Kunstmatige intelligentie (AI) vindt snel zijn weg naar veiligheidsoperaties, maar veel praktijkmensen hebben nog steeds moeite om vroege experimenten om te zetten in consistente operationele waarde. Dit komt omdat SOC’s AI adopteren zonder een opzettelijke benadering van operationele integratie. Sommige teams beschouwen het als een kortere weg voor kapotte processen. Anderen proberen machine learning toe te passen op problemen die niet goed gedefinieerd zijn.
De bevindingen uit onze SANS SOC-enquête uit 2025 versterken deze kloof. Een aanzienlijk deel van de organisaties experimenteert al met AI, maar toch gebruikt 40 procent van de SOC’s AI- of ML-tools zonder deze een vast onderdeel van de bedrijfsvoering te maken, en vertrouwt 42 procent op AI/ML-tools “out-of-the-box” zonder enige aanpassing. Het resultaat is een bekend patroon. AI is aanwezig binnen het SOC, maar niet geoperationaliseerd. Analisten gebruiken het informeel, vaak met gemengde betrouwbaarheid, terwijl het leiderschap nog geen consistent model heeft opgesteld voor waar AI thuishoort, hoe de output ervan gevalideerd moet worden, of welke workflows volwassen genoeg zijn om te profiteren van augmentatie.
AI kan op realistische wijze de SOC-capaciteiten, volwassenheid, procesherhaalbaarheid, evenals de capaciteit en tevredenheid van het personeel verbeteren. Het werkt alleen als teams de reikwijdte van het probleem beperken, hun logica valideren en de uitkomst met dezelfde nauwkeurigheid behandelen die ze van elke technische inspanning verwachten. De kans ligt niet in het creëren van nieuwe werkcategorieën, maar in het verfijnen van de categorieën die al bestaan en het mogelijk maken van testen, ontwikkelen en experimenteren om bestaande mogelijkheden uit te breiden. Wanneer AI wordt toegepast op een specifieke, goed begrensde taak en gepaard gaat met een duidelijk beoordelingsproces, wordt de impact ervan zowel voorspelbaarder als nuttiger.
Hier zijn vijf gebieden waarop AI betrouwbare ondersteuning kan bieden voor uw SOC.
1. Detectietechniek
Detectie-engineering gaat in essentie over het bouwen van een waarschuwing van hoge kwaliteit die in een SIEM, een MDR-pijplijn of een ander operationeel systeem kan worden geplaatst. Om levensvatbaar te zijn, moet de logica worden ontwikkeld, getest, verfijnd en geoperationaliseerd met een niveau van vertrouwen dat weinig ruimte laat voor dubbelzinnigheid. Dit is waar AI vaak ineffectief wordt toegepast.
Tenzij dit het beoogde resultaat is, mag u er niet vanuit gaan dat AI tekortkomingen in DevSecOps zal verhelpen of problemen in de waarschuwingspijplijn zal oplossen. AI kan nuttig zijn wanneer het wordt toegepast op een goed gedefinieerd probleem dat voortdurende operationele validatie en afstemming kan ondersteunen. Een duidelijk voorbeeld uit de SANS SEC595: Toegepaste datawetenschap en AI/ML voor cyberbeveiliging cursus is een machine learning-oefening die de eerste acht bytes van de stroom van een pakket onderzoekt om te bepalen of verkeer wordt gereconstrueerd als DNS. Als de reconstructie niet overeenkomt met iets dat eerder voor DNS is waargenomen, genereert het systeem een hifi-waarschuwing. De waarde komt voort uit de nauwkeurigheid van de taak en de kwaliteit van het trainingsproces, en niet uit brede automatisering. De verwachte implementatie is het inspecteren van alle stromen op UDP/53 (en TCP/53) en het beoordelen van het reconstructieverlies van een op machine learning afgestemde autoencoder. Streams die de drempel overtreden, worden gemarkeerd als afwijkend.
Dit gedetailleerde voorbeeld demonstreert een implementeerbare, door AI ontworpen detectie. Door de eerste acht bytes van een pakketstroom te onderzoeken en te controleren of deze zich reconstrueren als DNS op basis van aangeleerde patronen in historisch verkeer, creëren we een duidelijk, testbaar classificatieprobleem. Wanneer deze bytes niet overeenkomen met hoe DNS er normaal uitziet, waarschuwt het systeem. AI helpt hierbij omdat de reikwijdte beperkt is en de evaluatiecriteria objectief zijn. Het kan effectiever zijn dan een heuristische, regelgestuurde detectie, omdat het leert coderen/decoderen wat bekend is. Dingen die niet bekend zijn (in dit geval DNS) kunnen niet correct worden gecodeerd/gedecodeerd. Wat AI niet kan doen, is vaag gedefinieerde waarschuwingsproblemen oplossen of een ontbrekende technische discipline compenseren.
