LLMs werden in Security Operations Centers (SOCs) eingesetzt, meist als Co-Piloten, um Warnmeldungen zusammenzufassen, Protokolle abzufragen oder Berichte zu erstellen. Bei der Verwendung für End-to-End-Untersuchungen werden ihre grundlegenden Einschränkungen jedoch zu Hindernissen: variable Antworten, Halluzinationen und mangelnde Rückverfolgbarkeit.

Diese Sitzung beginnt mit einem konkreten Beispiel. Wir lassen denselben Alarm mehrmals durch einen LLM-SOC-Analysten laufen und beobachten dessen Ergebnisse: inkonsistent. Dies ist kein Fehler, sondern eine Eigenschaft generativer Modelle: Sie sind probabilistisch und nicht deterministisch. Das macht sie für risikoreiche Arbeitsabläufe wie Triage oder Korrelation unzuverlässig.

Um dieses Problem zu lösen, stellen wir eine hybr ...