O SOC empresarial médio recebe 10.000 alertas por dia. Cada um requer 20 a 40 minutos para investigar adequadamente, mas mesmo equipes com pessoal completo só conseguem lidar com 22% deles. Mais do que 60% das equipes de segurança admitiram ignorar alertas que mais tarde se revelou crítico.
Administrar um SOC eficiente nunca foi tão difícil e agora o próprio trabalho está mudando. As tarefas dos analistas de nível 1 — como triagem, enriquecimento e escalonamento — estão se tornando funções de software program, e mais equipes SOC estão recorrendo a agentes supervisionados de IA para lidar com o quantity. Os analistas humanos estão mudando suas prioridades para investigar, revisar e tomar decisões em casos extremos. Os tempos de resposta estão sendo reduzidos.
No entanto, não integrar o perception e a intuição humanos tem um custo alto. Gartner prevê mais de 40% dos projetos de IA da agência serão cancelados até ao last de 2027, sendo os principais impulsionadores o valor empresarial pouco claro e a governação inadequada. Acertar o gerenciamento de mudanças e garantir que a IA generativa não se torne um agente de caos no SOC são ainda mais importantes.
Por que o modelo SOC legado precisa mudar
O esgotamento é tão grave em muitos SOCs hoje que analistas seniores estão considerando mudanças de carreira. Os SOCs legados que possuem vários sistemas que fornecem alertas conflitantes e os muitos sistemas que não conseguem se comunicar entre si estão tornando o trabalho uma receita para o esgotamento, e o pipeline de talentos não pode ser reabastecido mais rápido do que o esgotamento o esvazia.
Documentos do Relatório de Ameaças Globais de 2025 da CrowdStrike tempos de breakout tão rápidos quanto 51 segundos e descobriu que 79% das intrusões estão agora livres de malware. Em vez disso, os invasores dependem de abuso de identidade, roubo de credenciais e técnicas de vida fora da terra. A triagem guide criada para ciclos de resposta de hora em hora não pode competir.
Como Matthew Sharp, CISO da Xactly, disse ao CSO Online: “Os adversários já estão usando IA para atacar na velocidade da máquina. As organizações não podem se defender contra ataques conduzidos pela IA com respostas na velocidade humana.”
Como a autonomia limitada comprime os tempos de resposta
As implantações de SOC que comprimem os tempos de resposta compartilham um padrão comum: autonomia limitada. Os agentes de IA cuidam da triagem e do enriquecimento automaticamente, mas os humanos aprovam ações de contenção quando a gravidade é alta. Essa divisão de processos de trabalho alerta o quantity na velocidade da máquina, ao mesmo tempo que mantém o julgamento humano sobre decisões que acarretam risco operacional.
A detecção baseada em gráficos muda a forma como os defensores veem a rede. SIEMs tradicionais mostram eventos isolados. Os bancos de dados gráficos mostram as relações entre esses eventos, permitindo que os agentes de IA rastreiem caminhos de ataque em vez de fazer a triagem de alertas, um de cada vez. Um login suspeito parece diferente quando o sistema entende que a conta está a dois saltos do controlador de domínio.
Os ganhos de velocidade são mensuráveis. A IA reduz os prazos de investigação de ameaças e aumenta a precisão das decisões dos analistas seniores. Implantações separadas mostram que a triagem orientada por IA alcança mais de 98% de concordância com as decisões de especialistas humanos, ao mesmo tempo que reduz as cargas de trabalho manuais em mais de 40 horas por semana. A velocidade não significa nada se a precisão cair.
ServiceNow e Ivanti sinalizam mudança mais ampla para operações de TI agentes
O Gartner prevê que a IA multiagente na detecção de ameaças aumentará de 5% a 70% de implementações até 2028. A ServiceNow gastou aproximadamente US$ 12 bilhões em aquisições de segurança somente em 2025. A Ivanti, que comprimiu um roteiro de três anos de fortalecimento do kernel em 18 meses, quando os invasores do estado-nação validaram a urgência, anunciou recursos de IA de agência para gerenciamento de serviços de TI, trazendo o modelo de autonomia limitada que remodela os SOCs para a central de serviços. A versão prévia para o cliente será lançada no primeiro trimestre, com disponibilidade geral no last de 2026.
As cargas de trabalho que interrompem os SOCs também estão prejudicando as centrais de serviço. Robert Hanson, CIO do Grand Financial institution, enfrentou a mesma restrição que os líderes de segurança conhecem bem. “Podemos oferecer suporte 24 horas por dia, 7 dias por semana, liberando nossa central de serviços para se concentrar em desafios complexos”, disse Hanson. Cobertura contínua sem quadro proporcional. Esse resultado está impulsionando a adoção em serviços financeiros, saúde e governo.
Três limites de governança para autonomia limitada
A autonomia limitada requer limites de governação explícitos. As equipes devem especificar três coisas: quais categorias de alerta os agentes podem agir de forma autônoma, quais exigem revisão humana, independentemente da pontuação de confiança, e quais caminhos de escalonamento se aplicam quando a certeza cai abaixo do limite. Incidentes de alta gravidade requerem aprovação humana antes da contenção.
Ter a governança em vigor antes de implantar a IA nos SOCs é basic para que qualquer organização obtenha os benefícios de tempo e contenção que esta última geração de ferramentas tem a oferecer. Quando os adversários armam a IA e exploram ativamente as vulnerabilidades CVE mais rapidamente do que os defensores respondem, a detecção autônoma se torna a nova aposta para permanecer resiliente em um mundo de confiança zero.
O caminho a seguir para os líderes de segurança
As equipes devem começar com fluxos de trabalho onde a falha seja recuperável. Três fluxos de trabalho consomem 60% do tempo do analista e contribuem com um valor investigativo mínimo: triagem de phishing (escalamentos perdidos podem ser detectados na revisão secundária), automação de redefinição de senha (raio de explosão baixo) e correspondência de indicadores conhecidos como ruins (lógica determinística).
Automatize-os primeiro e depois valide a precisão em relação às decisões humanas por 30 dias.
