Por dentro do recurso AI-Powered Log Search no Barracuda Managed XDR, baseado no Databricks Genie com isolamento de tenant em nível de linha no Unity Catalog.
Quando um analista de segurança é alertado sobre um login suspeito ou um bloqueio incomum de firewall, a resposta quase sempre está nos logs. Encontrá-la é a parte difícil.
O Barracuda Managed XDR é um serviço de segurança baseado em IA que combina detecção avançada com um Security Operations Center (SOC) dedicado para ajudar as organizações a se protegerem, detectarem e responderem a ameaças em endpoints, redes, e-mail e ambientes de nuvem.
Essa proteção depende de um enorme volume de logs de segurança de firewalls, endpoints, provedores de identidade, plataformas de nuvem e gateways de e-mail em milhares de ambientes de clientes. Cada fonte WatchGuard, Fortinet, Palo Alto, Microsoft 365 e AWS tem seu próprio esquema e nomes de campos. Extrair respostas desses dados historicamente significava escrever SQL e lidar com as inconsistências e formatos proprietários dos dados de cada fornecedor.
A equipe de engenharia da Barracuda decidiu resolver isso. Eles queriam que qualquer analista, técnico de MSP ou gerente de segurança pudesse consultar os dados diretamente, sem precisar antes se tornar um especialista em dezenas de formatos de log.
A solução que eles lançaram é o AI-Powered Log Search, desenvolvido no Genie e integrado diretamente ao painel do XDR. Os usuários fazem perguntas como "mostre-me tentativas de login com falha de IPs externos nas últimas 24 horas" e recebem os resultados em segundos, com isolamento multi-tenant aplicado na camada de dados.
Quer uma análise técnica detalhada de como isso funciona? Leia o post da equipe de engenharia da Barracuda.
Antes do AI-Powered Log Search, uma investigação geralmente seguia um de dois caminhos.
Se o analista responsável pelo caso conhecesse os esquemas relevantes para a fonte de dados específica, ele mesmo poderia consultar os dados. Isso significava que um pequeno grupo de analistas seniores lidava com a maior parte do trabalho não rotineiro, já que poucas pessoas tinham tempo ou conhecimento para aprender todo o panorama de formatos de fornecedores.
Se não conhecessem, eles escalavam o problema. A pergunta era enviada para alguém que soubesse escrever a consulta, o que criava uma fila. Até mesmo solicitações simples tinham que esperar até que um analista sênior tivesse tempo para atendê-las.
Nenhuma das abordagens escalava bem para milhares de clientes e parceiros. A Barracuda queria algo que desse a cada usuário acesso direto aos dados sem exigir SQL e sem enfraquecer o isolamento de tenant do qual uma plataforma gerenciada depende.
O AI-Powered Log Search fica dentro do painel do XDR. O usuário digita uma pergunta, o Genie a converte em SQL, executa-a nos logs daquele cliente e retorna os resultados em uma visualização de tabela familiar. A consulta gerada é exibida ao lado dos resultados, o que oferece aos analistas uma maneira de verificar o que foi executado ou aprender o SQL para a próxima vez.
O que faz isso funcionar melhor do que uma ferramenta genérica de texto para SQL é o contexto ao qual o Genie tem acesso. A Barracuda enriqueceu seu Unity Catalog com metadados específicos de segurança, incluindo descrições para cada coluna e tabela que abrangem fontes de rede, servidor, nuvem, e-mail e endpoint. Assim, quando um usuário pergunta sobre "conexões bloqueadas", o Genie pode mapear a solicitação para as tabelas e campos corretos, independentemente de quais fornecedores de firewall estejam ativos para aquele cliente.
Conversas multiturno são suportadas, que é como a maioria dos analistas trabalha na prática. Uma primeira pergunta traz uma visão ampla, e as perguntas seguintes a refinam: "agora filtre apenas pelos 10 principais IPs de origem", "mostre-me os mesmos dados da semana passada", "exclua endereços internos". O Genie mantém o contexto, de modo que cada acompanhamento se baseia no anterior sem a necessidade de repeti-lo.
