A IA da CrowdStrike reduz a triagem manual em mais de 40 horas por semana.

À medida que as equipes dos centros de operações de segurança (SOC) enfrentam volumes crescentes de alertas, a CrowdStrike está lançando o Charlotte AI Detection Triage, que automatiza a avaliação de alertas com mais de 98% de precisão e reduz o trabalho manual de triagem em mais de 40 horas por semana, tudo isso sem perder controle ou precisão.

“Não poderíamos ter feito isso sem a nossa equipe do Falcon Complete”, disse Elia Zaitsev, CTO da CrowdStrike, ao VentureBeat. “Eles fazem triagem como parte de seu fluxo de trabalho, tratando manualmente milhões de detecções. Esse conjunto de dados de alta qualidade, anotado por humanos, foi o que tornou possível a precisão de mais de 98%.”

Ele continuou: “Reconhecemos que os adversários estão cada vez mais utilizando IA para acelerar os ataques. Com o Charlotte AI, estamos proporcionando aos defensores uma base igualitária — ampliando sua eficiência e garantindo que possam acompanhar os atacantes em tempo real.”

Como o Charlotte AI Detection Triage traz maior escala e velocidade para os SOCs

As equipes dos SOC estão em uma corrida contra o tempo todos os dias, especialmente quando se trata de conter os tempos de explosão. O recent global threat report da CrowdStrike descobriu que os adversários agora conseguem realizar a explosão em 2 minutos e 7 segundos após ganhar acesso inicial.

O principal objetivo arquitetônico do Charlotte AI Detection Triage é automatizar a triagem do SOC e reduzir as cargas de trabalho manuais, mantendo mais de 98% de precisão na avaliação de ameaças. A CrowdStrike relata esse número de precisão com base em dados contínuos do mundo real provenientes do ambiente Falcon Complete, que processa milhões de decisões de triagem mensalmente.

Desenhada para se integrar a fluxos de trabalho de segurança existentes e se adaptar continuamente a ameaças em evolução, a plataforma permite que as equipes do SOC operem de forma mais eficiente e respondam a incidentes críticos mais rapidamente.

Os principais recursos incluem:

Triagem autônoma e fechamento de alertas de baixo risco: Filtra falsos positivos e fecha alertas de baixo risco, permitindo que os analistas se concentrem em ameaças genuínas. Esse processo reduz o ruído e permite que as equipes do SOC priorizem incidentes de alto impacto, minimizando a fadiga de alertas.

Integração do Falcon Fusion para resposta automatizada. Incorpora a plataforma de orquestração de segurança, automação e resposta (SOAR) da CrowdStrike para simplificar a triagem de detecções e automatizar fluxos de trabalho de resposta. Estas são baseadas em limiares de confiança e reduzem o tempo médio de resposta (MTTR), garantindo que os analistas recebam apenas as detecções mais relevantes e de alta fidelidade.

“Em iterações anteriores de IA, um analista tinha que invocar Charlotte manualmente”, disse Elia Zaitsev, CTO da CrowdStrike, ao VentureBeat. “Agora, através do Fusion, ele pode operar de forma autônoma — triando milhares de alertas automaticamente e até mesmo acionando respostas quando a confiança é alta. Essa escala é o que mais me entusiasma.”

Aprendizado contínuo com o maior conjunto de dados de SOC da indústria: Ao aprender continuamente com milhões de decisões de triagem rotuladas por especialistas dentro do Falcon Complete, o Charlotte AI Detection Triage se adapta, em tempo real, a técnicas de ataque emergentes. Diferente de modelos de IA genéricos, que dependem de conjuntos de dados estáticos, ele refina sua precisão com base em dados reais de SOC, garantindo precisão mesmo à medida que os adversários evoluem suas táticas.

“O que realmente me empolga mais é que [nossos clientes] podem conectá-lo à automação da plataforma e ter sua triagem automaticamente em todas as detecções”, disse Zaitsev. “Não apenas triagem de todas as detecções, mas podemos pegar a saída usando o Fusion e usá-la para conduzir a tomada de decisões adicionais.”

Ele explicou: “Por exemplo, Charlotte diz que é um verdadeiro positivo com alta confiança, pega o resumo e abre um caso de suporte ou um ticket, encaminha para a equipe, que toma uma ação automatizada como ‘conter o sistema’. Isso tudo está acontecendo em um volume e escala muito, muito maiores, que é outra parte que realmente me entusiasma sobre essa capacidade.”​

CrowdStrike lança a arquitetura multi-IA “deploying the droids” para desafios dos SOC

A natureza das ameaças que um SOC enfrenta está mudando mais rápido do que muitas abordagens manuais conseguem acompanhar, às vezes sobrecarregando sistemas automatizados. Os desafios crescentes de altos volumes de alerta e restrições de recursos estão se mostrando um caso convincente para a implantação de múltiplos agentes de IA especializados.

