HAQ Logo
Voltar para todas as notícias

IA para Segurança

Usando LLMs para Enriquecimento de Alertas de Segurança

03 de Novembro, 2025
SOC
Automação
Threat Intelligence

Uma das maiores dores dos Centros de Operações de Segurança (SOCs) é a 'fadiga de alertas' — o enorme volume de alertas de segurança gerados por diversas ferramentas, muitos dos quais são falsos positivos. Os analistas de segurança gastam uma quantidade significativa de tempo em tarefas de triagem repetitivas, em vez de se concentrarem em investigações de alto valor. A Inteligência Artificial, especificamente os LLMs, está emergindo como uma ferramenta poderosa para automatizar o 'enriquecimento de alertas', transformando a eficiência e a eficácia do SOC.

O enriquecimento de alertas é o processo de pegar um alerta de segurança bruto e de baixo contexto e adicionar informações contextuais para ajudar o analista a tomar uma decisão rápida e informada. Um LLM pode ser automatizado para atuar como um 'analista júnior virtual'. Quando um alerta é gerado (por exemplo, 'Login suspeito para o usuário João da conta XPTO a partir do IP 1.2.3.4'), um playbook de SOAR (Security Orchestration, Automation, and Response) pode acionar um LLM para realizar uma série de ações em segundos.

O LLM pode ser instruído a: 1) Pesquisar o endereço IP em múltiplas bases de dados de threat intelligence (como VirusTotal e AbuseIPDB) para ver se ele está associado a atividades maliciosas. 2) Consultar o sistema de RH da empresa para verificar o cargo do usuário João, seu horário de trabalho normal e seu local de trabalho. 3) Verificar no sistema de gerenciamento de ativos se o dispositivo usado no login é um dispositivo corporativo gerenciado ou um dispositivo pessoal. 4) Analisar os logs de autenticação recentes de João para ver se esse comportamento é anômalo.

Após coletar todas essas informações, o LLM pode apresentar um resumo conciso e em linguagem natural para o analista humano, juntamente com uma pontuação de risco e uma recomendação de ação. Por exemplo: 'Alerta de Risco Alto: Login para o usuário João (Contador) às 3h da manhã de um IP na Romênia associado a uma botnet conhecida. O dispositivo não é gerenciado. Recomenda-se bloquear a conta imediatamente e iniciar a resposta a incidentes'. Isso transforma um alerta de baixo contexto em inteligência acionável, permitindo que o analista tome uma decisão em segundos, em vez de minutos ou horas.