Dentro do nosso SOC de IA: Como o Swimlane reduziu o MTTR pela metade

Dentro do nosso SOC de IA: Como o Swimlane reduziu o MTTR pela metade

Na Swimlane, nosso Centro de Operações de Segurança (SOC) Não é apenas uma linha defensiva; é o nosso laboratório de inovação em tempo real. Aproveitamos esse ambiente para expandir os limites das operações de segurança (SecOps), unificando operações globais em nuvem, TI corporativa e gerenciamento de riscos e vulnerabilidades em um único programa centralizado, impulsionado pelo Turbina Swimlane Plataforma de automação de IA agética.

Dentro das operações da nossa equipe, cada alerta, investigação e resolução é uma oportunidade para aprimorar nossos processos. Com todos os nossos fluxos de trabalho de segurança unificados no Turbine, nossos analistas colaboram de perto, experimentando novos processos e explorando ao máximo os recursos de IA. Estamos constantemente nos perguntando: "Como podemos tornar esse processo mais rápido, inteligente e autônomo dentro do Turbine?"“ 

Antes da IA: Etapas manuais e investigações repetitivas

Antes de centralizarmos nossas operações na Turbine, nossa tempo médio para resolução (MTTR) O tempo de espera girava em torno de seis horas. Mesmo com a evolução da nossa automação e orquestração, minha equipe ainda enfrentava dificuldades com etapas manuais de triagem, investigações repetitivas e alternância de contexto entre ferramentas distintas. Sabíamos que tínhamos um limite que precisávamos superar.

Nossa jornada rumo a um SOC mais autônomo

Entre 2021 e 2025, nosso SOC foi progressivamente automatizado. triagem de alerta e gestão de casos fluxos de trabalho, reduzindo nossos MTTR De 6 horas para 30 minutos. A próxima fase, e a que realmente mudou tudo, veio com a introdução de IA Heroica, uma coleção de recursos de IA agentiva e generativa disponíveis no Turbine.

Relatório do analista: Seu guia para habilitar um SOC autônomo

Fomos os primeiros a implantá-los. Agentes de IA heróicos diretamente dentro do Turbine. Foi como adicionar especialistas autônomos à nossa equipe, fornecendo raciocínio contextualizado em tempo real ao longo do ciclo de vida do incidente, o que acelera drasticamente a triagem e elimina a sobrecarga manual rotineira.

Dependemos de quatro agentes principais para impulsionar nossas operações autônomas:

• Agente do veredito: Este agente é provavelmente o que mais utilizamos. Ele aproveita todo o contexto atual, vinculado e histórico do caso disponível, incluindo artigos da Base de Conhecimento, histórico de casos vinculados, inteligência de ameaças e notas de analistas, para gerar um veredicto de forma autônoma, espelhando o julgamento do analista.
• Agente de Informações sobre Ameaças: Este agente é revolucionário para a inteligência de ameaças. Ele foi desenvolvido para agregar e analisar dados de todas as nossas fontes utilizadas, incluindo VirusTotal, Cisco Umbrella e RecordedFuture, e fornece uma análise unificada e abrangente diretamente no arquivo do caso.
• Agente MITRE ATT&CK & D3FEND: Esta ferramenta é crucial para a clareza operacional. Ela foi treinada para mapear automaticamente os alertas de segurança dos fornecedores para técnicas padronizadas de ataque e contramedidas, proporcionando à minha equipe uma linguagem universalmente compreendida para táticas e defesa em todos os níveis. Essa padronização é fundamental para uma resposta consistente.
• Agente de investigação: A chave da nossa eficiência. Ela cria e executa automaticamente um plano de investigação completo, fornecendo análises de ponta a ponta a partir de uma única interface unificada. É assim que eliminamos toda a troca de contexto desnecessária e aceleramos a triagem com resumos valiosos gerados por IA, cronogramas e ações recomendadas.

Impacto mensurável da IA Heroica

Desde que implementamos nossos agentes de IA Hero na Turbine, nosso SOC interno observou ganhos significativos de eficiência operacional e redução de custos.

• Em 30 dias observamos:
  • O MTTR foi drasticamente reduzido pelo 51%, caindo de 18 minutos para 8,75 minutos.
    
• Semanalmente:
  • Economizamos aproximadamente 60 horas de "tempo humano".“
    
  • A economia nos custos operacionais foi de $2.600, um valor equivalente ao custo anual de mão de obra de um analista de nível 1, quando extrapolado.
    
• Atual:
  • Encerramos, de forma autônoma, cerca de 350 casos por semana.

Da segurança assistida à segurança com IA

A Hero AI não apenas acelera a resolução de problemas; ela gera confiança por meio da consistência e da explicabilidade. A equipe da Swimlane SOC utilizou os dados de aproximadamente 35.000 investigações humanas com a Hero AI para avaliar, verificar e ajustar nosso sistema de prompts. Atualmente, temos 10 casos de uso com operações totalmente autônomas. Observamos melhorias significativas em confiança, precisão e otimização de custos, graças à maior eficiência dos tokens e à expansão das janelas de contexto.

Pronto para escalar? Seu modelo de IA para SOC está aqui.

A convergência de IA e automação avançada no Turbine realmente capacitou nosso SOC a atingir com folga um MTTR inferior a 15 minutos e acelerar nossa transição para o fechamento autônomo de casos em larga escala. O que começou como um esforço concentrado para reduzir o trabalho manual evoluiu para um plano claro para um SOC de IA, onde agentes de IA fornecem triagem em tempo real, veredictos explicáveis e respostas com um clique, tudo a partir de uma interface unificada.

Ao refletir sobre nossas incríveis conquistas, pedi a opinião de Kevin Mata, nosso Diretor de Operações em Nuvem: “A Hero AI transformou a maneira como gerenciamos nosso SOC, acelerando as operações e, ao mesmo tempo, aprendendo e melhorando continuamente. Cada caso que resolvemos torna o próximo mais rápido, inteligente e cada vez mais autônomo.”

Se minha equipe conseguir alcançar esses resultados internamente, qualquer organização que busque escalar suas operações de segurança terá sucesso, aproveitando o Turbine. Este modelo representa o futuro comprovado das operações de segurança.