// ai-solutions
← zurück zur Übersicht

// service / 06

KI-gestützte Cyber-Resilience & Log-Analyse

Anomalien erkennen, bevor aus einem Indikator ein Vorfall wird.

// problem

Ihre IT erzeugt Millionen Log-Einträge pro Tag. Klassische SIEM-Regeln decken bekannte Angriffsmuster ab — neue, kreative oder schleichende Bedrohungen rutschen durch. Gleichzeitig steigen die regulatorischen Anforderungen (NIS-2, DORA, KRITIS) drastisch. Ihr SOC-Team ertrinkt in Alerts, von denen 95 % False Positives sind.

// unsere lösung

Wir bauen KI-gestützte Anomalie-Erkennung, die Ihre Log- und Telemetriedaten in Echtzeit auswertet. Statt starrer Regeln lernt das System das Normalverhalten Ihrer Infrastruktur und meldet Abweichungen — von ungewöhnlichen Login-Mustern in Active Directory bis zu anomalem ausgehenden Traffic. Mit LLM-gestützter Triage, die Alerts kontextualisiert, korreliert und in natürlicher Sprache erklärt.

// tech-stack
  • Log-PipelineElastic, OpenSearch, ClickHouse, Splunk-Connector, Vector.dev für Ingestion.
  • Detection-ModelleIsolation Forest, LOF, autoencoder-basierte Anomalie-Erkennung, sequenzielle Modelle für User-Verhalten.
  • LLM-TriageClaude/GPT-4 zur Korrelation, Erklärung und Priorisierung von Alerts.
  • Windows-IntegrationenSysmon, Windows Event Log, AD-Audit-Logs, SCCM, Defender ATP.
  • NetzwerkZeek, Suricata, NetFlow/IPFIX-Auswertung.
  • ResponseSOAR-Integration (Microsoft Sentinel, Splunk SOAR), Webhook in Ticketsysteme.
// zielgruppe

Mittelständische Unternehmen mit eigenem IT-Betrieb, KRITIS-Betreiber, Kommunen und Behörden mit BSI-Anforderungen, Banken und Versicherungen mit DORA-Pflicht, Industrie-Unternehmen mit OT/IT-Konvergenz.

// use-cases
  • Erkennung von Privilegien-Eskalation in Active Directory, bevor Ransomware startet.
  • Detection unüblicher RDP-Sessions auf Servern, die normalerweise niemand interaktiv betritt.
  • Anomalie in den Zugriffsmustern auf einen Fileserver, lange bevor Daten exfiltriert wären.
  • Automatisierte Vorfalls-Erstanalyse: Welche Assets, welche Nutzer, welche Korrelation zur CVE-Datenbank.
// outcome

Eine Anomalie-Erkennungs-Pipeline auf Ihrer Infrastruktur, dokumentiertes Detection-Engineering, ein SOC-Workflow mit reduzierter Alert-Last und ein Erklärungs-Layer, der jedes Signal in den Worten Ihres SOC-Teams beschreibt.

Klingt nach Ihrem Vorhaben?

Schreiben Sie uns zwei, drei Sätze. Wir antworten mit einem konkreten Vorschlag für ein Erstgespräch.

→ Erstgespräch vereinbaren