Dentro de nuestro SOC de IA: Cómo Swimlane redujo el tiempo medio de reparación (MTTR) a la mitad

Dentro de nuestro SOC de IA: Cómo Swimlane redujo el tiempo medio de reparación (MTTR) a la mitad

En Swimlane, nuestro Centro de Operaciones de Seguridad (SOC) No es solo una línea defensiva; es nuestro laboratorio de innovación en tiempo real. Aprovechamos este entorno para ampliar los límites de las operaciones de seguridad.Operaciones de seguridad), unificando las operaciones globales en la nube, la TI empresarial y la gestión de riesgos y vulnerabilidades en un único programa centralizado impulsado por Turbina de carriles de natación Plataforma de automatización de IA agentic.

Dentro de las operaciones de nuestro equipo, cada alerta, investigación y resolución es una oportunidad para perfeccionar nuestros procesos. Con todos nuestros flujos de trabajo de seguridad unificados en Turbine, nuestros analistas colaboran estrechamente, experimentando con nuevos procesos y llevando las capacidades de IA al límite. Nos preguntamos constantemente: "¿Cómo podemos hacer que este proceso sea más rápido, inteligente y autónomo dentro de Turbine?".“ 

Antes de la IA: pasos manuales e investigaciones repetitivas

Antes de centralizar nuestras operaciones en Turbine, nuestra tiempo medio de resolución (MTTR) rondaba las seis horas. Incluso a medida que nuestra automatización y orquestación maduraban, mi equipo seguía enfrentando dificultades debido a los pasos de triaje manual, las investigaciones repetitivas y el cambio de contexto entre distintas herramientas. Sabíamos que teníamos un límite que debíamos superar.

Nuestro viaje hacia un SOC más autónomo

Entre 2021 y 2025, nuestro SOC se automatizó progresivamente triaje de alerta y gestión de casos flujos de trabajo, reduciendo nuestra Tiempo medio de transporte De 6 horas a 30 minutos. La siguiente fase, y el verdadero punto de inflexión, llegó con la introducción de Héroe IA, una colección de capacidades de inteligencia artificial generativa y agente disponibles dentro de Turbine.

Informe del analista: Su guía para la habilitación de SOC autónomos

Fuimos los primeros en implementarlos Agentes de IA de Hero Directamente dentro de Turbine. Fue como añadir expertos autónomos a nuestro equipo, proporcionando razonamiento contextual en tiempo real durante todo el ciclo de vida del incidente, lo que acelera drásticamente el triaje y elimina la sobrecarga manual rutinaria.

Dependemos de cuatro agentes principales para impulsar nuestras operaciones autónomas:

• Agente de veredicto: Este agente es probablemente el que más utilizamos. Utiliza todo el contexto actual, vinculado e histórico de casos, incluyendo artículos de la Base de Conocimiento, historial de casos vinculados, inteligencia de amenazas y notas de analistas, para generar un veredicto de forma autónoma, reflejando el criterio del analista.
• Agente de inteligencia de amenazas: Este agente es revolucionario en inteligencia de amenazas. Está diseñado para agregar y analizar datos de todas nuestras fuentes, incluyendo VirusTotal, Cisco Umbrella y RecordedFuture, y proporciona un análisis unificado y multifuente directamente en el expediente del caso.
• Agente de MITRE ATT&CK y D3FEND: Este es fundamental para la claridad operativa. Está entrenado para asignar automáticamente las alertas de seguridad del proveedor a técnicas estandarizadas de ataque y contramedidas, lo que proporciona a mi equipo un lenguaje universalmente comprendido para tácticas y defensa en todos los ámbitos. Esta estandarización es fundamental para una respuesta consistente.
• Agente de investigación: La clave de nuestra eficiencia. Crea y ejecuta automáticamente un plan de investigación completo, proporcionando un análisis integral desde una única interfaz unificada. Así eliminamos el cambio de contexto innecesario y aceleramos el triaje con valiosos resúmenes, cronogramas y acciones recomendadas generados por IA.

Impacto medible de Hero AI

Desde que implementamos nuestros agentes Hero AI en Turbine, nuestro SOC interno ha experimentado importantes mejoras en la eficiencia operativa y ahorros de costos.

• En 30 días observamos:
  • El MTTR se redujo drásticamente en 51%, pasando de 18 minutos a 8,75 minutos.
    
• Semanalmente:
  • Ahorramos aproximadamente 60 horas de “tiempo humano”
    
  • El ahorro en costos operativos ascendió a $2,600, una cifra equivalente al costo laboral anual de un analista de nivel 1 cuando se extrapola.
    
• Actual:
  • Cerramos de forma autónoma ~350 casos por semana

De operaciones de seguridad asistidas a operaciones de seguridad con IA

Hero AI no solo acelera la resolución, sino que también genera confianza mediante la consistencia y la explicabilidad. El equipo de Swimlane SOC utilizó los datos de aproximadamente 35 000 investigaciones humanas con Hero AI para comparar, verificar y optimizar nuestro mensaje. Actualmente contamos con 10 casos de uso con operaciones totalmente autónomas. Observamos mejoras notables en la confianza, la precisión y la optimización de costes gracias a una mayor eficiencia de los tokens y a la ampliación de las ventanas de contexto.

¿Listo para escalar? Tu plan de SOC de IA ya está aquí.

La convergencia de la IA y la automatización avanzada en Turbine realmente permitió a nuestro SOC alcanzar cómodamente un MTTR inferior a 15 minutos y acelerar nuestra transición hacia el cierre autónomo de casos a gran escala. Lo que comenzó como un esfuerzo enfocado en reducir el trabajo manual se ha convertido en un plan claro para... SOC de IA, donde los agentes de IA brindan clasificación en tiempo real, veredictos explicables y respuestas con un solo clic, todo desde una interfaz unificada.

Mientras reflexionaba sobre nuestros increíbles logros, le pregunté a Kevin Mata, nuestro Director de Operaciones en la Nube, qué pensaba: “Hero AI ha transformado la forma en que gestionamos nuestro SOC, acelerando las operaciones mientras aprendemos y mejoramos continuamente. Cada caso que cerramos hace que el siguiente sea más rápido, inteligente y cada vez más autónomo”.”

Si mi equipo logra estos resultados internamente, cualquier organización que busque escalar sus operaciones de seguridad tendrá éxito aprovechando Turbine. Este modelo es el futuro comprobado de las operaciones de seguridad.