Reco redujo en un 63% el tiempo de respuesta a incidentes con Amazon Bedrock

Reco integró Amazon Bedrock en su sistema de análisis de riesgos SaaS y lo entrenó para convertir alertas de seguridad en bruto en historias de incidentes comprensibles. Como resultado, los clientes de la empresa resuelven la actividad sospechosa notablemente más rápido, y los equipos de primera línea escalan los casos a expertos con menor frecuencia.

Por qué las alertas ralentizan el trabajo

Una alerta de seguridad moderna rara vez parece una respuesta lista a la pregunta de qué ocurrió exactamente y cuán peligroso es. Generalmente es un conjunto de campos estructurados, indicadores técnicos y eventos en JSON que un ingeniero debe analizar manualmente, correlacionar con otras señales y traducir a un lenguaje comprensible para sus compañeros. En esta etapa se pierde tiempo, junto con la oportunidad de responder rápidamente a una amenaza verdaderamente importante. Cuantos más servicios SaaS utilice una empresa, mayor es el volumen de esas notificaciones y más difícil resulta separar el ruido de los eventos que requieren atención inmediata.

Reco tenía dos objetivos aplicados. El primero era garantizar que un analista comprendiera el significado de una alerta sin una larga decodificación manual de campos y relaciones. El segundo era no limitarse a un breve resumen, sino sugerir de inmediato cómo continuar la investigación y qué hacer a continuación. Para un SOC esto es crítico: una cosa es detectar un inicio de sesión sospechoso o un comportamiento anómalo del usuario, y algo completamente distinto es comprender rápidamente el daño potencial, la prioridad del incidente y los pasos concretos para verificar y mitigar el riesgo.

Cómo funciona el generador

Para resolver esta tarea, Reco utiliza un Alert Story Generator basado en Anthropic Claude en Amazon Bedrock. El sistema toma una alerta específica, recupera sus metadatos y ejemplos de análisis anteriores y, a continuación, ensambla un prompt contextual. Un papel clave lo desempeñó el paso de un enfoque zero-shot a uno few-shot: los ejemplos de referencia cuidadosamente seleccionados mejoraron notablemente la estabilidad y la estructura de las respuestas del modelo. Además, Reco selecciona ejemplos de forma dinámica —en función del origen y el tipo de la alerta— para que el modelo se base no en una plantilla genérica, sino en escenarios relevantes.

• Conversión de JSON en bruto en una descripción corta y comprensible
• Identificación de los riesgos clave, el daño potencial y la prioridad de respuesta
• Generación de consultas listas para la investigación
• Preparación de un resumen comprensible tanto para el equipo de seguridad como para los stakeholders de negocio
• Generación de recomendaciones de mitigación de riesgos sin ensamblaje manual de pasos

El pipeline que sigue es bastante directo: el usuario selecciona una alerta en la interfaz, el sistema extrae el JSON de la base de datos, lo combina con ejemplos few-shot y los denominados golden examples y, a continuación, envía la solicitud a Claude Sonnet a través de Amazon Bedrock. La respuesta se devuelve al cliente ya en forma de interpretación lista y una lista de acciones. Toda la configuración está desplegada en AWS: los microservicios se ejecutan en Amazon EKS, los datos contextuales se almacenan en Amazon RDS para PostgreSQL, el acceso a la interfaz está protegido por AWS WAF y la entrega se acelera con Amazon CloudFront.

Por separado, Reco utiliza Bedrock prompt caching, lo que ayudó a reducir la latencia de inferencia en un 75%.

Qué cambió para el SOC

Lo más importante en este caso es el efecto medible, no solo una interfaz atractiva sobre un LLM. Según los datos de Reco, el tiempo de investigación mejoró un 54%, porque los analistas ya no necesitan construir consultas desde cero ni interpretar manualmente cada campo de una alerta. El tiempo de respuesta ante incidentes se redujo un 63%: el sistema ofrece de inmediato recomendaciones priorizadas que se pueden poner en práctica sin una larga preparación previa. Esto es especialmente notable en la primera línea de soporte, donde antes muchos casos debían transferirse rápidamente a especialistas más costosos y escasos.

El efecto comunicativo es igualmente importante. Los equipos de seguridad trabajan constantemente en la intersección de la tecnología y el negocio, y aquí las pérdidas de tiempo a menudo surgen no solo del análisis, sino también de la traducción de detalles técnicos a un lenguaje comprensible para los directivos y los equipos adyacentes. Reco resuelve este problema convirtiendo un conjunto árido de señales en una explicación autocontenida con contexto, evaluación del riesgo y próximos pasos. Como resultado, los analistas profundizan exactamente donde es necesario, en lugar de dedicar tiempo al ensamblaje mecánico de consultas, la reformulación de registros y las repetidas explicaciones para los participantes no técnicos del proceso.

Qué significa esto

El caso Reco demuestra que la IA generativa en seguridad está comenzando a aportar valor no a nivel de demostración, sino en el ciclo operativo con métricas específicas. El principal beneficio aquí no radica en que el modelo pueda explicar alertas, sino en la compresión del tiempo entre la aparición de una señal, la comprensión del riesgo y la acción. Para el mercado corporativo, este es uno de los escenarios de implementación de LLM más prácticos: menos rutina manual, triaje inicial más rápido y un proceso de respuesta más predecible.