Graças aos avanços rápidos nos copilotos de segurança impulsionados por IA, os centros de operações de segurança (SOCs) estão vendo as taxas de falsos positivos caírem em até 70%, enquanto economizam mais de 40 horas por semana em triagem manual.
A última geração de copilotos foi além das interfaces de chat. Esses sistemas de IA agentes são capazes de remediação em tempo real, aplicação automatizada de políticas e triagem integrada em domínios de nuvem, endpoint e rede. Projetados para se integrar dentro de SIEM, SOAR e pipelines de XDR, eles estão fazendo contribuições sólidas para melhorar a precisão, eficiência e velocidade de resposta dos SOCs.
A Microsoft lançou hoje seis novos agentes de Security Copilot — incluindo aqueles para triagem de phishing, risco interno, acesso condicional, remediação de vulnerabilidades e inteligência de ameaças — juntamente com cinco agentes construídos por parceiros, conforme detalhado no post do blog de Vasu Jakkal.
Os ganhos quantificáveis no desempenho do SOC estão crescendo. O tempo médio para restaurar está melhorando em 20% ou mais, e os tempos de detecção de ameaças caíram em pelo menos 30% nos SOCs que implementam essas tecnologias. Quando os copilotos são usados, a KPMG relata um aumento de 43% na precisão da triagem entre analistas juniores.
Analistas de SOCs dizem à VentureBeat, sob condição de anonimato, como seus trabalhos são frustrantes quando precisam interpretar alertas de múltiplos sistemas e triagem manualmente cada alerta de intrusão.
A integração de cadeira giratória está viva e bem em muitos SOCs hoje, e embora economize em custos de software, queima os melhores analistas e líderes. O burnout não deve ser descartado como um problema isolado que acontece apenas em SOCs que têm analistas fazendo turnos consecutivos porque estão com falta de pessoal. É muito mais abrangente do que os líderes de segurança percebem.
Mais de 70% dos analistas de SOCs dizem que estão esgotados, com 66% relatando que metade de seu trabalho é repetitivo o suficiente para ser automatizado. Além disso, quase dois terços estão planejando mudar de função até 2025 e a necessidade de aproveitar os rápidos ganhos da IA na automação dos SOCs se torna inevitável.
Os copilotos de segurança de IA estão ganhando força à medida que mais organizações enfrentam os desafios de manter seus SOCs eficientes e suficientemente pessoal para conter ameaças. A última geração de copilotos de segurança de IA não apenas acelera a resposta, mas está se mostrando indispensável na formação e retenção de funcionários, eliminando trabalho rotineiro e abrindo novas oportunidades para os analistas de SOC aprenderem e ganharem mais.
“Eu sou frequentemente questionado se isso significa que os analistas de SOC ficarão sem trabalho? Não. O que isso significa? Significa que você pode transformar analistas de nível um em nível três, você pode pegar as oito horas de trabalho mundano e transformá-las em 10 minutos”, disse George Kurtz, fundador e CEO da CrowdStrike, em seu evento Fal.Con no ano passado.
“O caminho a seguir não é eliminar o elemento humano, mas capacitar os humanos com assistentes de IA”, diz o CIO da Ivanti, Robert Grazioli, enfatizando como os copilotos de IA reduzem tarefas repetitivas e liberam os analistas para se concentrarem em ameaças complexas. Grazioli acrescentou: “o burnout dos analistas é impulsionado por tarefas repetitivas e um fluxo contínuo de alertas de baixa fidelidade. Os copilotos de IA cortam esse ruído, permitindo que os especialistas enfrentem os problemas mais difíceis.” A pesquisa da Ivanti descobriu que as organizações que adotam a triagem de IA podem reduzir falsos positivos em até 70%.
Vineet Arora, CTO da WinWire, concorda, dizendo à VentureBeat que “a abordagem ideal é tipicamente usar a IA como um multiplicador de força para os analistas humanos, em vez de um substituto. Por exemplo, a IA pode lidar com a triagem inicial de alertas e respostas rotineiras a problemas de segurança, permitindo que os analistas se concentrem em ameaças sofisticadas e trabalho estratégico. A equipe humana deve manter a supervisão dos sistemas de IA enquanto os utiliza para reduzir a carga de trabalho mundana.”
