Detectie zonder opvolging is zinloos
De meeste MKB-organisaties op Microsoft 365 hebben detectie wel op orde. Defender draait, de logs lopen vol, er komen meldingen binnen. Het probleem zit niet in het zien, het zit in het opvolgen. Een team van een of twee IT-mensen, die ook de printers en de telefoons doen, krijgt meer signalen dan het kan uitzoeken.
Wat gebeurt er dan in de praktijk? De duidelijke meldingen worden opgepakt. De rest, het grijze gebied van net-niet-hoge zekerheid, blijft liggen. Niet uit onwil, maar uit gebrek aan handen. En juist in dat grijze gebied zit een deel van de echte aanvallen: een ongebruikelijke login, een OAuth-grant die niemand bewust heeft gegeven, een mailbox-regel die net is aangemaakt.
Daar komt NIS2 bij kijken, in Nederland geregeld via de Cyberbeveiligingswet. Die wet kijkt mee op detectie, response en rapportage. Veel MKB-organisaties vallen er direct onder of merken het indirect via klanten en leveranciers die ernaar vragen. Het komt erop neer dat een melding zien niet genoeg is. Je moet er ook iets mee doen, en kunnen aantonen wat je hebt gedaan.
Detectie zonder opvolging is zinloos. Dat is de kern van het probleem dat agentic MDR aanpakt.
Wat agentic MDR is
MDR staat voor Managed Detection and Response: een dienst die dreigingen detecteert en erop reageert, zodat je het niet zelf hoeft te doen. Het woord agentic zegt iets over hoe dat reageren gebeurt.
Agentic MDR is beveiliging die niet alleen signaleert, maar door middel van AI zelf onderzoekt, redeneert en handelt. Waar een gewone tool een melding doorgeeft, doet een agentic systeem het werk dat anders een SOC-analist zou doen. Het pakt een signaal op, verzamelt de context eromheen, weegt wat er aan de hand is, en komt tot een oordeel.
Dat oordeel staat er niet kaal. Het komt met een onderbouwing en een betrouwbaarheidsscore, zodat je kunt zien waarom het systeem denkt wat het denkt. Concreet werkt het zo:
- Onderzoeken. Het systeem trekt zelf de relevante gegevens bij elkaar. Wie logde in, vanaf waar, met welk apparaat, wat gebeurde daarna.
- Redeneren. Het legt verbanden en beoordeelt of een signaal goedaardig is of niet, inclusief de twijfelgevallen die anders blijven liggen.
- Handelen. Het stelt een herstelactie voor of voert die uit, bijvoorbeeld een sessie intrekken of een account tijdelijk blokkeren.
Belangrijk: je houdt de controle. Een mens keurt herstelacties goed voordat ze worden uitgevoerd, en bij onzekerheid escaleert het systeem in plaats van te gokken. Alles wat het doet, legt het vast in een volledige audit trail. Dat is precies wat je nodig hebt als iemand later vraagt wat er is gebeurd en waarom.
En het werkt niet op een eilandje. Een agentic MDR voor Microsoft 365 kijkt over Microsoft Defender, Sentinel en Entra ID heen, zodat het signaal en de context uit verschillende hoeken bij elkaar komen in plaats van verspreid te blijven over losse schermen.
Hoe het verschilt van traditionele MDR
Traditionele MDR is gebouwd rond een menselijk SOC met vaste playbooks. Komt er een melding binnen, dan volgt een analist een script. Dat werkt, en voor een organisatie met een eigen securityteam is het prima. Maar het heeft twee eigenschappen die voor het MKB lastig zijn.
Ten eerste de kosten. Een SOC vol analisten is duur, en je betaalt voor mensuren. Dat schaalt slecht naar beneden. Voor een organisatie van twintig of veertig mensen is een volwaardig SOC-model zelden betaalbaar.
Ten tweede het tempo. Vaste playbooks en een wachtrij betekenen dat de afhandeling reactief is. Tussen het signaal en de actie zit een mens met een takenlijst. Een aanval wacht daar niet op.
Agentic MDR draait dat om. In plaats van vaste regels die een mens afwerkt, doet het systeem autonoom onderzoek en redeneert het per geval. Het werkt op de snelheid van de aanval, niet op de snelheid van de wachtrij. En omdat het werk in de agent-laag gebeurt en niet in mensuren, is het betaalbaar voor het MKB. De mens komt erbij voor de uitzonderingen en de goedkeuringen, niet voor de hele stroom.
De vraag die dit onderscheid blootlegt is simpel: doet jouw huidige MDR het werk wat je verwacht, of stuurt het alleen alarmen door?
Wat het oplevert voor het MKB op Microsoft 365
Voor een organisatie die op Microsoft 365 draait en weinig IT-capaciteit heeft, vertaalt agentic MDR zich naar een paar concrete dingen.
- Snellere afhandeling. Signalen worden onderzocht en opgevolgd op het moment dat ze binnenkomen, niet als er toevallig tijd voor is.
- Minder false-positive-moeheid. Het systeem zoekt de twijfelgevallen uit in plaats van ze als ruis op een stapel te leggen. Je IT-mensen besteden hun tijd niet meer aan het wegklikken van loos alarm.
- Betaalbaar model. Je rekent af per opgelost incident, niet per binnengekomen alert. Je betaalt voor opgelost werk, niet voor ruis.
- Compliance. De volledige audit trail laat zien wat er is gedetecteerd, onderzocht en gedaan. Dat is precies het soort verantwoording dat NIS2 en de Cyberbeveiligingswet in de praktijk vragen.
- Je houdt de controle. Herstelacties gaan langs een menselijke goedkeuring, en bij twijfel escaleert het systeem. Je geeft het stuur niet uit handen, je geeft het werk uit handen.
Het verschil voor het dagelijkse werk is dat je niet langer 's avonds door logs hoeft te bladeren om te zien of een melding ertoe deed. Dat is uitgezocht voordat je erbij komt.
IVON, agentic MDR van Attic
IVON is de agentic laag die de Identity-First MDR van Attic voor Microsoft 365 agentic maakt. IVON voert triage uit en onderzoekt de security-alarmen die anders door volume blijven liggen, komt met een onderbouwd oordeel plus betrouwbaarheidsscore, en legt herstelacties voor aan een mens. Werkt over Defender, Sentinel en Entra ID heen, met een volledige audit trail.
Wil je zien hoe dat er voor jouw omgeving uitziet, vraag dan een demo aan. Dan laten we het gewoon werken.