De acordo com a Barracuda, o Genie reduziu o tempo para obter insights em investigações rotineiras de horas para minutos. Um analista júnior que teria escalado uma consulta complexa no mês passado agora pode executá-la sozinho. Um técnico de MSP que atende a vários clientes pode responder a uma pergunta na hora, em vez de encaminhá-la a um analista sênior. Equipes de conformidade e líderes de segurança podem extrair seus próprios dados sem precisar abrir um chamado. E como cada consulta é registrada, a trilha de auditoria atende aos requisitos de conformidade do SOC 2 e similares sem a necessidade de instrumentação extra.
Essa mudança já está transformando a forma como a Barracuda lida com solicitações recorrentes de busca de logs. Antes do Genie, os usuários de negócios dependiam regularmente dos analistas do SOC para extrair dados específicos de busca de logs. A equipe do SOC recebia cerca de 200 solicitações por mês, e cada uma levava de 25 a 30 minutos para interpretar o pedido, identificar a fonte de dados e o esquema corretos, escrever o SQL, executar a consulta e responder por meio de chamados. Com o Genie, essas solicitações recorrentes podem passar a ser de autoatendimento, liberando cerca de 83 a 100 horas de analistas do SOC por mês, ou 1.000 a 1.200 horas anuais.
Ao usar o Databricks Genie para permitir que nossos parceiros e PMEs consultem dados de segurança complexos usando a linguagem do dia a dia, o Barracuda Managed XDR torna a investigação de ameaças incrivelmente fácil de usar. Essa busca intuitiva baseada em IA permite uma resposta mais rápida a riscos em potencial, melhorando significativamente nossa produtividade operacional geral e defesa corporativa.—Boopathy Veerappa, Diretor de Engenharia de Cyber DevOps - Managed XDR
Uma interface de linguagem natural para logs de segurança só é útil se for seguro expô-la a milhares de clientes em uma plataforma compartilhada. Uma consulta que ultrapassa os limites do cliente é uma violação, por isso a Barracuda incorporou o isolamento de tenant em todas as camadas do sistema.
O Genie nunca consulta as tabelas base diretamente. Em vez disso, ele consulta visualizações seguras no Unity Catalog que filtram os dados pela organização do usuário autenticado antes mesmo que o mecanismo de consulta execute o SQL. Como o filtro é aplicado na camada de visualização, e não no prompt ou no código do aplicativo, uma consulta malformada ou adversária não consegue burlá-lo. Os service principals têm escopo limitado a uma única organização, e um validador de consultas inspeciona cada instrução SQL gerada para confirmar se o filtro de organização está presente, rejeitando qualquer uma que falhar.
A governança vem de graça com esse design. As mesmas políticas de segurança em nível de linha que protegem as tabelas subjacentes se aplicam às consultas em linguagem natural, portanto, não há um modelo de acesso paralelo para manter ou uma camada de autorização separada para manter em sincronia.
A equipe do Managed XDR da Barracuda continua a aprimorar o AI-Powered Log Search. Salvar e agendar buscas está no roadmap de curto prazo, junto com a integração com o AI Assistant da Barracuda para resumos, fontes de dados adicionais e geração de gráficos e visualizações diretamente dos resultados das consultas.
Para ver a análise técnica completa, incluindo a arquitetura de IA composta, a implementação de segurança em nível de linha, o pipeline de validação de consultas e o modelo de implantação multirregião, leia o post de engenharia da Barracuda.
Para saber mais sobre o Genie e como as equipes o estão utilizando para disponibilizar dados e agentes para todos os funcionários, visite a página do produto Genie.
(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original
Assine nosso blog e receba os posts mais recentes diretamente na sua caixa de entrada.