O Relatório de Estado da Cibersegurança de 2025 da Ivanti descobriu que, apesar de 89% dos conselhos chamarem a segurança de uma prioridade, sua pesquisa mais recente revela lacunas na capacidade das organizações de se defender contra ameaças de alto risco. Cerca de metade dos executivos de segurança entrevistados, 54%, dizem que a segurança de ATI generativa (gen IA) é sua principal prioridade orçamentária para este ano.
O objetivo: transformar enormes quantidades de telemetria bruta em tempo real em insights.
Por sua natureza, os SOCs são continuamente inundados com dados compostos principalmente por logs de endpoints, logs de eventos de firewall, avisos de mudança de identidade e logs e, para muitos, novos relatórios de análises comportamentais.
Os copilotos de segurança de IA estão se mostrando eficazes em separar os sinais que importam do ruído. Controlar a relação sinal-ruído aumenta a precisão, os insights e a velocidade de resposta da equipe do SOC.
Em vez de se afogar em alertas, as equipes de SOC estão respondendo a incidentes priorizados e de alta fidelidade que podem ser triados automaticamente.
A Charlotte AI da CrowdStrike processa mais de 1 trilhão de sinais de alta fidelidade diariamente a partir da plataforma Falcon e é treinada em milhões de decisões reais de analistas. Ela triagem autonomamente detecções de endpoints com mais de 98% de concordância com especialistas humanos, economizando às equipes uma média de mais de 40 horas de trabalho manual por semana.
Os clientes do Microsoft Security Copilot estão relatando que estão economizando até 40% do tempo de seus analistas de segurança em tarefas fundamentais, incluindo investigação e resposta, caça a ameaças e avaliações de inteligência de ameaças. Em tarefas mais mundanas, como preparar relatórios ou solucionar problemas menores, o Security Copilot entregou ganhos de eficiência de até e acima de 60%.
No diagrama a seguir, a Gartner define como o Microsoft Copilot for Security gerencia prompts de usuários, plugins de segurança integrados e de terceiros, além do processamento de modelos de linguagem de grande porte (LLM) dentro de uma estrutura de IA responsável.
Fluxo de trabalho de alto nível do Microsoft Copilot for Security, destacando criptografia, fundamentação, suporte a plugins e considerações de IA responsável. Fonte: Gartner, Considerações sobre Adoção do Microsoft Copilot for Security, Out.2023
Assim como a CrowdStrike, quase todos os provedores de copilotos de segurança de IA enfatizam o uso da IA para aumentar e fortalecer as habilidades da equipe do SOC, em vez de substituir pessoas por copilotos.
Nir Zuk, fundador e CTO da Palo Alto Networks, disse à VentureBeat recentemente que “nossas plataformas impulsionadas por IA não visam remover analistas do processo; elas unificam o fluxo de trabalho do SOC para que os analistas possam fazer seus trabalhos de forma mais estratégica.” Da mesma forma, Jeetu Patel, EVP e GM de segurança e colaboração da Cisco, disse: “O verdadeiro valor da IA é como ela reduz a lacuna de talentos em cibersegurança — não automatizando os analistas fora da imagem, mas tornando-os exponencialmente mais eficazes.”
Rastreando a rápida ascensão dos copilotos de segurança de IA
Os copilotos de segurança de IA estão rapidamente remodelando como as empresas de médio porte detectam, investigam e neutralizam ameaças. A VentureBeat acompanha esse ecossistema em expansão, onde cada solução avança a triagem automatizada, cobertura nativa da nuvem e inteligência preditiva de ameaças.
Abaixo está uma visão geral dos principais copilotos de hoje, destacando seus diferenciais, foco em telemetria e ganhos no mundo real. O Guia de Copilot de Segurança da VentureBeat (Google Sheet) fornece uma matriz completa com 16 copilotos de segurança de IA de fornecedores.
Fonte: Análise da VentureBeat
A Charlotte da CrowdStrike, a Purple AI da SentinelOne e a WISE da Trellix já estão triando, isolando e remediando ameaças sem intervenção humana. O Google e a Microsoft estão incorporando pontuação de risco, auto-mitigação e mapeamento de superfície de ataque em nuvem em seus copilotos.
A recente aquisição do Wiz pelo Google terá um impacto significativo na adoção de copilotos de segurança de IA como parte de uma estratégia mais ampla de CNAPP em muitas organizações.
