Por: Sylvie Liu

Coautores:

Sylvie Liu, directora de producto.

Rajiv Bharadwaja, gerente principal de Ingeniería de Software

Abhishek Kumar, director principal de grupo – Investigación y Operaciones de Seguridad

Los centros de operaciones de seguridad (SOC, por sus siglas en inglés) están bajo presión por una escala y complejidad sin precedentes. La velocidad, la precisión y la consistencia importan más que nunca, y la IA está en todas partes—pero el furor  por sí solo no resuelve el reto. Este blog comparte nuestro recorrido y conocimientos sobre la creación de agentes autónomos de IA para operaciones MDR y explora cómo el cambio a un SOC impulsado por GenAI redefine la colaboración entre humanos e IA.

Más allá de nuestros servicios gestionados, Microsoft Defender Experts se esfuerza por ser un socio de confianza en la evolución de los SOC, para ayudar a los clientes de todo el ecosistema de seguridad a anticipar cambios en los procesos, planificar la mejora de habilidades y adoptar flujos de trabajo agentivos con confianza.

De la visión a la realidad: construir el SOC del futuro

Los atacantes evolucionan a una velocidad sin precedentes, a través del uso de la IA para superar a la escala defensiva. Defender Experts es pionero en la transformación para construir el SOC del futuro al integrar capacidades avanzadas de IA en nuestros flujos de trabajo SOC, algo fundamental para el panorama actual de amenazas. Hemos visto cómo la IA ofrece resultados reales—en nuestro blog anterior, compartimos cómo Defender Experts aplica la IA para cortar el ruido sin comprometer la detección de amenazas reales, lo que permite que el 50% del ruido se triaje de manera automática con alta precisión.

Los agentes de IA autónomos son fundamentales para el SOC del futuro. Nuestra visión es un modelo predictivo y adaptativo donde la IA agente y la automatización eliminen el trabajo manual, aceleran la comprensión contextual y ejecutan tanto tareas individuales como flujos de trabajo complejos. Los analistas se elevan, para actuar como orquestadores de acciones gobernadas, lo que impulsa decisiones de alto impacto y ajusta de manera continua el sistema, para garantizar transparencia y confianza. Los agentes se encargan de tareas repetitivas y que consumen mucho tiempo, mientras que los humanos se mantienen como la autoridad final para los resultados estratégicos. En conjunto, esto crea un SOC que pasa de la gestión reactiva de alertas a una defensa proactiva y explicable. Siempre es auditable y está bajo gobierno humano.

Cómo Microsoft Defender Experts es pionero en este cambio

Defender Experts crea agentes de IA autónomos con conocimientos expertos, barreras definidas por expertos y validación con personas en el bucle para ofrecer resultados estructurados y fiables que aceleran las investigaciones sin comprometer la calidad. Estos agentes de IA están diseñados para impulsar la eficiencia y la coherencia en nuestras operaciones de MDR, ayudándonos a responder a las amenazas de manera más rápida y con confianza.

A medida que avanzamos en este modelo, no solo mejoramos la velocidad y la precisión, sino que redefinimos nuestras operaciones de seguridad. Eso implica replantear los roles de los analistas SOC, la composición de habilidades, el diseño de flujos de trabajo, el soporte de herramientas, la automatización asociada y los sistemas de evaluación y monitorización necesarios para mantener la confianza.

Abhishek Kumar, líder del equipo de operaciones de seguridad de Defender Experts, está implicado a profundidad en esta transformación mientras construimos el SOC impulsado por GenAI. Desde la perspectiva de Abhishek: «Esta es una era emocionante para cualquiera que se implique en investigación y operaciones de seguridad. Vemos un cambio monumental en el que los analistas de seguridad y cazadores de amenazas elevan el rol de tareas rutinarias a ofrecer información de alto valor. Los agentes de IA reducen con rapidez la fatiga de los analistas y liberan tiempo esencial, lo que permite a los expertos centrarse en el pensamiento crítico y el análisis contextual de los incidentes.»

Los agentes no son solo un salto de productividad, sino que permiten a analistas y cazadores investigar mejor amenazas emergentes y ocultas, desarrollar más hipótesis y conectar pistas para desentrañar campañas complejas. El tiempo que antes se dedicaba a trabajos repetitivos ahora se dedica a tareas avanzadas como el análisis de datos de postura, la exploración de gráficos de seguridad y el uso de inteligencia entre productos para descubrir amenazas novedosas e infraestructura de actores de amenazas.

Otra forma en que los agentes autónomos de IA ayudan es a través de la reducción de las cargas cognitivas sobre los humanos y permitir interacciones con los agentes para lograr resultados específicos. Por ejemplo, si hay cientos de intentos de inicio de sesión desde ubicaciones desconocidas, tal vez solo uno o dos merecen investigaciones más profundas, ya que tienen información adicional que el agente podría revelar de manera rápida. De manera similar, un árbol de procesos de punto final que podría requerir un esfuerzo considerable para que los humanos lo analice puede hacerse mucho más rápido con el agente para detectar anomalías sospechosas. Para maximizar el impacto, una habilidad importante que necesitan los analistas SOC es ser capaces de crear y afinar prompts para obtener los conocimientos adecuados con GenAI.