2. Jacht op bedreigingen
Het zoeken naar bedreigingen wordt vaak afgeschilderd als een plek waar AI automatisch bedreigingen kan ‘ontdekken’, maar dat mist het doel van de workflow. Jagen is geen productiedetectietechniek. Het zou een onderzoeks- en ontwikkelingscapaciteit van het SOC moeten zijn, waar analisten ideeën verkennen, aannames testen en signalen evalueren die nog niet sterk genoeg zijn voor een geoperationaliseerde detectie. Dit is nodig omdat het kwetsbaarheids- en dreigingslandschap snel verandert en veiligheidsoperaties zich voortdurend moeten aanpassen aan de volatiliteit en onzekerheid van het informatiezekerheidsuniversum.
AI past hier omdat het werk verkennend is. Analisten kunnen het gebruiken om een aanpak te testen, patronen te vergelijken of te controleren of een hypothese de moeite waard is om te onderzoeken. Het versnelt de eerste stadia van de analyse, maar het bepaalt niet wat er toe doet. Het model is een nuttig hulpmiddel, niet de uiteindelijke autoriteit.
De jacht draagt ook rechtstreeks bij aan de detectietechniek. AI kan helpen bij het genereren van kandidaatlogica of het benadrukken van ongebruikelijke patronen, maar analisten zijn nog steeds verantwoordelijk voor het interpreteren van de omgeving en het beslissen wat een signaal betekent. Als ze de AI-output niet kunnen beoordelen of kunnen uitleggen waarom iets belangrijk is, levert de jacht mogelijk niets nuttigs op. Het voordeel van AI ligt hier in de snelheid en breedte van de verkenning, in plaats van in zekerheid of oordeel. Wij waarschuwen u om operationele veiligheid (OpSec) en bescherming van informatie te gebruiken. Verstrek alleen voor de jacht relevante informatie aan geautoriseerde systemen, AI of anderszins.
3. Softwareontwikkeling en -analyse
Moderne SOC’s draaien op code. Analisten schrijven Python om onderzoeken te automatiseren, PowerShell-tools te bouwen voor host-ondervragingen en SIEM-query’s te maken die zijn afgestemd op hun omgeving. Deze constante programmeerbehoefte maakt AI een natuurlijke keuze voor softwareontwikkeling en -analyse. Het kan conceptcode produceren, bestaande fragmenten verfijnen of de logicaconstructie versnellen die analisten voorheen met de hand bouwden.
Maar AI begrijpt het onderliggende probleem niet. Analisten moeten alles wat het model genereert interpreteren en valideren. Als het een analist aan diepgang in een domein ontbreekt, kan de output van de AI correct klinken, zelfs als deze verkeerd is, en kan de analist het verschil misschien niet zien. Dit creëert een uniek risico: analisten kunnen code verzenden of gebruiken die ze niet volledig begrijpen en die niet voldoende zijn getest.
AI is hier het meest effectief als het de mechanische overhead vermindert. Het helpt teams sneller een bruikbaar startpunt te bereiken. Het ondersteunt het maken van code in Python-, PowerShell- of SIEM-querytalen. Maar de verantwoordelijkheid voor de juistheid blijft bij de mens die het systeem, de gegevens en de operationele gevolgen van het uitvoeren van die code in productie begrijpt.
De auteur stelt voor dat het team passende stijlrichtlijnen voor code ontwikkelt en alleen geautoriseerde (dat wil zeggen geteste en goedgekeurde) bibliotheken en pakketten gebruikt. Neem de richtlijnen en afhankelijkheidsvereisten op als onderdeel van elke prompt, of gebruik een AI/ML-ontwikkeltool die configuratie van deze specificaties mogelijk maakt.
4. Automatisering en orkestratie
Automatisering is lange tijd onderdeel geweest van SOC-activiteiten, maar AI verandert de manier waarop teams deze workflows ontwerpen. In plaats van actiereeksen handmatig aan elkaar te plakken of runbooks te vertalen naar automatiseringslogica, kunnen analisten nu AI gebruiken om de steigers op te stellen. AI kan de stappen schetsen, vertakkingslogica voorstellen en zelfs een beschrijving in duidelijke taal omzetten in het gestructureerde formaat dat orkestratieplatforms nodig hebben.
AI kan echter niet beslissen wanneer de automatisering moet plaatsvinden. De centrale vraag bij orkestratie blijft ongewijzigd: moet de geautomatiseerde actie onmiddellijk worden uitgevoerd, of moet deze informatie presenteren die een analist eerst kan beoordelen? Die keuze hangt af van de risicotolerantie van de organisatie, de gevoeligheid van de omgeving en de specifieke actie die wordt overwogen.
