Saltar a contenido
Empezar
Open search

Agentes IA de Sophos: agilizando el MDR y potenciando el SOC agencial

Inteligencia agencial en Sophos MDR: un enfoque práctico y centrado en los resultados

Elvis Hovor

Escrito por Elvis Hovor

Sophos MDR AI Agents
Products & ServicesMDRSophos MDRAI

La IA está transformando la ciberseguridad. Los atacantes utilizan la IA para acelerar el reconocimiento, generar malware, personalizar el phishing y automatizar partes de la cadena de ataque. Los defensores se enfrentan ahora a un problema humano-más-máquina, que requiere de la IA para aumentar la capacidad de los analistas, acelerar las decisiones y reforzar los resultados.

Sophos lleva casi una década incorporando la IA en toda su cartera de productos. La IA agencial es ahora una parte fundamental de esa estrategia.

Dentro de Sophos Managed Detection and Response (MDR), la IA agencial automatiza la clasificación y la investigación en las primeras etapas, al tiempo que mantienen a los analistas firmemente en control. El resultado es una detección más rápida, una respuesta más rápida y un SOC más eficiente.

Cómo utiliza Sophos MDR los agentes de IA de Sophos

Los agentes de IA son motores autónomos que ejecutan flujos de trabajo definidos sin necesidad de indicaciones humanas. Se diferencian de los asistentes de IA, que responden a las preguntas de los analistas.

Sophos MDR utiliza actualmente dos agentes de IA de nivel de producción, ambos diseñados por nuestro equipo interno de IA y perfeccionados con nuestros analistas de MDR, para acelerar la gestión de casos y mejorar la eficiencia del SOC.

Agente de clasificación: reduce el ruido y prioriza lo que importa

El agente de clasificación funciona de forma continua y se activa en el momento en que se crea una nueva detección. Además puede:

  • Analizar señales contextuales, como ID de correlación y telemetría histórica.
  • Identificar actividades de pruebas de penetración benignas.
  • Eliminar detecciones duplicadas o redundantes.
  • Asignar la gravedad del caso para determinar si es necesaria la revisión de un analista.

Esta clasificación automatizada reduce el ruido de las alertas en más de un 60 % y garantiza que los analistas se centren en los eventos que realmente importan.

Agente de investigación de casos: investigaciones rápidas y explicables

Cuando un caso se promueve para su revisión, el agente de investigación de casos toma el control. Además puede:

  • Crear una línea de tiempo de comportamiento utilizando telemetría en tiempo de ejecución y detecciones correlacionadas.
  • Enriquecer los indicadores de compromiso (IoC), realiza comprobaciones de reputación y analiza la actividad de la línea de comandos (incluida la desofuscación).
  • Generar pasos de investigación dinámicos adaptados a la amenaza.
  • Repetir las pruebas, ajustando el plan a medida que surge nueva información.
  • Producir un veredicto claro y explicable y recomienda acciones.

Este agente reduce el tiempo medio de investigación hasta en un 50 %, lo que proporciona a los analistas una base estructurada y auditable para una rápida toma de decisiones.

Reductions.png

La validación humana sigue siendo fundamental. Los agentes aceleran el trabajo, mientras que los analistas de Sophos MDR confirman los hallazgos, refinan las conclusiones y toman medidas.

Resultados medibles del SOC

Los agentes de IA de Sophos refuerzan las operaciones de MDR en todas las etapas:

Mayor rapidez en la intervención de los analistas: los eventos rutinarios y de baja gravedad se gestionan automáticamente, lo que permite a los analistas centrarse inmediatamente en las amenazas de alto impacto.

Investigaciones más rápidas: los agentes revelan los primeros indicios, enriquecen los datos y proporcionan conclusiones listas para validar.

Acceso constante a la experiencia: los agentes aplican el conocimiento colectivo de los manuales de Sophos MDR y la experiencia de los analistas a gran escala.

Mayor eficiencia de los analistas: la automatización libera a los analistas para que se centren en búsquedas complejas, contención y neutralización de adversarios.

Mejora continua: los agentes se reactivan ante nuevas detecciones y enriquecen los nuevos IoC a medida que avanzan las investigaciones.

Estas capacidades reducen directamente el tiempo medio de detección (MTTD) y el tiempo medio de respuesta (MTTR) para los clientes de Sophos MDR.

Cómo funcionan los agentes de IA de Sophos

Agente de clasificación de casos: automatización de la primera respuesta

El agente de clasificación realiza una secuencia estructurada de acciones, entre las que se incluyen:

  • Extracción de entidades y observables (hosts, usuarios, procesos, IoC)
  • Clasificación de la actividad de pruebas de penetración
  • Vinculación de detecciones relacionadas para evitar casos duplicados
  • Asignación de gravedad basada en señales contextuales

Esto garantiza que los analistas dediquen su tiempo a las amenazas más relevantes y de mayor impacto.

Agente de investigación de casos: análisis profundo y adaptativo

El agente de investigación de casos utiliza tres subagentes coordinados:

  • Generación de planes: crea un conjunto dinámico de pasos de investigación.
  • Ejecución: ejecuta consultas, realiza llamadas a la API y recupera resultados.
  • Análisis: enriquece los IoC, extrae entidades y actualiza el estado de la investigación.

El agente repite el proceso hasta que tiene pruebas suficientes para elaborar un informe completo que incluye el veredicto, el resumen, los IoC, la cronología y las acciones recomendadas.

Juntos, estos agentes actúan como socios de investigación siempre activos, acelerando la gestión temprana de los casos y ofreciendo resultados estructurados y explicables.

Agente, pero centrado en el ser humano

En Sophos, nuestro enfoque de la IA agente se basa en tres principios:

  • IA integrada: la IA se integra directamente en los flujos de trabajo de MDR, no se añade posteriormente.
  • Transparencia: todas las acciones automatizadas son explicables y auditables.
  • Humanos en el bucle: los analistas siguen siendo responsables y están capacitados.

Estos principios garantizan que la IA agencial amplíe la experiencia humana en lugar de sustituirla.

Los agentes IA de Sophos ya están proporcionando mejoras cuantificables a los clientes de MDR al reducir el ruido, acelerar las investigaciones y reforzar las defensas contra los ataques avanzados dirigidos por humanos.

El camino a seguir: el SOC con IA

Los agentes IA de MDR son el primer paso hacia una visión más amplia del SOC con IA. Estamos ampliando las capacidades de IA en toda la plataforma de Sophos, incluyendo:

  • Agentes mejorados que generan hipótesis, recopilan contexto y proponen acciones
  • Cobertura ampliada en red, identidad, correo electrónico y nube
  • Agentes IA para clientes y socios de XDR
  • Hiperautomatización a través de IA + SOAR
  • Gobernanza, visibilidad y seguridad de tiempo de ejecución unificadas de IA

Este SOC de última generación funciona con agentes autónomos pero supervisados que amplían el impacto de los analistas y ofrecen resultados de seguridad consistentes y de alta calidad.

Más información

Explora nuestras tecnologías de IA en Sophos.com/AI y obtén más información sobre Sophos MDR en Sophos.com/MDR. Además, nuestros Principios de IA y Preguntas frecuentes sobre IA responsable están disponibles en el Sophos Trust Center.

Acerca del autor

Elvis Hovor

Elvis Hovor

Elvis Hovor is Senior Director of Product Management at Sophos, where he drives AI strategy and product innovation. With nearly 20 years in cybersecurity, he has led product strategy across startups and global enterprises, building solutions that protect Enterprise and Fortune 500 organizations worldwide.