Replikuje strukturu zralého SOC týmu: L1 triáž, L2 hloubková investigace, L3 senior review a governance. S institucionální pamětí, MITRE auto-mappingem a lidskou kontrolou nad každou destruktivní akcí.
Problém
SOC týmy čelí každý den desítkám alertů. Každý vyžaduje triáž, korelaci, investigaci, MITRE mapování, blast radius analýzu, mitigaci a dokumentaci — a to vše konzistentně, dohledatelně a auditovatelně. Méně zkušení analytici dělají chyby pod tlakem. Zkušení tráví hodiny rutinními úlohami místo skutečného threat huntingu.
K tomu přistupuje fluktuace lidí v týmu — odchodem analytika odchází i jeho znalost prostředí. Stejné false positives se vyšetřují znovu. Stejné výjimky se ladí znovu. Institucionální paměť v hlavě člověka ji při odchodu opouští.
Architektura
SOC Analyst v-03 není jeden chatbot — je to orchestrovaný tým AI analytiků organizovaný do tří úrovní. Každý tier má vlastní rozhodovací rubriku, vlastní rozsah pravomocí a vlastní výběr modelu — odpovídající tomu, jak fungují zralé SOC týmy.
Nižší tiery zpracují většinu objemu alertů rychle. Komplexní případy eskalují výš. Senior tier validuje kritická rozhodnutí, formalizuje výjimky a uzavírá incidenty s QA checklistem. Po celý tento cyklus drží orchestrátor kontext a vyžaduje potvrzení analytika u každé destruktivní akce.
Přístup k SentinelOne datům zajišťuje SentinelOne MCP Konektor — server zpřístupňující Management API v2.1 jako nástroje pro Claude.
Claude Haiku. Severity scoring podle rubriky (Critical / High / Medium / Low), klasifikace detekce (aktivní hrozba / podezřelá aktivita / false positive / informační), endpoint context, 72-hodinový lookback, vytvoření incident reportu INC-YYYYMMDD-*.md.
Claude Sonnet. Attack timeline přes 5–7 koordinovaných Deep Visibility dotazů, proces tree, IOC hunt napříč prostředím, MITRE ATT&CK mapping s confidence skórem, blast radius assessment (laterální pohyb, účty, data exposure), návrh containmentu a verdiktu (TP / FP / TPBE).
Claude Sonnet. Validace kritických incidentů, exception management se zdůvodněním a 90denní revizí, threat hunting plány hypotézou-řízené, QA checklist před uzavřením, executive briefingy pro management, capture lessons learned do paměti a playbooků.
Schopnosti
Automatická eskalace dle severity a klasifikace. Každý tier má vlastní rozhodovací rubriku a vlastní rozsah pravomocí. Většina alertů se uzavře v L1, komplexní případy postupují do L2, kritické pak do L3 s explicitní senior validací.
Povinné pro každý High/Critical incident. Detekce laterálního pohybu (SMB, RDP, WMI, shared credentials), assessment risk kompromitovaných účtů, mapování data exposure a doporučení konkrétního scope containmentu — pro patient zero, segment, nebo celou doménu.
Auto-mapping pozorovaného chování na taktiky, techniky a sub-techniky s confidence skórem a odůvodněním. Výstup je přímou součástí incident reportu — připravený pro compliance reporty, threat intelligence pipelines a identifikaci detekčních mezer.
Lokální paměť false-positive vzorů, potvrzených IOCs a opakujících se TTPs prostředí. Přežívá fluktuaci analytiků. Stejný admin tool se neřeší podruhé. Stejné FP se nevyšetřují znovu. Paměť není commitována do shared gitu — zůstává na stroji týmu.
L3 formalizuje všechny FP exclusions s business zdůvodněním, risk acceptance a 90denní revizí. Výjimky vždy v nejužším možném rozsahu — konkrétní hash, cesta, proces nebo skupina agentů. Žádné plošné výjimky, žádné nedokumentované blind spots.
Veškeré destruktivní akce (izolace, ukončení procesu, karanténa, remediation, rollback, blocklist) vyžadují explicitní potvrzení analytika. Workers nemají přístup k destruktivním MCP nástrojům — gating je vynucen architektonicky, ne pouze politikou.
Governance
Compliance není dodatečná funkce — je vystavěna do toho, jak agent pracuje. Každý incident prochází strukturovaným procesem, jehož výstupy jsou audit-ready od první minuty.
incidents/ — full timeline, akce, rozhodnutí a jejich autoři.Ukázka
Bezpečnost
.mcp.json).Pro koho
Delegují L1 triage a rutinní dokumentaci, soustředí se na komplexní vyšetřování a threat hunting. Drží kontrolu nad verdikty a destruktivními akcemi — agent je multiplikátor, ne náhrada.
Vyšetřují incidenty bez rizika neúmyslné destruktivní akce. Tier-based agent je provede celým procesem a vyžaduje potvrzení před každým kritickým krokem. Učí se na strukturovaných reportech.
Dostávají strukturované incident reporty a executive briefingy připravené pro management i regulátora. MITRE auto-mapping a 90denní review výjimek znamenají audit-ready dokumentaci bez manuálního klikání.
Získávají kapacitu zralého tříúrovňového týmu bez nutnosti rozšiřovat headcount. Institucionální paměť navíc kompenzuje dopad fluktuace analytiků na znalost prostředí.
Parametry
| Architektura | Multi-tier (L1 / L2 / L3) s orchestrátorem a per-tier gatingem |
|---|---|
| L1 Triage | Claude Haiku — severity scoring, klasifikace, endpoint context, INC report |
| L2 Investigation | Claude Sonnet — timeline, IOC hunt, MITRE mapping, blast radius |
| L3 Senior Review | Claude Sonnet — validation, exception management, QA, exec briefing |
| Protokol | Model Context Protocol (MCP) |
| Integrace | SentinelOne Management API v2.1 |
| Autentizace | API token (Bearer), credentials z env / .mcp.json |
| Komunikace | HTTPS, asynchronní (httpx) |
| Memory | Lokální .claude/memory/ — mimo shared git |
| Incident storage | incidents/INC-YYYYMMDD-*.md — markdown, audit-ready |
| Minimální Python | 3.11 |
| SSL | Konfigurovatelné (vč. podpory corporate proxy) |
| Kompatibilita | Claude Desktop, Claude Code a libovolný MCP-kompatibilní klient |
Napište nám a domluvíme PoC ve vašem prostředí. Agent běží nad vaším SentinelOne tenantem — data neopouštějí vaši infrastrukturu, credentials nezadáváte žádné třetí straně.
Kontaktovat →