Plataformas como Observo Orion ilustram o que vem a seguir: copilotos agentes unificando DevOps, observabilidade e dados de segurança para fornecer defesas proativas e automatizadas. Em vez de apenas detectar ameaças, eles orquestram fluxos de trabalho complexos, incluindo reversões de código ou isolamento de nós, unindo segurança, desenvolvimento e operações no processo.
O objetivo final não é apenas sobre assistentes de programação pessoais inteligentes e orientados por prompts; trata-se de integrar a tomada de decisões impulsionada por IA em todos os fluxos de trabalho do SOC.
Os principais casos de uso dos copilotos de segurança de IA hoje
Quanto melhor um determinado caso de uso pode se integrar aos fluxos de trabalho dos analistas de SOC, maior seu potencial para escalar e entregar um forte valor. O núcleo da escala da arquitetura de um copiloto de segurança de IA é a capacidade de ingerir dados de fontes de telemetria heterogêneas e identificar decisões precocemente no processo, mantendo-as em contexto.
Aqui está onde a adoção está escalando mais rapidamente:
Acelerando a triagem: Analistas de nível 1 usando copilotos, incluindo o Microsoft Security Copilot e a Charlotte AI, podem reduzir a triagem para minutos em vez de muitas horas. Isso é possível devido a modelos pré-treinados que sinalizam táticas, técnicas e procedimentos (TTPs) conhecidos, cruzam informações de inteligência de ameaças e resumem descobertas com pontuações de confiança.
Desduplicação de alertas e supressão de ruído: Observo Orion e Trellix WISE usam filtragem contextual para correlacionar telemetria de múltiplas fontes, eliminando ruído de baixa prioridade. Isso reduz a fadiga de alertas em até 70%, liberando as equipes para se concentrarem em sinais de alta fidelidade. O Assistente de IA da Sophos XDR alcança resultados semelhantes para SOCs de médio porte com equipes menores.
Aplicação de políticas e ajuste de firewall: O Assistente de IA da Cisco e os copilotos Cortex da Palo Alto sugerem e implementam dinamicamente mudanças de políticas com base em limiares de telemetria e detecção de anomalias. Isso é crítico para SOCs com topologias de firewall complexas e distribuídas e mandatos de zero confiança.
Correlação entre domínios: O Security Copilot (Microsoft) e a Purple AI da SentinelOne integram telemetria de identidade, logs de SIEM e dados de endpoints para detectar movimento lateral, escalonamento de privilégios ou atividade suspeita de múltiplos saltos. Os analistas recebem playbooks contextuais que reduzem a análise de causa raiz em mais de 40%.
Validação de exposição e simulação de violação: O Cymulate AI Copilot emula a lógica da equipe vermelha e testa a exposição contra novas CVEs, permitindo que os SOCs validem controles proativamente. Isso substitui etapas de validação manual por testes de postura automatizados integrados em fluxos de trabalho SOAR.
Interação SIEM em linguagem natural: O Exabeam Copilot e o Assistente de IA da Splunk permitem que os analistas convertam consultas em linguagem natural em comandos executáveis de SIEM. Isso democratiza as capacidades de investigação, especialmente para funcionários menos técnicos, e reduz a dependência do conhecimento profundo da linguagem de consulta.
Redução de risco de identidade: O Oleria Copilot escaneia continuamente contas inativas, direitos de acesso excessivos e direitos não vinculados. Esses copilotos geram automaticamente planos de limpeza e aplicam políticas de menor privilégio, ajudando a reduzir a superfície de ameaça interna em ambientes híbridos.
Conclusão: Copilotos não substituem analistas, eles amplificam e escalam suas experiências e forças
Ao integrar telemetria de identidade, endpoint e rede, os copilotos reduzem o tempo necessário para identificar movimento lateral e escalonamento de privilégios, duas das fases mais perigosas em uma cadeia de ataque. Como Elia Zaitsev, CTO da CrowdStrike, explicou à VentureBeat em uma conversa anterior: trata-se menos de substituir funções humanas e mais de apoiar e aumentar essas funções.
Ferramentas impulsionadas por IA devem ser vistas como parceiras colaborativas para as pessoas — um conceito que é especialmente crucial na cibersegurança. Zaitsev alertou que focar em substituir completamente os profissionais humanos, em vez de trabalhar ao lado deles, é uma estratégia equivocada.