Os líderes do SOC enfrentam uma batalha diária contra cálculos matemáticos básicos que não fecham. O volume de dados está crescendo exponencialmente, as superfícies de ataque estão se expandindo globalmente, mas a capacidade da sua equipe permanece linear. Você não vai resolver esse problema contratando mais pessoas.
Tentar acompanhar alertas individuais é uma estratégia fadada ao fracasso. Para termos sucesso, precisamos ir além de simples scripts de automação e entrar na era da IA Agenética.
Na Elastic, vemos a operação de segurança moderna como um sistema nervoso operacional. Precisa de Sentidos (a base de dados para ver tudo), um Cérebro 🧠 (análises orientadas por IA para encontrar o sinal no ruído) e Mãos 🙌 (fluxos de trabalho para executar ações e gerar resultados).
Com a introdução do Agent Builder e do Elastic Workflows, estamos unificando esses elementos. Não estamos apenas oferecendo um chatbot; estamos oferecendo a capacidade de construir um SOC autônomo onde os agentes raciocinam sobre os dados e os fluxos de trabalho executam ações sofisticadas — bidirecionalmente.
Veja como esses dois poderosos mecanismos trabalham juntos para transformar suas operações de segurança.
O poder do "cérebro" e das "mãos" trabalhando juntos.
Para entender por que essa combinação é significativa, precisamos diferenciar seus papéis.
- Fluxos de trabalho elásticos (As mãos): Estes são determinísticos. São perfeitas para processos rígidos e repetíveis — "Se X acontecer, crie um ticket no Jira, notifique o Slack e isole o responsável." Eles proporcionam estrutura, auditabilidade e confiabilidade.
- Construtor de Agentes (O Cérebro): Os agentes são probabilísticos e baseados em raciocínio. Eles percebem o ambiente, planejam uma sequência de etapas e se adaptam. Um agente pode analisar um relatório de ameaça vago e decidir quais consultas executar para encontrar evidências.
A mágica acontece quando eles interagem: antes, era preciso escolher entre um roteiro rígido ou uma investigação manual. Agora, os fluxos de trabalho podem invocar agentes para realizar análises complexas durante um ciclo de automação, e os agentes podem invocar fluxos de trabalho como ferramentas para executar ações confiáveis e complexas durante um chat.
O que isto não é
Para que fique claro: não se trata de substituir seus analistas. Trata-se de eliminar o trabalho árduo que os impede de realizar o trabalho que realmente importa: o pensamento criativo e crítico que nenhum modelo consegue replicar. O objetivo é transformar sua equipe de uma equipe reativa que busca logs para uma equipe proativa que busca ameaças. O agente cuida do trabalho braçal; sua equipe cuida das decisões importantes.
Caso de uso: Triagem automatizada no momento do alerta
Do alerta à análise sem intervenção humana
Vamos analisar um cenário do mundo real envolvendo um ataque de ransomware (ex: BlackCat/ALPHV - uma operação de ransomware como serviço). Em uma configuração tradicional, um alerta é acionado e um analista gasta 30 minutos coletando registros, verificando os totais de vírus e escrevendo um resumo.
Com o Elastic, toda essa fase de triagem é automatizada antes que o analista abra seu laptop, reduzindo o tempo médio de triagem de 30 minutos para menos de 2 minutos.
O fluxo de trabalho:
- Acionar: A descoberta de ataques é executada de acordo com um cronograma e correlaciona 15 alertas distintos em uma única cadeia de ataques de alta fidelidade.
- Etapa do fluxo de trabalho (Enriquecimento): O fluxo de trabalho é acionado automaticamente e percorre todas as entidades envolvidas — hosts, usuários, hashes de arquivos. Ele realiza uma pesquisa em fontes de inteligência de ameaças como o VirusTotal.
- Etapa do fluxo de trabalho (Invocar agente): O fluxo de trabalho passa esse conjunto de dados para um "Agente de Triagem" específico.
