Microsoft hat Mitte Juli in der Public Preview zwei neue KI-Werkzeuge für Microsoft Defender vorgestellt: den Security Analyst Agent und den Security Alert Triage Agent. Beide sollen eigenständig Bedrohungen analysieren, priorisieren und Reaktionsworkflows anstoßen. Klingt nach der nächsten Stufe der Cybersicherheit-Automation. Ist es auch – nur eben nicht so, wie es in den ersten Schlagzeilen klang.
Seien wir ehrlich: Die IT-Security-Branche liebt große Worte. „Autonom“, „revolutionär“, „selbstheilend“ – all das war schon bei jedem SOAR-Playbook der letzten Jahre zu lesen. Jetzt kommt der nächste Schub, und er heißt Defender KI-Agent. Zeit für Klartext, was Microsoft tatsächlich liefert, was Marketing ist und was Sicherheitsteams jetzt konkret vorbereiten müssen.
Was der Security Analyst Agent wirklich tut
Der Security Analyst Agent ist laut der offiziellen Ankündigung im Microsoft Tech Community Blog das Herzstück der neuen KI-Integration in Defender. Er greift auf Telemetrie aus Microsoft Defender und Microsoft Sentinel zu und führt darauf basierend mehrstufige Untersuchungen von Sicherheitsvorfällen durch – ohne dass ein Analyst jeden Schritt anstoßen muss. Das Ergebnis sind priorisierte Erkenntnisse, die in natürlicher Sprache begründet werden, damit menschliche Teams die Entscheidung des Agenten nachvollziehen können.
Das ist der eigentliche Fortschritt: Nicht die Automatisierung selbst, sondern die Nachvollziehbarkeit. Frühere Automatisierungslösungen in der IT-Security lieferten oft nur ein Ergebnis, keine Begründung. Wer als Analyst nicht versteht, warum ein System eine Warnung als kritisch oder irrelevant einstuft, vertraut dem System nicht – und schaltet es im Zweifel wieder ab. Genau das will Microsoft mit dem offiziellen Ankündigungsbeitrag vermeiden.
Trotzdem: Der Begriff „autonom“ wird hier oft überstrapaziert. Autonome Analyse bedeutet nicht automatisch autonome Remediation. Der Security Analyst Agent untersucht, korreliert, priorisiert – er sperrt aber nicht per se eigenständig Accounts oder isoliert Netzwerksegmente. Diese Unterscheidung ist entscheidend, wird in vielen Berichten aber verwischt. Wer glaubt, ab jetzt entscheide eine KI allein über Enterprise-Sicherheitsmaßnahmen, irrt.
Security Alert Triage Agent: der leise zweite Baustein
Neben dem Security Analyst Agent hat Microsoft den Security Alert Triage Agent angekündigt. Seine Aufgabe: Warnungen aus verschiedenen Quellen sichten, klassifizieren und filtern, bevor sie überhaupt bei einem Menschen landen. Das ist im Kern eine Weiterentwicklung dessen, was Microsoft mit dem Phishing Triage Agent in Security Copilot bereits erprobt hat – jener Agent klassifiziert eingehende Phishing-Meldungen autonom und liefert eine transparente Begründung seiner Einstufung.
Für den Phishing Triage Agent gelten klare technische Voraussetzungen: ein aktives Security-Copilot-Abonnement mit Security Compute Units, Microsoft Defender for Office 365 Plan 2 sowie aktivierte Plug-ins für Defender XDR und Microsoft Threat Intelligence. Wer diese Bausteine nicht hat, sieht vom neuen Defender KI-Agent gar nichts – ein Detail, das in der Euphorie um „KI-gestützte Cybersicherheit-Automation“ gerne untergeht.
Die harte Wahrheit: Diese Agenten sind kein Gratis-Upgrade. Sie sind ein Lizenzprodukt, eingebettet in ein wachsendes Copilot-Ökosystem, das zusätzliche Compute-Kosten mit sich bringt. Unternehmen, die jetzt „einfach mal ausprobieren“ wollen, sollten vorher ihre Lizenzlandschaft prüfen. Alles andere endet in einer Preview, die nach zwei Wochen wieder deaktiviert wird, weil das Budget fehlt.
