Los líderes del SOC se enfrentan a una batalla diaria contra matemáticas básicas que no encajan. Los volúmenes de datos crecen exponencialmente, las superficies de ataque se expanden globalmente, pero la capacidad de tu equipo sigue siendo lineal. No puedes salir de este problema a contratos.
Intentar perseguir alertas individuales es una estrategia perdida. Para tener éxito, tenemos que ir más allá de simples scripts de automatización y adentrarnos en la era de la IA Agente.
En Elastic, consideramos la operación de seguridad moderna como un sistema nervioso operativo. Necesita Sentidos (la base de datos para verlo todo), un Cerebro 🧠 (análisis impulsados por IA para encontrar la señal en el ruido) y Manos 🙌 (flujos de trabajo para ejecutar acciones y generar resultados).
Con la introducción de Agent Builder y Elastic Workflows, estamos unificando estos elementos. No solo te estamos dando un chatbot; te estamos dando la capacidad de construir un SOC autónomo donde los agentes razonan sobre los datos y los flujos de trabajo ejecutan acciones sofisticadas—bidireccionalmente.
Así es como estos dos poderosos motores trabajan juntos para transformar tus operaciones de seguridad.
El poder del "cerebro" y las "manos" trabajando juntos
Para entender por qué esta combinación es significativa, debemos diferenciar sus roles.
- Flujos de trabajo elásticos (las manos): Estos son deterministas. Son perfectos para procesos rígidos y repetibles—"Si ocurre X, crea un tiquete de Jira, haz ping a Slack y aísla al host." Proporcionan estructura, capacidad de auditoría y fiabilidad.
- Constructor de Agentes (El Cerebro): Los agentes son probabilísticos y basados en el razonamiento. Perciben el entorno, planean una secuencia de pasos y se adaptan. Un agente puede consultar un reporte de amenaza vago y decidir qué consultas realizar para encontrar pruebas.
La magia ocurre cuando interactúan: Antes, había que elegir entre un manual rígido o una investigación manual. Ahora, los flujos de trabajo pueden invocar agentes para realizar análisis complejos durante un bucle de automatización, y los agentes pueden invocar flujos de trabajo como herramientas para realizar acciones fiables y pesadas durante un chat.
¿Qué no es esto?
Seamos claros: esto no va de reemplazar a tus analistas. Se trata de eliminar el esfuerzo que les impide hacer el trabajo que realmente importa: el pensamiento creativo y adversarial que ningún modelo puede replicar. El objetivo es cambiar a tu equipo de ser cazadores de troncos reactivos a cazadores proactivos de amenazas. El agente se encarga del trabajo pesado; Tu gente toma las decisiones de juicio.
Caso de uso: Triaje automatizado en el momento de la alerta
De alerta a análisis sin intervención humana
Veamos un escenario real que involucra un ataque de ransomware (por ejemplo: BlackCat/ALPHV , una operación de ransomware como servicio). En un sistema tradicional, se activa una alerta y un analista pasa 30 minutos recopilando registros, comprobando los totales de virus y escribiendo un resumen.
Con Elastic, toda esta fase de triaje se automatiza antes de que el analista abra el portátil, reduciendo el tiempo medio de triaje de 30 minutos a menos de 2 minutos.
El flujo de trabajo:
- Desencadenante: El Descubrimiento de Ataques se ejecuta según un calendario y correlaciona 15 alertas dispares en una única Cadena de Ataque de alta fidelidad.
- Paso del flujo de trabajo (enriquecimiento): El flujo de trabajo se activa automáticamente y se recorre por todas las entidades implicadas: hosts, usuarios, hashes de archivos. Hace una búsqueda con fuentes de inteligencia de amenazas como VirusTotal.
- Paso del flujo de trabajo (Invoke Agent): El flujo de trabajo pasa este conjunto de datos a un "Agente de Triaje" específico.