- Execução do agente: O agente não se limita a copiar e colar dados. Ele analisa a cadeia de ataque, compara-a com a estrutura MITRE ATT&CK, correlaciona registros relacionados e gera um resumo de investigação legível por humanos, adaptado para um analista de nível 2 .
- Resultado: O fluxo de trabalho publica essa análise gerada por IA diretamente em um novo caso, incluindo pontuação de gravidade, investigação detalhada, análise da causa raiz e próximas etapas recomendadas.
Impacto para o usuário: O analista começa o dia revisando um caso totalmente contextualizado, em vez de ficar procurando logs brutos.
Caso de uso: A investigação "com intervenção humana"
Transformando a linguagem natural em ação determinística
Uma vez que um analista inicia uma investigação, muitas vezes precisa realizar tarefas administrativas que interrompem seu fluxo de trabalho, como descobrir quem está de plantão, organizar salas de crise ou notificar a liderança.
No Elastic Security, o analista permanece na interface de chat. Como permitimos que você defina fluxos de trabalho como ferramentas para seus agentes, o analista pode simplesmente pedir ao agente que cuide da logística.
O fluxo de trabalho:
- Solicitação do analista: "Temos um incidente confirmado." Quem está de plantão? Por favor, crie um canal no Slack para este incidente e convide-os."
- Raciocínio do agente: O agente reconhece que a intenção corresponde a uma ferramenta de fluxo de trabalho de "Configuração de resposta a incidentes" que você pré-configura.
- Execução do fluxo de trabalho:
- Etapa 1: Consulta a integração do PagerDuty para encontrar o técnico de plantão.
- Passo 2: Chama a API do Slack para criar um canal chamado
#incident-[id]. - Etapa 3: Publica o resumo inicial do caso nesse canal.
- Resultado: O agente confirma ao analista: "Criei o canal #incident-982 e adicionei Jane Doe (de plantão) ao canal."
Caso de uso: Remediação e contenção guiadas
Resposta precisa em alta velocidade
Quando chega a hora de conter uma ameaça, a rapidez é fundamental, mas a segurança também. Você não quer que um profissional de LLM "alucine" uma chamada de API para um firewall. É aqui que a combinação Agente + Fluxo de Trabalho se destaca em termos de segurança.
O fluxo de trabalho:
- Solicitação do analista: "Isolar o host envolvido no alerta BlackCat."
- Raciocínio do agente: O agente identifica o host
host123a partir do contexto da investigação. Ele cria um plano para invocar o fluxo de trabalho de "Isolamento do Host". - Ponto de decisão: O agente apresenta o plano ao usuário: "Estou prestes a acionar o fluxo de trabalho 'Isolar Host' para o host123 via Elastic Defend."
- Execução do fluxo de trabalho: O fluxo de trabalho determinístico executa o comando de isolamento por meio do Elastic Defend (XDR), garantindo que a ação seja registrada e executada exatamente conforme definido pela sua equipe de engenharia.
- Resultado: O hospedeiro é isolado imediatamente.
Impacto para o usuário: Você obtém a facilidade da interação em linguagem natural com a segurança e os registros de auditoria da automação codificada.
Estamos nos afastando de um mundo onde você precisa escolher entre um chat flexível com IA e playbooks rígidos do SOAR. O futuro é um SOC autônomo onde os dois estão inextricavelmente ligados.
Ao usar o Agent Builder para criar agentes personalizados que entendem seu ambiente específico (usando o RAG com seus próprios dados) e equipá-los com o Elastic Workflows como ferramentas, você efetivamente multiplica a capacidade da sua equipe e a expertise em escalabilidade. Você não está apenas implementando um chatbot; você está implementando um membro virtual da equipe que conhece seus procedimentos operacionais padrão, respeita suas permissões e trabalha 24 horas por dia, 7 dias por semana.
Para obter informações mais detalhadas sobre como começar a usar o Agent Builder, leia este blog.
O Agent Builder e os Workflows já estão disponíveis como uma prévia técnica. Comece com uma avaliação gratuita do Elastic Cloud e confira a documentação do Agent Builder aqui e dos Workflows aqui.