Dentro de la tecnología: Cómo damos vida a los agentes autónomos

Tras bambalinas, ofrecer soluciones basadas en GenAI fiables a gran escala requiere una ingeniería rigurosa y una colaboración continua con los equipos de operaciones de seguridad. Hemos construido agentes de IA sobre una base de barreras definidas por expertos, conjuntos de pruebas seleccionados y comprobaciones de tiempo de despliegue para garantizar la fiabilidad. Ingenieros, analistas de seguridad e investigadores colaboraron para perfeccionar los flujos de trabajo, mejorar la precisión y ampliar la cobertura a medida que los agentes se adaptan a amenazas reales. Cada flujo de trabajo comienza bajo supervisión humana, reforzado por ciclos de retroalimentación eficientes de ingeniería y análisis que aceleran el desarrollo al mantener al mismo tiempo los estándares de seguridad, privacidad y cumplimiento.

Esta transformación también exigió una integración profunda en los sistemas centrales de Defender Experts, desde la gestión de casos hasta los servicios de remediación, lo que requiere ingeniería desde cero para acomodar flujos de trabajo basados en GenAI de larga duración junto con procesos backend asíncronos. También es necesario un motor de orquestación que coordine automatizaciones multicapa, lo que permite que la lógica basada en reglas, las funciones impulsadas por GenAI y los modelos tradicionales de IA trabajen a la perfección, junto con los agentes autónomos de IA para maximizar la calidad, eficiencia y rentabilidad.

El impacto es evidente: los agentes de IA funcionan ahora con el 75% de los incidentes de phishing y malware que llegan a la cola de analistas de Defender Experts. Los agentes de IA llegan de forma autónoma a la determinación del veredicto, la justificación con resúmenes respaldados por datos, consultas del lado del cliente para verificación y pasos accionables de remediación. Con este enfoque combinado de agentes humanos e IA, resolvemos incidentes casi un 72% más rápido, lo que mantiene la calidad y la transparencia.

Para lograrlo, seguimos un proceso deliberado de desarrollo y lanzamiento. Comenzamos con una evaluación interna de casos históricos bajo estrictos controles de privacidad y cumplimiento, lo que establece puntos de referencia para la precisión, la recuperación y la calidad. A continuación, desplegamos a los agentes en «modo oscuro», donde los agentes investigan codo con codo con analistas humanos, lo que permite una monitorización cercana y mejoras iterativas. A partir de ahí, pasamos a un piloto con socios de diseño de clientes para validar métodos y recopilar retroalimentación, antes de expandirnos para una adopción más amplia —todo ello con respaldo humano para revisión y validación. Este enfoque disciplinado de desarrollo autónomo de agentes de IA garantiza que cada paso equilibre autonomía con supervisión, para dar a los clientes la confianza de que las capacidades avanzadas de IA se basan en resultados probados y están diseñadas para fortalecer la resiliencia a gran escala.

Preparándose para el futuro

Nuestra experiencia en el desarrollo agentes de IA autónomos y desplegándolos en operaciones reales de MDR ha reforzado nuestra visión para el SOC del futuro, un modelo colaborativo en el que los humanos permanecen al mando para enseñar y liderar, para trabajar junto a agentes de IA en lugar de ser reemplazados por ellos. Juntos, crean operaciones de seguridad más rápidas, inteligentes y resilientes.

A medida que los equipos SOC acogen el cambio hacia operaciones impulsadas por GenAI, estos conocimientos reflejan el camino que hemos recorrido y ofrecen orientación práctica para ayudar a navegar la transformación con confianza:

• Anticipar cambios en los procesos: Los equipos SOC no seguirán los mismos flujos de trabajo que antes. Prepárense para procesos en evolución y establece con confianza un ciclo de vida para la adopción de IA y agentes.
• Fomentar el cambio de mentalidad: Los analistas acostumbrados a enfoques tradicionales suelen encontrar difícil adoptar nuevos métodos (por ejemplo, ejecutar consultas Kusto frente a escribir prompts, realizar investigación completa de principio a fin frente a aprovechar la salida del agente). Planifiquen la gestión del cambio y proporcionen formación para facilitar esta transición.
• Evolución de las habilidades SOC: Los roles de los analistas cambian en un SOC impulsado por GenAI. Los analistas deben adquirir experiencia en ingeniería de prompts, para ir más allá de las investigaciones manuales de casos para centrarse en tareas avanzadas como el análisis de datos de postura y el aprovechamiento de la inteligencia entre productos para descubrir amenazas novedosas y mapear la infraestructura de los actores de amenazas. Estas habilidades en evolución posicionan a los analistas como tomadores de decisiones estratégicos, para fomentar la colaboración entre humanos e IA para maximizar la eficacia.
• Generar confianza y seguridad: A medida que las operaciones de seguridad adoptan agentes de IA, mantén un sólido ciclo de retroalimentación humano-IA. Las barreras de seguridad y la supervisión humana son esenciales para una automatización fiable.
• Planificar la IA y la automatización multicapa: La automatización todavía desempeña un papel fundamental en las operaciones de seguridad. Exploren cómo orquestar la automatización tradicional y la IA juntas para lograr eficiencia, rentabilidad y calidad constante.

A medida que evolucionamos hacia el SOC del futuro, aprendemos lo que se necesita para que la colaboración entre humanos e IA sea exitosa, y compartiremos esas ideas mientras reimaginamos juntos las operaciones de seguridad.