Ir al contenido principal
Clientes

Barracuda hace que los registros de seguridad sean conversacionales con Genie

Dentro de la función de búsqueda de registros impulsada por AI en Barracuda Managed XDR, basada en Databricks Genie con aislamiento de inquilinos a nivel de fila en Unity Catalog.

por Barracuda XDR Engineering Team

  • Barracuda Managed XDR ahora utiliza Genie para permitir que los analistas busquen registros de seguridad en lenguaje natural en lugar de SQL, lo que proporciona detección de amenazas multi-tenant para miles de clientes y MSP.
  • Las investigaciones que antes requerían experiencia en esquemas de docenas de formatos de proveedores ahora pueden ser completadas por cualquier miembro del equipo, y los resultados se devuelven en segundos.
  • La seguridad a nivel de fila en Unity Catalog aplica el aislamiento de inquilinos en la capa de datos, por lo que la misma función funciona de manera segura en miles de organizaciones de clientes.

Cuando un analista de seguridad recibe una alerta sobre un inicio de sesión sospechoso o un bloqueo inusual del firewall, la respuesta casi siempre está en los registros. Encontrarla es la parte difícil.

Barracuda Managed XDR es un servicio de seguridad impulsado por AI que combina la detección avanzada con un Centro de Operaciones de Seguridad (SOC) dedicado para ayudar a las organizaciones a protegerse, detectar y responder a amenazas en endpoints, redes, correo electrónico y entornos de nube.

Esa protección depende de un enorme volumen de registros de seguridad de firewalls, endpoints, proveedores de identidad, plataformas en la nube y puertas de enlace de correo electrónico en miles de entornos de clientes. Cada fuente de WatchGuard, Fortinet, Palo Alto, Microsoft 365 y AWS tiene su propio esquema y nombres de campo. Históricamente, obtener respuestas de esos datos significaba escribir SQL y lidiar con las inconsistencias y los formatos propietarios de los datos de cada proveedor.

El equipo de ingeniería de Barracuda se propuso solucionar esto. Querían que cualquier analista, técnico de MSP o gerente de seguridad pudiera consultar los datos directamente, sin tener que convertirse primero en un experto en una docena de formatos de registro.

La solución que lanzaron es la búsqueda de registros impulsada por AI, basada en Genie e integrada directamente en el panel de control de XDR. Los usuarios hacen preguntas como "muéstrame los intentos de inicio de sesión fallidos desde IPs externas en las últimas 24 horas" y obtienen resultados en segundos, con un aislamiento multi-tenant aplicado en la capa de datos.

¿Quieres un análisis técnico detallado de cómo funciona? Lee la publicación del equipo de ingeniería de Barracuda.

¿Por qué la búsqueda de registros ha sido un cuello de botella?

Antes de la búsqueda de registros impulsada por AI, una investigación solía seguir uno de dos caminos.

Si el analista a cargo del caso conocía los esquemas relevantes para la fuente de datos específica, podía consultar los datos por sí mismo. Eso significaba que un pequeño grupo de analistas senior manejaba la mayor parte del trabajo no rutinario, ya que pocas personas tenían el tiempo o la experiencia para aprender todo el panorama de formatos de los proveedores.

Si no los conocían, escalaban el caso. La pregunta se entregaba a alguien que pudiera escribir la consulta, lo que creaba una fila de espera. Incluso las solicitudes sencillas tenían que esperar hasta que un analista senior tuviera tiempo para atenderlas.

Ninguno de los dos enfoques escalaba de manera eficiente para miles de clientes y socios. Barracuda quería algo que diera a cada usuario acceso directo a los datos sin requerir SQL y sin debilitar el aislamiento de inquilinos del que depende una plataforma gestionada.

Hacer preguntas de la misma manera que se las harías a un colega

La búsqueda de registros impulsada por AI vive dentro del panel de control de XDR. El usuario escribe una pregunta, Genie la convierte en SQL, la ejecuta en los registros de ese cliente y devuelve los resultados en una vista de tabla familiar. La consulta generada se muestra junto a los resultados, lo que ofrece a los analistas una forma de verificar qué se ejecutó o aprender el SQL para la próxima vez.

Lo que hace que esto funcione mejor que una herramienta genérica de texto a SQL es el contexto al que Genie tiene acceso. Barracuda enriqueció su Unity Catalog con metadatos específicos de seguridad, incluidas descripciones para cada columna y tabla que cubren fuentes de red, servidor, nube, correo electrónico y endpoints. Así, cuando un usuario pregunta sobre "conexiones bloqueadas", Genie puede mapear la solicitud en las tablas y campos correctos de los proveedores de firewall que correspondan a ese cliente.