Of het platform nu een SOAR, MCP of een ander orkestratiesysteem is, de verantwoordelijkheid voor het initiëren van een actie moet bij mensen liggen, niet bij het model. AI kan helpen bij het opbouwen en verfijnen van de workflow, maar het mag nooit de autoriteit zijn die deze activeert. Duidelijke grenzen houden automatisering voorspelbaar en verklaarbaar en afgestemd op de risicohouding van het SOC.
Er zal een drempel zijn waar het comfortniveau van de organisatie met automatiseringen snelle actie op geautomatiseerde wijze mogelijk maakt. Dat comfortniveau komt voort uit uitgebreide tests en mensen die tijdig reageren op de acties die door het automatiseringssysteem worden ondernomen.
5. Rapportage en communicatie
Rapportage is een van de meest hardnekkige uitdagingen bij beveiligingsoperaties, niet omdat teams technische vaardigheden missen, maar omdat het moeilijk is om die vaardigheden te vertalen in duidelijke, bruikbare communicatie. De SANS SOC-enquête van 2025 laat zien hoe ver dit gebied achterblijft: 69 procent van de SOC’s vertrouwt nog steeds op handmatige of grotendeels handmatige processen om statistieken te rapporteren. Deze kloof is van belang. Wanneer de rapportage inconsistent is, verliest het leiderschap de zichtbaarheid, wordt de context verwaterd en worden operationele beslissingen langzamer.
AI biedt een directe manier met weinig risico om de rapportageprestaties van het SOC te verbeteren. Het kan de mechanische delen van de rapportage gladstrijken door de structuur te standaardiseren, de duidelijkheid te verbeteren en analisten te helpen over te stappen van ruwe aantekeningen naar goed opgemaakte samenvattingen. In plaats van dat elke analist in een andere stijl schrijft of de leiding in technische details begraaft, helpt AI consistente, leesbare resultaten te produceren die het leiderschap snel kan interpreteren. Het opnemen van voortschrijdende gemiddelden, grenzen van de standaardafwijking en het benadrukken van de algehele consistentie van de SOC is een verhaal dat de moeite waard is om aan uw management te vertellen.
Het gaat er niet om dat rapporten gepolijst klinken. Het zit hem in het maken ervan samenhangend en vergelijkbaar. Wanneer elk incidentoverzicht, wekelijks overzicht of meetrapport een voorspelbare structuur volgt, kunnen leiders trends sneller herkennen en effectiever prioriteiten stellen. Analisten winnen ook de tijd terug die ze zouden hebben besteed aan het worstelen met formuleringen, opmaak of repetitieve uitleg.
Ben jij een nemer, vormer of maker? Laten we praten op SANS Security Central 2026
Nu teams beginnen te experimenteren met AI in deze workflows, is het belangrijk om te erkennen dat er niet één pad voor adoptie bestaat. Het gebruik van SOC AI kan worden beschreven via drie handige categorieën. A nemer maakt gebruik van AI-tools zoals geleverd. A vormer past deze tools aan of past ze aan de workflow aan. A maker bouwt iets nieuws, zoals het eerder beschreven voorbeeld van machine learning-detectie met een strak bereik.
Al deze voorbeeldgebruiksscenario’s kunnen zich in een of meer van de categorieën bevinden. U bent misschien zowel een nemer als een maker op het gebied van detectie-engineering, waarbij u de AI-regels van uw SIEM-leverancier implementeert en uw eigen detecties maakt. De meeste teams zijn zowel handmatige makers als nemers (die alleen kant-en-klare ticketingsysteemrapporten gebruiken) bij het rapporteren. Mogelijk bent u een vormgever op het gebied van automatisering en past u de door de leverancier geleverde SOAR-runbooks gedeeltelijk aan. Hopelijk maak je in ieder geval gebruik van door de leverancier geleverde IOC-gestuurde jachten; dat is iets dat elke SOC moet doen. Als je streeft naar intern gestuurde jacht, kom je in die makercategorie terecht.
Waar het om gaat is dat elke workflow duidelijke verwachtingen heeft over waar AI kan worden gebruikt, hoe de output wordt gevalideerd, dat er voortdurend updates worden uitgevoerd en dat analisten uiteindelijk verantwoordelijk blijven voor de bescherming van informatiesystemen.
Ik zal deze thema’s dieper onderzoeken tijdens mijn keynote-sessie op SANS Security Central 2026 in New Orleans. U leert hoe u kunt evalueren waar uw SOC zich vandaag bevindt en hoe u een AI-adoptiemodel kunt ontwerpen dat de expertise van uw team versterkt. Ik hoop je daar te zien!
Registreer u hier voor SANS Security Central 2026.
Opmerking: Dit artikel is vakkundig geschreven en bijgedragen door Christopher Crowley, SANS Senior Instructor.
