Crear una lista corta para una evaluación del SOC de IA puede resultar complicado. Los proveedores de SIEM, SOAR y AI SOC puro dicen lo mismo. Pero detrás de la misma etiqueta se encuentran productos muy diferentes, desde asistentes de chat integrados en un SIEM heredado hasta plataformas de agentes que ejecutan detección, clasificación, investigación y respuesta en su propia base de datos.
Que una plataforma cambie materialmente los resultados de su equipo es más importante que cómo se llama. Podemos medir eso en tiempo de investigación, volumen de falsos positivos, horas de analista devueltas, costo total de funcionamiento de su SOC y, finalmente, si la arquitectura aguantará dentro de 2 o 3 años a medida que el volumen, la velocidad y la complejidad de los ataques sigan aumentando.
¿Qué es una plataforma AI SOC?
Una plataforma AI SOC es una plataforma de operaciones de seguridad donde los agentes de IA llevan a cabo el trabajo principal del SOC (detección, clasificación, investigación y respuesta) razonando sobre datos de seguridad correlacionados, bajo supervisión humana. Se diferencia de la IA integrada, que resume las alertas dentro de un SIEM existente mientras que el trabajo subyacente sigue siendo manual.
Los agentes que hacen el trabajo principal son a lo que se refieren los proveedores cuando dicen agente. La distinción puede parecer sutil en una hoja de datos, pero la prueba real se produce durante las pruebas de concepto.
¿Qué hace que un agente AI SOC sea predecible?
La previsibilidad separa la automatización del SOC en la que puede confiar de la automatización que usted cuida, y es una propiedad de los datos más que una propiedad del modelo. Un agente que solo resume las alertas puede trabajar únicamente desde la carga útil de la alerta. Un agente de confianza para cerrar alertas o tomar acciones de respuesta necesita tener mucho más contexto, como la entidad (identidad, recurso, dispositivo/activo) involucrada, cómo ha variado su configuración y cómo se ve lo normal para la entidad y muchos otros factores.
Las plataformas creadas para ese nivel de confianza mantienen un gráfico de conocimiento en tiempo real, un mapa continuamente actualizado de las identidades, recursos, configuraciones y líneas base de comportamiento en un entorno y las relaciones entre ellos, recopilados antes de que se active cualquier alerta. Basado en ese contexto, y junto con la arquitectura del modelo en capas cubierta en la lista de verificación a continuación, un agente arroja veredictos consistentes y respaldados por evidencia. La IA integrada funciona en la dirección opuesta, consultando registros sin procesar después de que llega una alerta, razón por la cual sus conclusiones a menudo no se mantienen bajo escrutinio. La amplitud es igualmente importante. Las plataformas más potentes añaden cobertura de detección para fuentes que nunca instrumentó, ejecutan búsquedas de amenazas continuamente y comienzan a responder mientras el incidente aún se está desarrollando.
Seis capacidades de AI SOC para probar antes de comprar
Cada capacidad a continuación se puede verificar durante una prueba de concepto, en su propio entorno o en vivo en una demostración del proveedor.
- Una base de datos correlacionados en tiempo real. Un veredicto de IA es tan bueno como el contexto detrás de él. Pregunte si los datos de identidad, configuración, recursos y línea de base están correlacionados continuamente (el enfoque del gráfico de conocimiento) o se ensamblan a partir de registros sin procesar en el momento de la consulta. La velocidad por sí sola demuestra poco; un motor de consultas rápido también regresa en segundos. En su lugar, elija una identidad al azar y comprenda sus permisos (administrador o no), deriva de configuración y línea base de comportamiento (ubicación normal, IP, ASN, agente de usuario, etc.). Nada de eso se puede falsificar en el momento de la consulta.
- Agentes de ciclo de vida completo. Haga que el proveedor recorra un incidente de principio a fin, desde la detección que lo creó hasta la clasificación, la investigación y una acción de respuesta, y observe si el contexto se transmite en cada paso o se vuelve a reunir. Muchas plataformas automatizan la clasificación de nivel 1 y se detienen ahí, lo que acelera la cola de alertas sin acelerar el SOC.