Se admiten conversaciones de varios turnos, que es como trabaja la mayoría de los analistas en la práctica. Una primera pregunta ofrece una vista general y las de seguimiento la refinan: "ahora filtra solo las 10 principales IPs de origen", "muéstrame los mismos datos de la semana pasada", "excluye las direcciones internas". Genie mantiene el contexto, por lo que cada seguimiento se basa en el anterior sin tener que repetirlo.

Según Barracuda, Genie ha reducido el tiempo de obtención de información en investigaciones rutinarias de horas a minutos. Un analista junior que el mes pasado habría escalado una consulta compleja ahora puede ejecutarla por sí mismo. Un técnico de MSP que atiende a varios clientes puede responder a una pregunta en el acto en lugar de canalizarla a través de un analista senior. Los equipos de cumplimiento y los líderes de seguridad pueden extraer sus propios datos sin tener que abrir un ticket. Y como cada consulta se registra, la pista de auditoría cubre SOC 2 y requisitos de cumplimiento similares sin necesidad de herramientas adicionales.

Ese cambio ya está transformando la forma en que Barracuda maneja las solicitudes recurrentes de búsqueda de registros. Antes de Genie, los usuarios de negocio dependían regularmente de los analistas del SOC para extraer datos específicos de búsqueda de registros. El equipo del SOC recibía alrededor de 200 solicitudes al mes, y cada una tomaba de 25 a 30 minutos para interpretar la solicitud, identificar la fuente de datos y el esquema correctos, escribir SQL, ejecutar la consulta y responder a través de tickets. Con Genie, esas solicitudes recurrentes pueden pasar al autoservicio, lo que libera un estimado de 83 a 100 horas de analistas de SOC al mes, o de 1,000 a 1,200 horas al año.

Al utilizar Databricks Genie para permitir que nuestros socios y SMB consulten datos de seguridad complejos utilizando el lenguaje cotidiano, Barracuda Managed XDR hace que la investigación de amenazas sea increíblemente fácil de usar. Esta búsqueda intuitiva impulsada por AI permite una resolución más rápida de los riesgos potenciales, mejorando significativamente nuestra productividad operativa general y la defensa corporativa.—Boopathy Veerappa, Director de Ingeniería de Cyber DevOps - Managed XDR

La parte difícil: mantener a los inquilinos aislados

Una interfaz de lenguaje natural para los registros de seguridad solo es útil si es seguro exponerla a miles de clientes en una plataforma compartida. Una consulta que cruce los límites del cliente es una brecha de seguridad, por lo que Barracuda integró el aislamiento de inquilinos en cada capa del sistema.

Genie nunca consulta las tablas base directamente. En su lugar, consulta vistas seguras en Unity Catalog que filtran los datos por la organización del usuario autenticado antes de que el motor de consultas ejecute el SQL. Debido a que el filtro se aplica en la capa de vista en lugar de en el prompt o en el código de la aplicación, una consulta malformada o maliciosa no puede eludirlo. Las entidades de servicio están limitadas a una sola organización, y un validador de consultas inspecciona cada instrucción SQL generada para confirmar que el filtro de la organización esté presente y rechaza cualquiera que falle.

La gobernanza se obtiene de forma nativa con este diseño. Las mismas políticas de seguridad a nivel de fila que protegen las tablas subyacentes se aplican a las consultas en lenguaje natural, por lo que no hay un modelo de acceso paralelo que mantener ni una capa de autorización independiente que sincronizar.

Próximos pasos

El equipo de Managed XDR de Barracuda continúa desarrollando la búsqueda de registros impulsada por AI. Guardar y programar búsquedas está en la hoja de ruta a corto plazo, junto con la integración con el asistente de AI de Barracuda para resúmenes, fuentes de datos adicionales y la generación de gráficos y visualizaciones directamente a partir de los resultados de las consultas.

Para obtener el análisis técnico completo, que incluye la arquitectura de AI compuesta, la implementación de seguridad a nivel de fila, el pipeline de validación de consultas y el modelo de despliegue multirregión, lee la publicación de ingeniería de Barracuda.

Para obtener más información sobre Genie y cómo los equipos lo utilizan para poner los datos y los agentes a disposición de cada empleado, visita la página del producto Genie.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original

Recibe las últimas publicaciones en tu bandeja de entrada

Suscríbete a nuestro blog y recibe las últimas publicaciones directamente en tu bandeja de entrada.