Agent 365: die Lizenz-Verschiebung, die viele übersehen
Während alle über den Security Analyst Agent sprechen, passiert im Hintergrund eine strukturelle Verschiebung, die für Enterprise-IT-Teams weit größere Konsequenzen hat: Ab dem 1. Juli 2026 benötigen Copilot-Studio-Agents und Microsoft-Foundry-Agents für Sicherheitsfunktionen wie Erkennung, Schutz und Inventur eine eigene Microsoft-Agent-365-Lizenz. Bisherige Abdeckung durch Defender for Cloud Apps oder Defender for Cloud reicht dafür nicht mehr aus.
Das bedeutet konkret: Mandanten ohne passende Agent-365-Lizenz verlieren den Zugriff auf die KI-Agent-Sicherheitsfunktionen in Defender. Die Registrierung in Agent 365 wird laut der offiziellen Microsoft-Dokumentation zur zentralen Quelle für Agent-Inventar, Echtzeit-Bedrohungsschutz und einheitlichen Status. Die Erfahrung im Defender-Portal bleibt zwar optisch gleich, gespeist wird sie aber künftig aus den sogenannten Agent-365-Insight-Logs.
Schluss damit, diese Umstellung als reines Lizenzdetail abzutun. Wer jetzt IT-Security-Budgets für das nächste Geschäftsjahr plant und Agent 365 nicht einkalkuliert, bekommt im Sommer ein böses Erwachen. Die Erfahrung aus anderen Microsoft-Lizenzumstellungen zeigt: Übergangsfristen wirken großzügig, bis sie plötzlich nicht mehr gelten.
KI-Agenten-Inventur: Wer beobachtet eigentlich wen?
Ein oft übersehener Aspekt der neuen Defender-Funktionen ist die Sichtbarkeit von KI-Agenten selbst – nicht nur der Sicherheitsagenten von Microsoft, sondern aller KI-Agenten, die im Unternehmen im Einsatz sind. Über das Defender-Portal lässt sich unter „Assets“ eine Übersicht der erkannten KI-Agenten öffnen, unterstützt werden unter anderem Microsoft Foundry, Copilot Studio, AWS Bedrock und GCP Vertex AI.
Wer tiefer graben will, nutzt die erweiterte Suche in Defender XDR und fragt die Tabelle „AIAgentsInfo“ per KQL ab. Microsoft stellt dafür vordefinierte Abfragen bereit, mit denen Sicherheitsteams ihr Agenten-Inventar bewerten können. Das ist genau die Art von Incident-Response-Vorbereitung, die vor einem echten Vorfall passieren muss – nicht danach.
Noch relevanter für den Alltag vieler IT-Abteilungen: Eine aktualisierte Defender-XDR-Version bietet inzwischen Sichtbarkeit für mehr als 20 lokale KI-Agenten auf Windows- und macOS-Systemen, darunter Werkzeuge wie GitHub Copilot CLI, Claude Code, Cursor, ChatGPT und Ollama. Das ist der eigentliche Hammer in dieser Ankündigungswelle: Es geht nicht nur um Microsofts eigene Agenten, sondern um die Kontrolle über die wild wuchernde Landschaft an KI-Tools, die Mitarbeitende längst selbst installieren.

Schatten-KI: Wenn Mitarbeitende eigene Agenten mitbringen
Das Thema Schatten-IT ist in der Sicherheitsbranche seit Jahren bekannt. Doch Schatten-KI stellt Sicherheitsteams vor völlig neue Herausforderungen. Entwickler installieren lokale LLM-Tools wie Ollama, um schnell Code-Snippets zu generieren. Marketing-Mitarbeitende nutzen Browser-Erweiterungen mit KI-Funktionen, um Texte zu optimieren. Projektmanager binden ChatGPT-Plug-ins in ihre Workflow-Tools ein – alles ohne Abstimmung mit der IT-Abteilung.