A CrowdStrike refere-se à sua arquitetura multi-IA como uma abordagem de “deploying the droids”, onde cada agente especializado ou “droid” é treinado para tarefas específicas. Em vez de depender de um único modelo de IA, o Charlotte AI coordena múltiplos agentes de IA especializados, cada um treinado para tarefas específicas. Esses agentes de IA trabalham juntos para analisar, interpretar e responder a incidentes de segurança, melhorando a precisão e reduzindo o ônus sobre os analistas.

Conforme Marian Radu da CrowdStrike detalha em Deploying the droids: Optimizing Charlotte AI’s performance with a multi-AI architecture, esse sistema integra avanços em pesquisas de IA generativa, o vasto conjunto de dados de inteligência de ameaças da CrowdStrike e a telemetria cross-domain que inclui mais de uma década de dados de segurança rotulados por especialistas. Ao selecionar dinamicamente a melhor série de agentes de IA para cada tarefa, o Charlotte AI melhora a detecção e a resposta a ameaças, reduzindo falsos positivos e otimizando fluxos de trabalho do SOC.

O diagrama abaixo ilustra como os agentes de IA específicos para tarefas do Charlotte AI operam, desmembrando cada etapa do processo. Essa abordagem estruturada e impulsionada por IA permite que as equipes do SOC trabalhem de forma mais eficiente sem sacrificar a precisão ou o controle.

O Charlotte AI processa consultas de usuários através de um sistema coordenado de agentes de IA especializados. Cada agente recebe um papel distinto, desde enriquecimento de entidades e planejamento de respostas até validação e sumarização, garantindo respostas precisas e eficientes para as equipes do SOC.

IA Agente é o novo DNA da segurança do SOC

A recente Pesquisa sobre o Estado da IA em Cibersegurança da CrowdStrike é baseada em entrevistas com mais de 1.000 profissionais de cibersegurança e destaca os principais impulsionadores da adoção de IA nos SOCs.

Os principais insights incluem:

Adoção de IA orientada pela plataforma: 80% dos entrevistados preferem IA generativa integrada a uma plataforma de cibersegurança em vez de como uma ferramenta independente.

IA projetada para segurança: 76% acreditam que a IA generativa deve ser especificamente projetada para cibersegurança, exigindo profunda expertise em segurança.

Preocupações com violação impulsionam demanda por IA: 74% dos entrevistados foram violados nos últimos 12 a 18 meses ou temem vulnerabilidades, reforçando a urgência da automação de segurança impulsionada por IA.

Retorno sobre investimento em vez de custo: CISOs priorizam soluções de IA que melhoram mensuravelmente a velocidade de detecção e resposta em vez de focar apenas no preço.

Segurança e governança importam: A adoção de IA depende de estruturas claras de segurança, privacidade e governança.

“As equipes de segurança querem ferramentas de IA generativa construídas para cibersegurança por especialistas em cibersegurança”, afirma o relatório. “As organizações avaliarão seus investimentos em IA com base em resultados tangíveis: tempos de resposta mais rápidos, tomada de decisão aprimorada e ROI mensurável através da operação de segurança simplificada.”

Garantindo IA através da ‘autonomia limitada’: Como a CrowdStrike orienta a adoção responsável do Charlotte

A pesquisa da CrowdStrike mostra que 87% dos líderes de segurança implementaram ou estão desenvolvendo novas políticas para governar a adoção de IA, impulsionadas por preocupações sobre exposição de dados, ataques adversariais e “alucinações” que geram insights enganosos.

Esses desafios são especialmente relevantes para o Charlotte AI Detection Triage, que aproveita IA em escala para automatizar fluxos de trabalho do SOC.

Em Cinco Perguntas que as Equipes de Segurança Precisam Fazer para Usar IA Generativa de Forma Responsável, Mike Petronaci e Ted Driggs observam que a IA generativa reduz barreiras para atacantes, permitindo ameaças mais sofisticadas.

A CrowdStrike mitiga esses riscos com um conceito que Zaitsev descreve como “autonomia limitada” — dando aos clientes controle sobre quanta autoridade a IA tem na triagem e na resposta.

Conforme Zaitsev explica: “Diferentes organizações terão diferentes níveis de ceticismo e diferentes tolerâncias ao risco… Uma das boas coisas, por causa da forma como integramos [Charlotte AI] com o sistema de automação, é que nossos clientes realmente têm a oportunidade de determinar, aproveitando essa integração do Fusion, onde, quando e como confiar no sistema… Em última análise, estamos dando aos nossos clientes o controle e a latitude para decidir como e onde querem essa automação. Ceticismo é apenas uma maneira de refletir sua tolerância ao risco.”

Ao aprender continuamente com dados reais do SOC dentro do Falcon Complete, o Charlotte AI Detection Triage se adapta a ameaças em evolução enquanto reduz a fadiga de alertas. Através da “autonomia limitada”, as equipes de segurança aproveitam a velocidade e a eficiência da triagem automatizada impulsionada por IA, enquanto preservam os limites necessários para uma adoção responsável e realista.