Co agent řeší

SOC týmy čelí každý den desítkám alertů. Triage, vyšetřování, mitigace a dokumentace — každý krok vyžaduje čas, expertízu a přesné klikání v konzoli. Méně zkušení analytici dělají chyby. Zkušení analytici tráví hodiny rutinními úlohami místo skutečného lovu hrozeb.

Výsledek: pomalá reakce, přetížený tým a incidenty, které se zbytečně eskalují.

Jak to funguje

SentinelOne SOC Analyst Agent je AI analytik postavený na Claude, který se připojuje k vašemu SentinelOne tenantu přes SentinelOne MCP konektor. Konektor komunikuje přímo se SentinelOne Management API v2.1 — bez mezivrstev, bez exportu dat, bez přístupu třetích stran.

Analytik dostane alert nebo hrozbu a sám projde celým vyšetřovacím workflow: od triage přes Deep Visibility dotazy až po izolaci endpointu a vytvoření incident reportu. Každý krok dokumentuje. Před každou destruktivní akcí vyžaduje potvrzení.

Klíčové schopnosti

Triage alertů

Okamžitě získá detaily hrozby — ID, závažnost, postižený endpoint, timestamp, typ detekce a MITRE ATT&CK techniku. Prioritizuje podle Critical / High / Medium / Low a rozliší aktivní hrozbu, podezřelou aktivitu a falešný poplach.

IOC Enrichment

Sbírá kontext endpointu — hostname, IP, OS, uživatel, verze agenta. Vyhledává SHA1/SHA256/MD5, mapuje process trees, extrahuje síťové indikátory. Korelace napříč prostředím probíhá automaticky.

Hloubkové vyšetřování

Přes Deep Visibility sleduje útočný řetězec — initial access, exekuce, perzistence, laterální pohyb, C2, exfiltrace. Zkoumá příkazové řádky, registry, síť. Mapuje na MITRE ATT&CK s T-numbers.

Potvrzení detekce

Rozliší True Positive, False Positive a TP s benigním záměrem. Pro falešné poplachy navrhne výjimku s minimálním scopem a zdokumentuje odůvodnění. Pro potvrzené hrozby eskaluje k mitigaci.

Mitigace

Izolace endpointu od sítě při potvrzeném C2, ukončení maliciózních procesů, karanténa souborů, remediation a rollback u ransomwaru, odpojení kompromitovaného účtu. Každou akci ověří.

Automatické reporty

Pro každý incident vytvoří dedikovaný markdown report ve složce incidents/. Timeline, IOC, process tree, verdikt, opatření, doporučení. Průběžně ho aktualizuje po celý životní cyklus incidentu.

Příklady dotazů

claude-desktop · soc-analyst

› Vyšetři nový alert — podezřelé spuštění PowerShellu na WORKSTATION-042.

→ Severity: HIGH
→ MITRE:    T1059.001 (PowerShell), T1105 (Ingress Tool Transfer)
→ Endpoint: WORKSTATION-042 · isolated
→ Verdict:  True Positive
→ Report draft: incidents/INC-20260423-042.md

› Vygeneruj incident report pro ransomware alert z rána na SERVER-007.
› Izoluj endpoint DESKTOP-XYZ od sítě a spusť sken.
› Přidej hash do blocklist a vytvoř výjimku pro C:\Tools\admin.exe.

Záruky provozu

Destruktivní akce (izolace, mitigace, mazání) vyžadují explicitní potvrzení před provedením.

Výjimky jsou vždy scopovány na nejužší možný rozsah — konkrétní cesta, hash, proces nebo skupina agentů. Nikdy plošné výjimky.

Credentials nejsou součástí kódu — načítají se z prostředí nebo konfiguračního souboru.

Veškerá komunikace probíhá přímo mezi klientem a SentinelOne tenantem přes HTTPS.

Forenzní artefakty se zachovávají — agent nikdy neodstraňuje potenciální důkazy.

Pro koho je určen

Tier 2/3 analytici

Delegují rutinní triage a dokumentaci, soustředí se na komplexní vyšetřování a threat hunting.

Junior analytici

Vyšetřují incidenty bez rizika neúmyslné destruktivní akce. Agent je provede celým procesem.

Bezpečnostní manažeři & CISO

Dostávají strukturované incident reporty vhodné pro reporting bez extrakce dat ručně.

Malé a střední SOC týmy

Získají kapacitu Tier 2/3 analytika bez nutnosti rozšiřovat tým.

Technické parametry

Protokol

Model Context Protocol (MCP)

API

SentinelOne Management API v2.1

Minimální Python

3.11

Komunikace

HTTPS, asynchronní (httpx)

Autentizace

API token (Bearer)

Stránkování

Cursor-based, až 200 záznamů na stránku

SSL

Konfigurovatelné (vč. podpory corporate proxy)

AI model

Claude (Anthropic)

Kompatibilita

Libovolný MCP-kompatibilní klient