Das Problem: Jeder dieser lokalen KI-Agenten verarbeitet potenziell sensible Unternehmensdaten. Ein lokal installierter Coding-Assistent hat Zugriff auf Quellcode-Repositories. Eine Browser-Erweiterung mit KI-Funktion liest unter Umständen vertrauliche E-Mails oder interne Dokumente mit. Und ein frei konfigurierbarer Agent könnte Daten an externe API-Endpunkte senden, die niemand im Unternehmen freigegeben hat.
Die neue Sichtbarkeit in Microsoft Defender adressiert genau dieses Problem. Indem das Defender-Portal mehr als 20 lokale KI-Agenten auf Windows- und macOS-Systemen erkennt, entsteht erstmals ein realistisches Bild der tatsächlichen KI-Nutzung im Unternehmen. Sicherheitsteams können nun gezielt Policies erstellen: Welche Agenten sind erlaubt? Welche dürfen auf bestimmte Datenquellen zugreifen? Welche müssen blockiert werden, weil sie Daten unkontrolliert nach außen senden?
Ein wichtiger Punkt dabei: Die bloße Erkennung ist nur der erste Schritt. Die eigentliche Arbeit beginnt danach. IT-Teams müssen entscheiden, wie sie mit erkannten Schatten-KI-Tools umgehen – pauschale Verbote führen erfahrungsgemäß nur dazu, dass Mitarbeitende noch kreativere Wege finden, ihre bevorzugten Tools zu nutzen. Eine differenzierte Governance-Strategie, die legitime Nutzung erlaubt und gleichzeitig Datenabflüsse verhindert, ist der deutlich nachhaltigere Ansatz. Genau hier zeigt sich, dass eine Bestandsaufnahme der bereits im Unternehmen genutzten Werkzeuge unverzichtbar ist, bevor überhaupt über Abschaltungen diskutiert wird.
Was das für SOC-Teams konkret bedeutet
Für Security Operations Center ändert sich mit diesen Ankündigungen mehr als nur ein Dashboard-Layout. Die klassische Incident-Response-Kette – Erkennung, Triage, Untersuchung, Eskalation, Reaktion – wird an mehreren Stellen von Agenten unterstützt, die nicht warten, bis ein Mensch Kapazität hat. Das kann in großen Umgebungen mit Tausenden Warnungen pro Tag tatsächlich einen Unterschied machen.
Typische Incident-Response-Kette mit KI-Agent im Vergleich
Um die praktische Relevanz zu verdeutlichen, lohnt ein Blick auf einen konkreten Ablauf. Nehmen wir eine typische Phishing-Kampagne, die über mehrere Postfächer gleichzeitig hereinbricht. Ohne KI-Agent muss ein Analyst jede Meldung einzeln öffnen, Header prüfen, URLs gegen Threat-Intelligence-Datenbanken abgleichen und betroffene Postfächer identifizieren. Bei 200 Meldungen dauert das Stunden – Zeit, in der die Kampagne weiteren Schaden anrichtet.
Mit dem Security Alert Triage Agent ändert sich dieser Ablauf grundlegend. Der Agent klassifiziert die Meldungen, gruppiert zusammengehörige Alerts und liefert dem Analysten eine priorisierte Liste mit Handlungsempfehlungen. Der Mensch entscheidet weiterhin, aber er entscheidet auf Basis einer bereits strukturierten Lage – nicht auf Basis eines rohen Alert-Feeds. In der Praxis bedeutet das: Die Time-to-Response sinkt, die Quality-of-Decision steigt, und das SOC-Team kann sich auf komplexe Incidents konzentrieren, die tatsächlich menschliche Expertise erfordern.
