Google Agentic Threat Intelligence — Tehdit Analitiğinde Yeni Nesil “Ajan-Odaklı” Yaklaşım

Arka Plan: Mevcut Durumun Problemi

Security Operations (SOC) ve Threat Intelligence ekipleri, günlük operasyonlarının büyük kısmını farklı veri kaynaklarını birleştirme işine harcar:

• Tehdit raporları
• Forumlar ve dark web paylaşımları
• Tehdit-feed’leri (CTI)
• OSINT kaynakları
• Mandiant veya VirusTotal gibi özel veri kümeleri

Bu dağınık kaynaklardan anlam çıkarmak; tehdit aktörleri, CVE’ler, IOC’ler (Indicators of Compromise) ve kampanyalar arasında bağlantı kurmak — insan emeğine dayalı, yavaş ve maliyetli bir süreçtir.

Google, bu darboğazı ortadan kaldırmak için tehdit istihbaratı sürecini “soru-cevap” temelli, konuşma odaklı bir analitik yapıya dönüştürüyor.

ATI Nedir? Dijital Tehdit Analisti

Agentic Threat Intelligence (ATI), Google Threat Intelligence Enterprise/Enterprise+ müşterileri için “preview” olarak duyurulan bir özellik.
Temel fikir şu:

Analistin yanında çalışan, farklı uzmanlık alanlarına sahip çok-ajanlı (multi-agent) bir yapay zekâ sistemi.

Her “ajan” (software agent) belirli bir siber alanı temsil ediyor:

• Malware Analysis Agent — örnek dosyaları analiz eder, aile bağlantılarını çıkarır.
• Vulnerability Research Agent — CVE ilişkilerini, exploit zincirlerini inceler.
• Actor Profiling Agent — tehdit aktörlerini, taktik-teknik-prosedür (TTP) eşleştirmeleriyle sınıflandırır.

Bir analist doğal dille sorar:

“CVE-2024-9999 zafiyetini hangi aktörler sömürüyor?”
“Son tedarik zinciri saldırısında kullanılan malware’ler nelerdi?”

Platform, bu sorunun türüne göre uygun ajanları dinamik olarak seçer, OSINT, dark web, Mandiant, VirusTotal ve Google Cloud Telemetry verilerini tarar; ardından yapay zekâ sentezli, insan-okunabilir bir özet döndürür.

Bu, klasik “data dump” veya “IOC listesi” yerine bağlamsal istihbarat sağlar:

• Aktör → Zafiyet → Malware → Kampanya ilişkileri
• Etkilenen sektörler
• Önerilen aksiyonlar (örneğin IOC takibi, patch önceliği)

Mimarinin Temeli: Agentic AI

Bu sistem, Google’ın 2025’te tanımladığı “Agentic AI” vizyonuna dayanıyor.

“Assistive AI” sadece yardımcı olurken, “Agentic AI” planlama, yürütme ve kendi alt-ajanlarını orkestre etme kapasitesine sahiptir.

Yani ATI, basit bir LLM chatbot değil.
Aşağıdaki bileşenlerden oluşan bir çok-ajanlı orkestrasyon katmanıdır:

KatmanAçıklamaOrkestratörSoruya göre hangi ajanların devreye gireceğine karar verir (MCP / Agent2Agent protokolleriyle).Ajan HavuzuMalware, Actor, CVE, Network Intelligence, Infrastructure Reuse vb. ajanlar.Veri KatmanıOSINT + Dark Web + Mandiant + VirusTotal + Google Cloud Telemetry + Entegre müşteri verileri.Çıktı Katmanıİnsan-okunabilir özet, IOC listesi, ilişkisel grafik veya API çağrısı.

Bu yapı, Model Context Protocol (MCP) ve Agent2Agent (A2A) protokolleriyle ajanlar arası birlikte çalışabilirlik sağlar.
Böylece ATI, klasik SIEM/SOAR sistemlerine API seviyesinde entegre olabilir (örneğin ServiceNow, OpenCTI, Anomali ThreatStream).

Analist Akışı: “Alert → Investigation → Action” Sürecinde Dönüşüm

Geleneksel akış:

Alarm → IOC toplama → kaynak tarama → validasyon → manuel raporlama

ATI ile yeni akış:

Soru → Çok-ajanlı analiz → Bağlamsal cevap → Otomatik öneri

Örnek:

“Hangi APT grubu CVE-2023-38831’i Doğu Avrupa’da kullanıyor?”

ATI’nin cevabı:

• Aktörler: APT28, Sandworm
• Kampanyalar: “Winter Spear”, “Electric Bear”
• Malware: RomCom RAT, LoaderX
• IOC: Domain, IP, hash listesi
• Sektör Etkisi: Enerji, hükümet
• Önerilen Aksiyon: Firewall IOC update, yara rules

Sonuç:

Dakikalar içinde stratejik bağlamlı bir rapor, analistin elinde olur.

Bu, analistleri “veri toplayıcı”dan “stratejik karar verici”ye dönüştürür.

Operasyonel Faydalar

AlanATI’nin KatkısıVerimlilikAlert yorgunluğu azalır; veri toplama değil, analiz süresi artar.Zaman KazancıManuel araştırma saatleri dakikalara iner.BağlamAktör, malware ve CVE arasındaki bağlantılar otomatik çıkarılır.YönetişimYönetim ekiplerine anlatılabilir özet raporlar sunar.OtomasyonTekrarlayan sorgular “saved prompts” ile standardize edilir.

Kurumsal Etkiler ve Değişim Yönetimi

• Skill shift: Analistler artık “data harvesting” yerine yorumlama ve strateji odaklı çalışacak.
• Kültürel değişim: Yeni “dijital ekip arkadaşları” iş süreçlerini değiştirir; güven ve açıklanabilirlik önemli hale gelir.
• Entegrasyon: ATI’den çıkan sonuçlar SIEM/SOAR ortamlarına beslenmeli (ör. Sentinel, QRadar, Splunk).
• Auditability: Hangi ajan hangi veriyi kullandı, hangi mantıkla karar verdi — izlenebilir olmalı.
• Security: Ajanların kimlikleri, erişim yetkileri ve “agent isolation” prensipleriyle korunmalı.

Link: