
Crear una lista corta para una evaluación del SOC de IA puede resultar complicado. Los proveedores de SIEM, SOAR y AI SOC exclusivos dicen lo mismo. Pero detrás de la misma etiqueta hay productos completamente diferentes, desde asistentes de chat integrados en SIEM tradicionales hasta plataformas de agentes que ejecutan descubrimiento, clasificación, investigación y respuesta sobre sus propias bases de datos.
Si una plataforma cambia significativamente los resultados del equipo es más importante que el nombre de la plataforma. Puede medir el tiempo de investigación, la cantidad de falsos positivos, el tiempo de retorno de los analistas, el costo total de ejecutar un SOC y, en última instancia, si su arquitectura resistirá en dos o tres años a medida que el volumen, la velocidad y la complejidad de los ataques continúen aumentando.
¿Qué es una plataforma AI SOC?
Una plataforma AI SOC es una plataforma de operaciones de seguridad donde los agentes de AI realizan tareas centrales de SOC (detección, clasificación, investigación y respuesta) razonando sobre datos de seguridad correlacionados bajo supervisión humana. Esto difiere de la IA integrada, que resume las alertas dentro de su SIEM existente mientras que el trabajo subyacente sigue siendo manual.
Cuando los proveedores se refieren a agentes, se refieren a agentes que realizan tareas principales. Si bien la distinción puede parecer sutil en la hoja de datos, la verdadera prueba se encuentra durante la prueba de color.
¿Qué hace que un agente AI SOC sea predecible?
La previsibilidad diferencia la automatización SOC confiable de la automatización del cuidado de niños. La previsibilidad es más una propiedad de los datos que una propiedad del modelo. Los agentes que solo resumen las alertas pueden operar únicamente a partir de cargas útiles de alertas. Un agente confiable que cierra una alerta o realiza una acción de respuesta requiere más contexto, como la entidad involucrada (identidad, recurso, dispositivo/activo), cómo varía su configuración, el estado saludable de la entidad y muchos otros factores.
Una plataforma construida para ese nivel de confianza mantiene un gráfico de conocimiento en tiempo real, un mapa continuamente actualizado de las identidades, recursos, configuraciones y líneas base de comportamiento en su entorno y las relaciones entre ellos, recopilados antes de que ocurra una alerta. Basado en ese contexto, combinado con la arquitectura del modelo en capas descrita en la lista de verificación a continuación, el agente emite un veredicto respaldado por evidencia consistente. La IA integrada funciona en la dirección opuesta, consultando los registros sin procesar después de que se ha generado una alerta. Como tal, sus conclusiones a menudo no se sostienen bajo escrutinio. El ancho es igualmente importante. Las plataformas más potentes añaden cobertura de detección de fuentes nunca antes medidas, realizan una búsqueda continua de amenazas e inician una respuesta a los incidentes a medida que se desarrollan.
Seis funciones de AI SOC para probar antes de comprar
Puede ver cada una de las funciones siguientes en acción durante una prueba de concepto, en su propio entorno o en una demostración del proveedor.