Trotzdem bleibt die Frage offen, die kaum eine Pressemitteilung beantwortet: Wie skaliert ein solcher Defender KI-Agent in einer sehr großen Tenant-Umgebung mit extrem hohem Alert-Volumen, und welche Kapazitätsgrenzen bei den Security Compute Units gelten dort? Solche Details entscheiden am Ende, ob die Cybersicherheit-Automation im eigenen Unternehmen trägt oder an der ersten Lastspitze zusammenbricht.
Meine persönliche Einschätzung: Die Richtung ist richtig. Ein SOC, das jede Phishing-Meldung händisch triagiert, verschwendet Zeit, die für echte Bedrohungen fehlt. Wer glaubt, das ließe sich komplett ohne KI-Unterstützung lösen, hat vermutlich noch nie eine Nachtschicht in einem SOC mit 500 offenen Tickets erlebt. Aber – und das ist der zweite Teil meiner Meinung – Microsoft verkauft hier ein Produkt, das erst mit vollem Lizenzstack seine Stärke zeigt. Das ist legitim, sollte aber niemand als „einfach aktivieren und fertig“ missverstehen.
Governance, Fehlklassifikation und die Gefahr der blinden Automatisierung
Jede Automatisierung, die Entscheidungen trifft, trägt das Risiko von Fehlentscheidungen in sich. Ein Security Alert Triage Agent, der eine echte Bedrohung als harmlos einstuft, ist gefährlicher als gar keine Automatisierung – weil niemand mehr genauer hinschaut. Umgekehrt kann ein übervorsichtiger Agent, der zu viele Fehlalarme produziert, genau die „Alert Fatigue“ reproduzieren, die er eigentlich beseitigen sollte.
Governance-Fragen werden dadurch zum eigentlichen Kern jeder Einführung: Wie lange werden Entscheidungen, Eingaben und Kontext eines Defender KI-Agenten protokolliert? Wie fließt das Feedback von menschlichen Analysten zurück in die Modelle? Und wer trägt die Verantwortung, wenn ein autonom gesperrter Account einen Geschäftsprozess lahmlegt? Diese Fragen sind in der offiziellen Dokumentation bislang nur skizziert, nicht vollständig beantwortet.
Für Unternehmen mit Compliance-Anforderungen kommt eine weitere Ebene hinzu: KI-Agenten aus Drittplattformen wie AWS Bedrock oder GCP Vertex müssen aktiv Audit-Logs an Microsoft 365 senden, damit Defender sie überhaupt erkennt und schützt. Ohne das passende SDK bleiben diese Agenten für die Sicherheitsüberwachung im Zweifel unsichtbar – ein blinder Fleck mitten im eigenen Cloud-Betrieb.
Gegenargumente zur vollständigen Automatisierung
Kritiker der KI-gestützten Cybersicherheit-Automation weisen zu Recht darauf hin, dass autonome Systeme besonders bei neuartigen Angriffsmustern versagen können. Ein Defender KI-Agent, der auf historischen Daten und bekannten Mustern trainiert wurde, erkennt unter Umständen ausgeklügelte Zero-Day-Angriffe nicht – oder stuft sie falsch ein. Genau hier liegt die Gefahr der blinden Automatisierung: Wenn sich SOC-Teams zu sehr auf die Vorentscheidungen des Agenten verlassen, verkümmert mit der Zeit die eigene analytische Kompetenz.
Praxiserfahrungen aus frühen Pilotphasen zeigen zudem, dass die Qualität der KI-Entscheidungen stark von der Datenqualität abhängt. Ein Tenant mit lückenhafter Telemetrie, veralteten Asset-Informationen und fehlenden Kontextdaten liefert dem Agenten eine schlechte Grundlage – und bekommt entsprechend unzuverlässige Ergebnisse zurück. Wer also einen Defender KI-Agent einsetzen will, muss zuerst die Hausaufgaben bei der Datengrundlage machen. Automatisierung verstärkt vorhandene Schwächen, sie beseitigt sie nicht.
