Reco reduziu em 63% o tempo de resposta a incidentes com Amazon Bedrock

A Reco integrou o Amazon Bedrock em seu sistema de análise de riscos SaaS e o treinou para transformar alertas de segurança brutos em histórias de incidentes compreensíveis. Como resultado, os clientes da empresa resolvem atividades suspeitas visivelmente mais rápido, e as equipes de primeira linha escalacionam casos para especialistas com menor frequência.

Por que os alertas travam o trabalho

Um alerta de segurança moderno raramente se parece com uma resposta pronta para a pergunta sobre o que exatamente aconteceu e o quão perigoso é. Geralmente é um conjunto de campos estruturados, indicadores técnicos e eventos em JSON que um engenheiro precisa analisar manualmente, correlacionar com outros sinais e traduzir para uma linguagem compreensível para os colegas. É nessa etapa que o tempo se perde, junto com a chance de reagir rapidamente a uma ameaça realmente importante. Quanto mais serviços SaaS uma empresa utiliza, maior é o volume dessas notificações e mais difícil se torna separar o ruído dos eventos que requerem atenção imediata.

A Reco tinha dois objetivos aplicados. O primeiro era garantir que um analista entendesse o significado de um alerta sem uma longa decodificação manual de campos e relações entre eles. O segundo era não se limitar a um breve resumo, mas sugerir imediatamente como continuar a investigação e o que fazer a seguir. Para um SOC, isso é crítico: uma coisa é identificar um login suspeito ou um comportamento anômalo do usuário, e outra completamente diferente é compreender rapidamente o dano potencial, a prioridade do incidente e as etapas concretas para verificar e mitigar o risco.

Como funciona o gerador

Para resolver essa tarefa, a Reco usa um Alert Story Generator baseado no Anthropic Claude no Amazon Bedrock. O sistema pega um alerta específico, recupera seus metadados e exemplos de análises anteriores e, em seguida, monta um prompt contextual. Um papel importante foi desempenhado pela transição de uma abordagem zero-shot para uma abordagem few-shot: exemplos de referência cuidadosamente selecionados melhoraram visivelmente a estabilidade e a estrutura das respostas do modelo. Além disso, a Reco seleciona exemplos dinamicamente — dependendo da fonte e do tipo do alerta — para que o modelo se baseie não em um modelo genérico, mas em cenários relevantes.

• Conversão de JSON bruto em uma descrição curta e compreensível
• Destaque dos principais riscos, danos potenciais e prioridade de resposta
• Geração de consultas prontas para investigação
• Preparação de um resumo compreensível tanto para a equipe de segurança quanto para os stakeholders de negócios
• Geração de recomendações de mitigação de risco sem montagem manual de etapas

O pipeline seguinte é bastante direto: o usuário seleciona um alerta na interface, o sistema recupera o JSON do banco de dados, combina-o com exemplos few-shot e os chamados golden examples e, em seguida, envia a requisição ao Claude Sonnet via Amazon Bedrock. A resposta é retornada ao cliente já na forma de uma interpretação pronta e uma lista de ações. Toda a configuração está implantada na AWS: os microsserviços rodam no Amazon EKS, os dados contextuais estão armazenados no Amazon RDS para PostgreSQL, o acesso à interface é protegido pelo AWS WAF e a entrega é acelerada pelo Amazon CloudFront.

Separadamente, a Reco usa o Bedrock prompt caching, o que ajudou a reduzir a latência de inferência em 75%.

O que mudou para o SOC

O mais importante neste caso é o efeito mensurável, não apenas uma interface bonita sobre um LLM. De acordo com os dados da Reco, o tempo de investigação melhorou 54%, porque os analistas não precisam mais construir consultas do zero e interpretar manualmente cada campo em um alerta. O tempo de resposta a incidentes foi reduzido em 63%: o sistema imediatamente oferece recomendações priorizadas que podem ser colocadas em prática sem longa preparação prévia. Isso é especialmente perceptível na primeira linha de suporte, onde antes muitos casos tinham que ser rapidamente transferidos para especialistas mais caros e escassos.

O efeito comunicativo é igualmente importante. As equipes de segurança trabalham constantemente na interseção de tecnologia e negócios, e aqui as perdas de tempo frequentemente surgem não apenas da análise, mas também da tradução de detalhes técnicos para uma linguagem compreensível para executivos e equipes adjacentes. A Reco resolve esse problema transformando um conjunto árido de sinais em uma explicação autocontida com contexto, avaliação de risco e próximos passos. Como resultado, os analistas investigam mais profundamente exatamente onde é necessário, em vez de gastar tempo na montagem mecânica de consultas, na reformulação de logs e em explicações repetidas para participantes não técnicos do processo.

O que isso significa

O caso Reco mostra que a IA generativa em segurança está começando a gerar valor não no nível de demonstração, mas no ciclo operacional com métricas específicas. O principal benefício aqui não é que o modelo consiga explicar alertas, mas na compressão do tempo entre o surgimento de um sinal, a compreensão do risco e a ação. Para o mercado corporativo, este é um dos cenários de implementação de LLM mais práticos: menos rotina manual, triagem inicial mais rápida e um processo de resposta mais previsível.