Infraestructura de datos correlacionados en tiempo real. Las decisiones de la IA están determinadas por el contexto detrás de ellas. Asegúrese de que los datos de identidad, configuración, recursos y línea base estén continuamente correlacionados (enfoque de gráfico de conocimiento) o ensamblados a partir de registros sin procesar en el momento de la consulta. La velocidad por sí sola no significa mucho. Un motor de consultas rápido también devuelve respuestas en segundos. En su lugar, seleccione aleatoriamente una identidad y comprenda sus privilegios (administrador o no), deriva de configuración y línea base de comportamiento (ubicación típica, IP, ASN, agente de usuario, etc.). Estos no se pueden falsificar en el momento de la consulta. Agente de ciclo de vida completo. Haga que su proveedor ejecute un único incidente de principio a fin, desde la detección del origen hasta la clasificación, la investigación y las acciones de respuesta, y observe cómo el contexto se traslada o se vuelve a reunir en cada paso. Muchas plataformas automatizan la clasificación de Nivel 1 y se detienen allí, acelerando así la cola de alertas sin acelerar el SOC. Veredictos auditables sustentados en evidencia. Pídales que vean la evidencia detrás de su veredicto (cada línea de registro, correlación, inferencia, etc.) y asegúrese de que su analista pueda reproducir los resultados a partir de los mismos datos. Un veredicto que no puede ser auditado es una opinión. Rango de detección más allá de SIEM. Los incidentes del mundo real abarcan la nube, SaaS, identidad y código, pero gran parte de la telemetría nunca llega al SIEM porque es demasiado costosa de ingerir. Enumere las fuentes que su pila deja implícitas, como registros de auditoría de la nube de gran volumen, GitHub y Google Workspace, y solicite a su proveedor que le demuestre cómo lanzar detecciones e investigarlas. Autonomía gradual con supervisión humana. La autonomía total desde el primer día es una señal de alerta, al igual que una plataforma que nunca ofrece más que acceso de solo lectura. Investigue cómo se configura la confianza, qué acciones se inician como recomendaciones, qué registros de evidencia desbloquean la ejecución automática y dónde cierran sesión los usuarios. Tenga en cuenta que puede ajustar estos umbrales para cada tipo de acción. Resultados mensurables. Antes de iniciar una prueba de concepto, defina números como la tasa de falsos positivos y el tiempo promedio para investigar y responder. Mida sus resultados con respecto a su línea de base actual y pregunte a sus clientes de referencia qué sucedió en el primer trimestre. Si en última instancia desea que un proveedor lo ejecute por usted, asegúrese de que el servicio administrado utilice los mismos productos con los que opera su equipo.
Enfoque: Plataforma SOC Agentic de Exaforce
Una plataforma diseñada en torno a estas capacidades es Exaforce. Es una plataforma AI SOC basada en agentes cuyos cuatro Exabots cubren todo el ciclo de vida del SOC. Exabot Detect actúa como ingeniero de detección de IA, Exabot Triage dirige todas las alertas a una decisión en profundidad de Nivel 3, Exabot Investigate reduce las barreras para la búsqueda de amenazas y Exabot Respond coordina acciones a lo largo de la cadena de eliminación con la aprobación humana de lo irreversible.
Los cuatro Exabots infieren una plataforma de datos unificada en tiempo real que incorpora y potencia registros y configuraciones en la nube, SaaS, identidad, puntos finales y código. Los analistas consultan todo en lenguaje sencillo a través de Exabot. Puede reemplazar un SIEM en la misma plataforma, pero sin los analizadores, el mantenimiento de la canalización y la contratación de expertos en SIEM que normalmente lo acompañan. Guardant Health ha convertido a Exaforce en su SIEM y MDR principal. «Ya no escribimos consultas; simplemente le preguntamos a Exabot», dice Mike Shannon, director de ingeniería de seguridad de Guardant Health.
Los resultados medidos corresponden a las funciones anteriores. Los recortes invisibles reducen el tiempo de investigación en un 95%, convirtiendo las investigaciones de horas y días en minutos. Forcepoint reemplazó MSSP con Exaforce MDR, que requería respuesta manual, y los incidentes P0 ahora demoran un promedio de 14 minutos en responder.
Puede optar por ejecutar la plataforma con su equipo interno o hacerla funcionar a través del producto MDR de Exaforce. La arquitectura y Exabot son iguales en ambos casos. Sólo cambia la persona que lo opera.
¿Qué tan cerca estamos de un SOC autónomo?
Ninguna otra plataforma, incluida Exaforce, puede resolver los problemas de SOC modernos. La batalla es IA contra IA, y lo que se gana no es el modelo de frontera sino los datos que el agente infiere. Basándose en datos en tiempo real asociados con identidades, activos/dispositivos, recursos afectados y comportamiento de referencia, los agentes generan decisiones predictivas, repetibles y auditables, dando confianza a los humanos que aprovechan la IA en el SOC.
Para comenzar con su evaluación, la guía introductoria exclusiva de Exaforce, ¿Qué es un AI SOC?, proporciona un punto de partida. A continuación, presente las seis capacidades anteriores a todos los proveedores de su lista y solicite una demostración para ver cómo Exaforce responde a esas capacidades.
Source link