- Veredictos auditables y respaldados por evidencia. Solicite ver el rastro de evidencia detrás de un veredicto (cada línea de registro, correlación e inferencia que lo produjo) y confirme que sus analistas pueden reproducir el hallazgo a partir de los mismos datos. Un veredicto que no se puede auditar es una opinión.
- Cobertura de detección más allá del SIEM. Los incidentes reales cruzan la nube, SaaS, identidad y código, pero gran parte de esa telemetría nunca llega al SIEM porque su ingesta cuesta demasiado. Enumere las fuentes que su pila deja oscuras, como registros de auditoría de la nube de gran volumen, GitHub y Google Workspace, luego haga que el proveedor muestre una detección activa sobre ellos y una investigación sobre ellos.
- Autonomía escenificada con supervisión humana. La autonomía total desde el primer día es una señal de advertencia, al igual que una plataforma que nunca obtiene más que acceso de solo lectura. Investigue cómo se organiza la confianza, qué acciones comienzan como recomendaciones, qué registro de evidencia desbloquea la ejecución automática y dónde una persona aún aprueba. Confirme que puede ajustar esos umbrales por tipo de acción.
- Resultados mensurables. Defina los números antes de que comience la prueba de concepto: tasa de falsos positivos y tiempo medio para investigar y responder. Mida los resultados con respecto a su línea de base actual y pregunte a los clientes de referencia qué se movió en su primer trimestre. Si eventualmente desea que el proveedor lo ejecute por usted, confirme que el servicio administrado utilice el mismo producto que operaría su equipo.
Enfoque: Plataforma SOC Agentic de Exaforce
Una plataforma diseñada en torno a estas capacidades es Exaforce, una plataforma SOC de IA agente cuyos cuatro Exabots cubren el ciclo de vida completo del SOC. Exabot Detect funciona como su ingeniero de detección de IA, Exabot Triage lleva cada alerta a un veredicto con profundidad de Nivel 3, Exabot Investigate reduce la barrera para que cualquiera pueda cazar amenazas y Exabot Respond coordina acciones a lo largo de la cadena de eliminación, con un humano aprobando cualquier cosa irreversible.
Los cuatro Exabots razonan sobre una plataforma de datos unificada en tiempo real que ingiere y enriquece los registros y la configuración en la nube, SaaS, identidad, punto final y código. Los analistas lo consultan todo en lenguaje sencillo a través de Exabot. La misma plataforma puede sustituir a un SIEM, menos los analizadores, el mantenimiento de tuberías y las contrataciones de expertos en SIEM que normalmente vienen con uno. Guardant Health convirtió a Exaforce en su SIEM y MDR principal. “Ya no escribo consultas. Sólo le pregunto a Exabot”, dice Mike Shannon, director de ingeniería de seguridad de Guardant Health.
Los resultados medidos se corresponden con las capacidades anteriores. El recorte invisible significa tiempo para investigar en un 95%, llevando las investigaciones de horas o días a minutos. Forcepoint reemplazó a un MSSP que necesitaba ayuda con Exaforce MDR y ahora tiene un tiempo medio de 14 minutos para responder a incidentes P0.
Tiene la opción de ejecutar la plataforma con su equipo interno o hacer que Exaforce la opere por usted a través de su oferta MDR. La arquitectura y los Exabots son idénticos en ambos sentidos; sólo cambia quién los opera.
¿Qué tan cerca está el SOC autónomo?
Ninguna plataforma, incluida Exaforce, hace que el SOC moderno sea un problema resuelto. La lucha es de IA contra IA, y no se ganará en los modelos de frontera sino en los datos sobre los que razonan los agentes. Los agentes basados en datos en tiempo real correlacionados con identidad, activos/dispositivo, recursos afectados y comportamientos de referencia producen veredictos que se pueden predecir, reproducir y auditar, infundiendo confianza en los humanos para aprovechar la IA en el SOC.
Si está iniciando una evaluación, el manual de Exaforce, ¿Qué es un AI SOC?, es una lectura fundamental. Luego, presente las seis capacidades anteriores a todos los proveedores de su lista y solicite una demostración para ver cómo Exaforce las responde.