- Ejecución del agente: El agente no solo copia y pega datos. Razona sobre la cadena de ataques, la compara con el marco MITRE ATT&CK, correlaciona los registros relacionados y genera un resumen de investigación legible por humanos adaptado a un analista de Tier 2 .
- Resultado: El flujo de trabajo publica este análisis generado por IA directamente en un nuevo caso, con puntaje de gravedad, investigación profunda, análisis de la causa raíz y siguientes pasos recomendados.
Impacto en el usuario: El analista empieza su día revisando un caso totalmente contextualizado, no persiguiendo registros en bruto.
Caso de uso: La investigación "Humano en el Bucle"
Convertir el lenguaje natural en acción determinista
Una vez que un analista investiga, a menudo necesita realizar tareas administrativas que rompen su flujo, como averiguar quién está de guardia, montar salas de guerra o notificar a la dirección.
En Elastic Security, el analista permanece en la interfaz de chat. Como te permitimos definir flujos de trabajo como herramientas para tus agentes, el analista puede simplemente pedirle que se encargue de la logística.
El flujo de trabajo:
- Prompt para analistas: "Tenemos un incidente confirmado. ¿Quién está de guardia? Por favor, crea un canal en Slack para este incidente e invítales."
- Razonamiento del agente: El agente reconoce que la intención coincide con una herramienta de flujo de trabajo llamada "Configuración de Respuesta a Incidentes" que tengas preconfigurada.
- Ejecución del flujo de trabajo:
- Paso 1: Consulta la integración de PagerDuty para encontrar al ingeniero de guardia.
- Paso 2: Llama a la API de Slack para crear un canal llamado
#incident-[id]. - Paso 3: Publica el resumen inicial del caso en ese canal.
- Resultado: El agente confirma al analista: "Creé el canal #incident-982 y agregué Jane Doe (On-Call) al canal."
Caso de uso: Remediación y contención guiada
Respuesta de precisión a velocidad
Cuando llega el momento de contener una amenaza, la rapidez es crítica, pero también lo es la seguridad. No quieres que un LLM "alucine" una llamada API a un firewall. Aquí es donde la combinación Agente + Flujo de Trabajo destaca en cuanto a seguridad.
El flujo de trabajo:
- Prompt para analistas: "Aísla al anfitrión implicado en la alerta BlackCat."
- Razonamiento del agente: El agente identifica al
host123anfitrión en el contexto de la investigación. Crea un plan para activar el flujo de trabajo de "Aislamiento del Host". - Punto de decisión: El Agente presenta el plan al usuario: "Estoy a punto de activar el flujo de trabajo 'Aislar al host' para host123 a través de Elastic Defend."
- Ejecución del flujo de trabajo: El flujo de trabajo determinista ejecuta el comando de aislamiento mediante Elastic Defend (XDR), cerciorando que la acción se registre y se realice exactamente según lo definido por tu equipo de ingeniería.
- Resultado: El huésped se aísla inmediatamente.
Impacto en el usuario: Obtienes la facilidad de interacción con lenguaje natural con la seguridad y las auditorías de la automatización codificada.
Nos estamos alejando de un mundo en el que tienes que elegir entre chat flexible con IA y manuales rígidos de SOAR. El futuro es un SOC autónomo donde ambos están inextricablemente ligados.
Al usar Agent Builder para crear agentes personalizados que comprendan tu entorno específico (usando RAG con tus propios datos) y equipándolos con Elastic Workflows como herramientas, multiplicas eficazmente la capacidad de tu equipo y escalas la experiencia en escalar. No solo estás desplegando un chatbot; Estás desplegando a un miembro virtual que conoce tus libros de gestos, respeta tus licencias y trabaja las 24 horas del día, los 7 días de la semana.
Para obtener información más detallada sobre cómo empezar con Agent Builder, lee este blog.
Agent Builder y Workflows ya están disponibles como vista previa técnica. Empieza con una prueba de Elastic Cloud y consulta la documentación de Agent Builder aquí y los flujos de trabajo aquí.