
| MTTR (czas do reakcji) | 8-24 godzin | 30 min - 2 godziny |
| False positive eskalowane do L2 | część szumu trafia wyżej | mniej szumu trafia wyżej |
| Alerty pominięte (nieprzetworzone) | 15-30% | Brak |
Co to znaczy w praktyce
Scenariusz: atak ransomware
Bez AI:
- 14:00 - Podejrzany plik pobrany przez pracownika
- 14:05 - Alert w EDR (ląduje w kolejce 300 alertów)
- 18:30 - Analityk dochodzi do tego alertu
- 18:45 - Weryfikacja, eskalacja
- 19:15 - Reakcja: izolacja maszyny
- Problem: ransomware miał 5 godzin na lateral movement
Z agentem AI:
- 14:00 - Podejrzany plik pobrany
- 14:00 - Alert w EDR, agent go odbiera
- 14:00 - Agent koreluje z innymi sygnałami (nietypowa komunikacja C2, szyfrowanie plików)
- 14:01 - Klasyfikacja: KRYTYCZNY, automatyczna izolacja maszyny
- 14:02 - Analityk powiadomiony z pełnym kontekstem
- 14:15 - Analityk weryfikuje i rozszerza reakcję
Różnica polega nie na magicznej liczbie minut, tylko na tym, że zespół szybciej widzi incydent z pełniejszym kontekstem.
Co agent AI robi poza triażem
Automatyczne playbooki
Dla znanych typów zagrożeń agent wykonuje predefiniowane akcje:
- Phishing: Izoluje mail, skanuje skrzynki innych pracowników, blokuje nadawcę
- Malware: Izoluje endpoint, zbiera artefakty, sprawdza lateral movement
- Brute force: Blokuje IP, wymusza reset hasła, sprawdza inne konta
- Insider threat: Loguje aktywność, powiadamia CISO, przygotowuje raport
Threat hunting
Agent nie czeka na alerty. Aktywnie szuka:
- Nietypowych wzorców ruchu sieciowego
- Anomalii w logach uwierzytelniania
- Podejrzanych zmian w konfiguracji
- Nowych IOC (Indicators of Compromise) pasujących do danych historycznych
Raportowanie
Automatyczne raporty:
- Dzienny: co się działo, co zamknięte, co wymaga uwagi
- Tygodniowy: trendy, nowe typy zagrożeń, skuteczność detekcji
- Miesięczny: KPI dla zarządu, porównanie z benchmarkami branżowymi
Wdrożenie
Faza 1: Integracja ze źródłami danych (tydzień 1-2)
- Podłączenie do SIEM, EDR, firewall, IAM
- Import kontekstu organizacyjnego (struktura, role, zasoby)
- Konfiguracja zbierania logów
- Baseline normalnych zachowań
Faza 2: Nauka i kalibracja (tydzień 3-4)
- Agent obserwuje decyzje analityków (shadow mode)
- Budowa modelu normalnych wzorców
- Definiowanie progów i reguł eskalacji
- Pierwsze automatyczne klasyfikacje (ale decyzje nadal ludzkie)
Faza 3: Autonomiczny triaż (tydzień 5-6)
- Agent samodzielnie klasyfikuje alerty niskiego ryzyka
- Analitycy weryfikują decyzje krytyczne
- Automatyczne playbooki dla znanych zagrożeń
- Ciągła kalibracja na podstawie feedbacku
Po wdrożeniu
Model uczy się codziennie. Nowe wzorce ataków, nowe normal behaviors, sezonowe zmiany (np. więcej logowań zdalnych w wakacje). Im dłużej działa, tym celniejszy triaż.
Bezpieczeństwo rozwiązania
Gdzie działają dane
- Agent działa w Twojej infrastrukturze lub chmurze UE
- Logi bezpieczeństwa nie opuszczają organizacji
- Brak trenowania modeli na Twoich danych przez podmioty trzecie
- Pełna ścieżka audytu każdej decyzji agenta
Compliance
- Zgodność z RODO (dane osobowe w logach)
- Zgodność z NIS2 (raportowanie incydentów)
- Wsparcie dla ISO 27001
- Dokumentacja dla audytorów
Koszty
Porównanie z zatrudnieniem
Utrzymanie SOC 24/7 wymaga minimum 5-6 analityków (3 zmiany + urlopy):
- Koszt: 60 000 - 90 000 zł/miesiąc (same wynagrodzenia)
- Plus narzędzia, szkolenia, rotacja
Agent AI nie zastępuje całego zespołu. Zastępuje 2-3 etatów na triażu:
- Koszt wdrożenia: 30 000 - 60 000 zł
- Koszt miesięczny: 3 000 - 8 000 zł
- Sens ekonomiczny: zależy od skali alertów, kosztu zespołu i tego, ile pracy da się rzeczywiście zautomatyzować
Warianty cenowe
| Zakres | Setup | Miesięcznie | Czas wdrożenia |
|---|---|---|---|
| Triaż alertów (do 5 000/dzień) | 18 000 - 35 000 zł | 2 500 - 5 000 zł | 4-6 tygodni |
| Triaż + automatyczne playbooki | 35 000 - 60 000 zł | 5 000 - 8 000 zł | 6-8 tygodni |
| Pełny SOC AI (triaż + playbooki + hunting) | Wycena indywidualna | Wycena indywidualna | 8-12 tygodni |
Kiedy agent AI w SOC nie wystarczy
- Brak podstawowej infrastruktury - jeśli nie masz SIEM ani EDR, agent nie ma czego triażować. Najpierw fundamenty.
- Mniej niż 50 alertów dziennie - przy małej skali koszt się nie zwraca. Wystarczy analityk z dobrymi narzędziami.
- Zero tolerance environment - jeśli regulacje wymagają, by każdy alert był weryfikowany przez człowieka (np. infrastruktura krytyczna), agent może wspierać, ale nie decydować.
Podsumowanie
Duża część alertów w SOC to szum. Agent AI pomaga odseparować sygnał od hałasu szybciej niż przy pełnym triage'u ręcznym:
- Deduplikacja - z 847 alertów robi 320 unikalnych zdarzeń
- Kontekst - wie, kto to jest, co to za zasób, czy to normalne
- Klasyfikacja - priorytetyzuje w sekundy, nie w minuty
- Automatyczna reakcja - znane zagrożenia blokowane bez czekania na człowieka
Analitycy SOC nie tracą czasu na odfiltrowywanie fałszywych alarmów. Zajmują się tym, do czego potrzebna jest ludzka inteligencja: analizą złożonych ataków, threat huntingiem, planowaniem strategicznym.
---
Chcesz zobaczyć, jak agent AI poradzi sobie z alertami w Twojej organizacji? Umów konsultację - Syntalith, Warszawa. Analiza Twojego środowiska i intro call + live demo.
---
Powiązane artykuły: