Reco сократила время реакции на инциденты на 63% с помощью Amazon Bedrock

Reco встроила Amazon Bedrock в свою систему анализа SaaS-рисков и научила её превращать сырые алерты безопасности в понятные истории инцидента. В результате клиенты компании заметно быстрее разбирают подозрительную активность, а команды первой линии реже эскалируют кейсы экспертам.

Почему алерты тормозят работу

Современный алерт безопасности редко выглядит как готовый ответ на вопрос, что именно произошло и насколько это опасно. Обычно это массив структурированных полей, технических индикаторов и событий в JSON, которые инженер должен вручную разобрать, сопоставить с другими сигналами и перевести в нормальный язык для коллег. На этом этапе теряется время, а вместе с ним и шанс быстро отреагировать на действительно важную угрозу.

Чем больше SaaS-сервисов использует компания, тем выше поток таких уведомлений и тем сложнее отделить шум от событий, требующих немедленного внимания. У Reco было две прикладные задачи. Первая — сделать так, чтобы аналитик понимал смысл алерта без долгой ручной расшифровки полей и связей между ними.

Вторая — не ограничиваться краткой сводкой, а сразу подсказывать, как продолжить расследование и что делать дальше. Для SOC это критично: одно дело увидеть подозрительный логин или аномальное поведение пользователя, и совсем другое — быстро понять потенциальный ущерб, приоритет инцидента и конкретные шаги для проверки и устранения риска.

Как работает генератор

Для решения этой задачи Reco использует Alert Story Generator на базе Anthropic Claude в Amazon Bedrock. Система берет конкретный алерт, подтягивает его метаданные и примеры прошлых разборов, а затем собирает контекстный prompt. Важную роль сыграл переход от zero-shot к few-shot-подходу: заранее подобранные эталонные примеры заметно повысили стабильность и структуру ответов модели. Дополнительно Reco подбирает примеры динамически — в зависимости от источника алерта и его типа, чтобы модель опиралась не на общий шаблон, а на релевантные сценарии.

• Преобразование сырого JSON в короткое и понятное описание Выделение ключевых рисков, возможного ущерба и приоритета реакции Генерация готовых запросов для расследования Подготовка сводки, понятной и security-команде, и бизнес-стейкхолдерам Формирование рекомендаций по устранению риска без ручной сборки шагов Дальше работает довольно прямой пайплайн: пользователь выбирает алерт в интерфейсе, система достает JSON из базы, объединяет его с few-shot-примерами и так называемыми golden examples, а затем отправляет запрос в Claude Sonnet через Amazon Bedrock. Ответ возвращается в клиент уже в виде готовой интерпретации и списка действий. Вся схема развернута в AWS: микросервисы крутятся в Amazon EKS, контекстные данные лежат в Amazon RDS for PostgreSQL, доступ к интерфейсу прикрывает AWS WAF, а доставку ускоряет Amazon CloudFront. Отдельно Reco использует Bedrock prompt caching, что помогло снизить задержку инференса на 75%.

Что изменилось для SOC

Самое важное в этом кейсе — измеримый эффект, а не просто красивый интерфейс поверх LLM. По данным Reco, время расследования улучшилось на 54%, потому что аналитикам больше не нужно с нуля собирать запросы и вручную интерпретировать каждое поле в алерте. Время реакции на инциденты сократилось на 63%: система сразу предлагает приоритизированные рекомендации, которые можно брать в работу без длинной предварительной подготовки.

Это особенно заметно на первой линии поддержки, где раньше многие кейсы приходилось быстро передавать более дорогим и редким специалистам. Не менее важен и коммуникационный эффект. Security-команды постоянно работают на стыке техники и бизнеса, и здесь потери времени часто возникают не только из-за анализа, но и из-за перевода технических деталей в язык, понятный руководителям и смежным командам.

Reco решает эту проблему тем, что превращает сухой набор сигналов в самодостаточное объяснение с контекстом, оценкой риска и следующими шагами. В итоге аналитики глубже копают именно там, где это нужно, а не тратят время на механическую сборку запросов, пересказ логов и повторяющиеся пояснения для неинженерных участников процесса.

Что это значит

Кейс Reco показывает, что генеративный ИИ в безопасности начинает приносить ценность не на уровне демо, а в операционном контуре с конкретными метриками. Главная выгода здесь не в том, что модель умеет объяснять алерты, а в сжатии времени между появлением сигнала, пониманием риска и действием. Для корпоративного рынка это один из самых практичных сценариев внедрения LLM: меньше ручной рутины, быстрее первичный разбор и более предсказуемый процесс реагирования.