Ngày 9/4/2026, Microsoft đã công bố tầm nhìn về “Agentic SOC”, một mô hình vận hành an ninh mạng (SecOps) thế hệ mới. Thay vì chỉ phản ứng với sự cố, Agentic SOC sử dụng AI và tự động hóa để chủ động dự đoán và ngăn chặn các cuộc tấn công, giải phóng các chuyên gia bảo mật khỏi các tác vụ lặp đi lặp lại để tập trung vào các quyết định chiến lược có tác động lớn.
Trong một bài viết, Microsoft đã phân tích sự thay đổi cần thiết này, những bài học từ các thử nghiệm ban đầu và các bước mà doanh nghiệp có thể bắt đầu ngay hôm nay. Hãng cũng đã phát hành một whitepaper mới có tên The agentic SOC: Your teammate for tomorrow, today để cung cấp lộ trình nền tảng cho quá trình chuyển đổi này.
Agentic SOC là gì?
Về cốt lõi, Agentic SOC là một mô hình vận hành giúp bộ phận an ninh chuyển từ việc phản ứng với sự cố sang chủ động dự đoán đường đi của kẻ tấn công và tái định hình môi trường để chặn đứng chúng.
Mô hình này kết hợp một nền tảng có khả năng tự bảo vệ ngày càng cao thông qua cơ chế phòng thủ tự trị tích hợp, với các AI agent (tác tử AI) hoạt động song song cùng con người để tăng tốc điều tra, phân loại ưu tiên và hành động. Nhờ đó, đội ngũ an ninh sẽ dành ít thời gian hơn cho việc thực thi và có nhiều thời gian hơn cho việc đánh giá, phân tích rủi ro và đưa ra các quyết định quan trọng.
Để dễ hình dung, hãy tưởng tượng một vụ tấn công đánh cắp thông tin đăng nhập. Các cơ chế phòng thủ tích hợp sẽ tự động khóa tài khoản bị ảnh hưởng và cô lập thiết bị bị xâm phạm trong vài giây, trước khi kẻ tấn công có thể di chuyển ngang trong hệ thống. Đồng thời, một AI agent sẽ khởi tạo một cuộc điều tra, săn lùng các hoạt động liên quan trên các tín hiệu từ danh tính, endpoint, email và cloud, rồi tổng hợp tất cả vào một giao diện duy nhất.
Khi một chuyên viên phân tích (analyst) mở danh sách công việc của mình, “nhiễu” từ hàng loạt cảnh báo đã được loại bỏ. Bằng chứng đã được thu thập sẵn. Các bước xử lý tiếp theo cũng được đề xuất. Chuyên viên có thể bắt đầu ngay bằng việc trả lời các câu hỏi có tác động lớn hơn: Đây có phải là một phần của một chiến dịch tấn công rộng lớn hơn không? Phương thức xác thực này có cần được củng cố không? Kẻ tấn công này còn sử dụng các kỹ thuật nào khác mà hệ thống vẫn còn lỗ hổng không?
Trong các trung tâm vận hành an ninh (SOC) hiện nay, quy trình này thường mất hàng giờ, và việc cải thiện chủ động rất hạn chế. Với Agentic SOC, việc này chỉ mất vài phút, giúp đội ngũ có thêm thời gian để điều tra sâu hơn, củng cố hệ thống một cách toàn diện và giảm khả năng bị tấn công lặp lại.
Mô hình hai lớp của Agentic SOC
Mô hình này hoạt động dựa trên hai lớp riêng biệt nhưng phụ thuộc lẫn nhau.
Lớp đầu tiên là một nền tảng bảo vệ khỏi mối đe dọa (threat protection) với khả năng phòng thủ và ngăn chặn các cuộc tấn công đã được cải tiến. Các mối đe dọa có độ tin cậy cao sẽ được xử lý tự động thông qua các biện pháp kiểm soát xác định, dựa trên chính sách được tích hợp sẵn vào nền tảng. Các mẫu tấn công đã biết sẽ bị chặn trong thời gian thực, bảo vệ môi trường khỏi các mối đe dọa tốc độ máy (machine-speed) trước khi cần đến sự chú ý của con người hay khả năng suy luận tốn kém token.
Lớp thứ hai hoạt động ở cấp độ vận hành, nơi các agent đảm nhận công việc phân tích và đối chiếu phức tạp để tăng cường đáng kể hiệu quả của đội ngũ an ninh, chuyển trọng tâm từ việc tìm kiếm thông tin sang hành động dựa trên thông tin đó. Các agent này suy luận dựa trên bằng chứng, điều phối các cuộc điều tra, dàn xếp các phản ứng trên nhiều lĩnh vực và liên tục học hỏi từ kết quả. Theo thời gian, chúng giúp xác định các đường tấn công lặp đi lặp lại, phát hiện các lỗ hổng trong hệ thống phòng thủ và đề xuất các thay đổi giúp môi trường khó bị khai thác hơn.
Cùng nhau, hai lớp này biến SOC từ một cỗ máy xử lý quy trình phản ứng thành một hệ thống linh hoạt và kiên cường.
Những gì đã trở thành hiện thực
Microsoft cho biết sự lạc quan về tầm nhìn Agentic SOC đến từ kỷ luật vận hành và những tác động đã được chứng minh trong thực tế. Khả năng tự động ngăn chặn tấn công đã hoạt động ở quy mô lớn trong nhiều năm, tạo tiền đề vững chắc cho mô hình mới này.