Ein Blick über den Tellerrand: Nicht nur Microsoft baut auf Agenten
Der Trend zum „agentischen SOC“ ist kein Microsoft-exklusives Phänomen. Andere Tech-Konzerne bauen parallel eigene Agenten-Flotten für Enterprise-Sicherheit auf, und auch etablierte Sicherheitsanbieter experimentieren mit vergleichbaren Ansätzen zur Cybersicherheit-Automation. Das zeigt: Microsoft reagiert hier auch auf Marktdruck, nicht nur auf eigene Innovationsfreude.
Was diesen Schritt besonders macht, ist die Tiefe der Integration in eine bereits etablierte Enterprise-Plattform. Defender ist in vielen Organisationen längst zentraler Bestandteil der Sicherheitsarchitektur. Ein Defender KI-Agent, der direkt auf Sentinel-Telemetrie zugreift, muss nicht erst mühsam an bestehende Systeme angebunden werden – er sitzt bereits mittendrin. Das ist der eigentliche strategische Vorteil, den Microsoft hier ausspielt, und gleichzeitig der Grund, warum viele Unternehmen kaum an dieser Entwicklung vorbeikommen werden.
Praktische Schritte für Sicherheitsteams
Wer den Security Analyst Agent oder den Security Alert Triage Agent testen möchte, sollte zunächst die eigene Lizenzsituation klären: Ist Security Copilot vorhanden, sind die notwendigen Plug-ins aktiv, reichen die Security Compute Units für das erwartete Alert-Volumen? Erst danach lohnt sich der Blick in die Public Preview.
Parallel dazu empfiehlt sich eine systematische Bestandsaufnahme aller genutzten KI-Agenten – von Copilot Studio bis zu lokal installierten Tools wie Cursor oder Ollama. Wer diese Inventur verschleppt, verliert genau den Überblick, den die neuen Defender-Funktionen eigentlich herstellen sollen. Und schließlich: Governance-Regeln für autonome Entscheidungen sollten stehen, bevor der erste Agent produktiv scharf geschaltet wird, nicht danach.
Die folgenden Handlungsschritte haben sich in der Praxis bewährt, um den Einstieg in die KI-gestützte Incident-Response strukturiert anzugehen:
- Lizenz-Audit durchführen: Welche Lizenzen sind vorhanden, welche fehlen für den vollen Funktionsumfang? Agent-365-Bedarf bis Juli 2026 kalkulieren.
- KI-Agenten-Inventur erstellen: Alle genutzten KI-Tools im Unternehmen erfassen – von offiziellen Enterprise-Lösungen bis zu lokal installierten Entwickler-Werkzeugen.
- Datengrundlage prüfen: Telemetrie-Qualität in Defender und Sentinel bewerten, fehlende Datenquellen anbinden, Asset-Informationen aktualisieren.
- Governance-Rahmen definieren: Klare Regeln für autonome Entscheidungen festlegen, Eskalationspfade dokumentieren, Verantwortungsbereiche zuweisen.
- Pilotphase geplant starten: Public Preview in einer isolierten Testumgebung evaluieren, Ergebnisse mit manuellem Triage-Prozess vergleichen, Feedback-Schleifen etablieren.
Ein realistischer Zeitplan hilft dabei, Panik zu vermeiden. Die Agent-365-Umstellung greift zum 1. Juli 2026 – bis dahin bleibt Zeit für Tests, Budgetgespräche und Schulungen. Wer diese Zeit ungenutzt lässt, steht im Sommer vor einer Lücke, die sich nicht mehr in einer Preview beheben lässt.
Was bleibt, ist die Frage, die sich jedes Sicherheitsteam selbst stellen muss: Vertrauen wir einem Defender KI-Agent so weit, dass er Vorentscheidungen für uns trifft – und sind wir bereit, die Verantwortung für seine Fehler trotzdem selbst zu tragen?





Was halten Sie von dem Thema? Hier können Sie mit anderen Leserinnen und Lesern ins Gespräch gehen.
Mitreden & diskutieren
Ihre Meinung zählt — teilen Sie Gedanken, Fragen oder Erfahrungen zu diesem Artikel.