Detection, Triage und Experten-Response — KI-nativ, rund um die Uhr.
TL;DR. Wir betreiben eine 24/7-Sicherheitsoperation, bei der Agenten die ersten 80–90 % übernehmen — Ingestion, Korrelation, Triage, Eindämmungsvorschläge — und Experten den Rest entscheiden. Sie erhalten Audit-taugliche Incident-Nachweise, keinen Alert-Spam. EU-souveräne Cloud oder On-Prem.
Worum es geht
Ein klassischer SOC skaliert mit Köpfen und ertrinkt in Alerts. Wir kehren das um. Agenten nehmen Logs über Ihre definierten Quellen auf, korrelieren gegen Bedrohungsintelligenz und Ihre Tenant-Baseline, bewerten Schwere und schlagen Eindämmung vor. Menschen genehmigen die folgenreichen Aktionen und besitzen die Eskalationen. Der Engpass in regulierten Branchen ist selten „erkennen" — es ist „beweisen". Deshalb produziert jeder Fall Nachweise, die ein Auditor lesen kann.
Wie wir es betreiben
Nova9-Module tragen es: der Message Bus nimmt Ereignisse mindestens einmal auf und leitet sie weiter; der LLM Gateway führt Erkennung und Triage mit geregelten Modellen durch; Business- und Endpoint-Agents führen genehmigte Eindämmung aus; Observability zeichnet jede Entscheidung auf. Schweredefinitionen und Eskalationsleitern sind explizit und in Code. False Positives fressen nicht Ihre Kapazität, weil die Triage-Schicht gegen Ihre Baseline lernt.
Für wen es passt
Mittelständler und Mid-Cap-Organisationen unter NIS2/KRITIS-Druck, die keinen 24/7-SOC besetzen können. Unternehmen, die Monitoring mit beweisbaren Nachweisen brauchen, nicht nur ein Dashboard. Finanz- und Gesundheitslieferanten, wo „zeigen Sie mir den Incident-Trail" eine echte Frage ist.
Was wir nicht tun
Wir überhäufen Sie nicht mit Alerts und nennen es Monitoring. Wir ergreifen keine destruktiven Maßnahmen ohne ein menschliches Gate bei folgenreichen Schritten. Wir sperren Sie nicht ein — Konfiguration und Runbooks gehören Ihnen unter dem Klon-Modell.
Was Sie übernehmen lassen
-
24/7-Monitoring über definierte Quellen
Log-Ingestion über Ihre vereinbarten Quellen und Datenvolumen, risikobasierte Priorisierung.
-
KI-Triage mit menschlicher Eskalation
Agenten triagieren nach Schwere; Experten besitzen L3, Audit, Regulierungs- und Führungskommunikation.
-
SOAR-Eindämmung
Isolieren, blockieren, deaktivieren, quarantänieren — von Agenten vorgeschlagen, von Menschen bei folgenreichen Aktionen genehmigt.
-
Audit-taugliche Incident-Nachweise
Jeder Fall produziert ein nachverfolgbares Nachweisbündel, nicht nur ein geschlossenes Ticket.
-
Klon-bereite Runbooks
Schweredefinitionen, Eskalationsleiter und Playbooks als Code — Ihnen gehörend zur internen Übernahme.
Fakten zum Mandat
| Abdeckung | 24/7 · KI-zuerst mit menschlicher Eskalation |
|---|---|
| Skalierungsbasis | Log-Quellen + Datenvolumen pro Tag |
| Deployment | EU-Cloud, On-Prem oder Air-Gapped |
| Eskalationsleiter | L1-Triage → L2-Ursachenanalyse → L3-Audit/Regulierung (DE/EU) |
| Nachweise | Auditor-lesbares Bündel pro Incident |
| Klon-Übergabe | Runbooks und Config als Code, ab Tag 30 |
Was vor dem Briefing oft gefragt wird
-
Ist das MDR oder ein vollständiger SOC?
Es ist eine 24/7 KI-native Sicherheitsoperation mit Erkennung, Triage und menschlich genehmigter Response. Sie skalieren es nach Log-Quellen und Datenvolumen, nicht nach Lizenzen. -
Ergreifen Agenten automatisch destruktive Maßnahmen?
Routinemäßige, risikoarme Eindämmung wird automatisiert. Folgenreiche Aktionen — einen Server isolieren, ein Konto deaktivieren — passieren ein menschliches Freigabe-Gate. -
Wo liegen unsere Daten?
EU-Cloud, On-Prem oder Air-Gapped. Kein Training auf Ihren Daten. Jedes Token für den Audit geloggt. -
Können wir es später intern übernehmen?
Ja. Schweredefinitionen, Eskalationsleitern und Playbooks sind Code. Die Klon-Übergabe gibt Ihrem Team eine laufende Operation.
Ein SOC, der beweist — nicht nur erkennt.
Wir zeigen den Erkennungs- und Triage-Ablauf gegen Ihre Log-Quellen, und das Nachweisbündel, das ein Auditor tatsächlich lesen würde.