IA no SOC: como reduzir falsos positivos e automatizar a triagem
Um centro de operações de segurança (SOC) recebe milhares de alertas por dia — e até 95% são falsos positivos. A inteligência artificial transforma esse cenário ao filtrar o ruído, priorizar ameaças reais e permitir que os analistas se concentrem no que importa. Para PMEs que operam com equipas reduzidas, a triagem automatizada com IA não é luxo: é condição de sobrevivência.
O problema dos falsos positivos não é novo, mas atingiu uma dimensão crítica em 2026. Um levantamento da SANS revelou que 73% das organizações classificam falsos positivos como o principal obstáculo na detecção de ameaças. Outro estudo da Osterman Research mostra que quase 90% dos SOCs estão sobrecarregados por backlogs e alertas espúrios, enquanto 80% dos analistas relatam cansaço crónico. O resultado é conhecido: alertas reais ficam sem análise, e o tempo médio de resposta a incidentes dispara.
Por que os SOCs tradicionais falham
No modelo clássico, um analista de nível 1 recebe cada alerta, consulta o SIEM, verifica o contexto do utilizador ou dispositivo, compara com casos anteriores e decide se a notificação é relevante. Esse processo pode consumir 15 a 30 minutos por alerta. Quando chegam milhares diariamente, a matemática não funciona — e a equipa acaba por fechar alertas em massa sem investigação.
Plataformas SOAR tentaram resolver isso com playbooks automatizados. O problema é que os playbooks são rígidos: funcionam para cenários bem definidos, mas partem-se quando o ambiente muda. Manter centenas de playbooks vira um trabalho em si, consome engenheiros dedicados e raramente acompanha a velocidade das novas tácticas de ataque.
Como a IA melhora a triagem
A abordagem com IA substitui a lógica fixa por modelos adaptativos. Em vez de seguir regras pré-escritas, o sistema analisa cada alerta com base no contexto acumulado — quem gerou o evento, em que horário, com que padrão histórico, quais indicadores de compromisso estão associados. É o que a Gartner chama de "AI SOC agents": agentes que investigam de forma autónoma, como faria um analista experiente, mas em segundos.
Na prática, o fluxo funciona assim: um alerta chega ao SIEM ou EDR. O agente de IA ingere-o imediatamente, extrai os observáveis (IP, domínio, hash, utilizador), enriquece os dados com fontes de threat intelligence, correlaciona com eventos anteriores no ambiente e produz um veredicto — falso positivo, benigno ou requiring attention. Tudo isso em menos de 60 segundos, com um rastro de evidências completo para o analista validar.
Dados de 2026 dão a medida do impacto. A Exaforce, plataforma que levantou 125 milhões de dólares em série B, reporta que os seus agentes filtram 70% dos alertas antes de chegarem a um analista. A Torq reduziu a taxa de falsos positivos de 70% para menos de 20% em 60 dias. A CrowdStrike reivindica 98% de precisão na triagem com o Charlotte AI. Os números variam por fornecedor, mas a tendência é inequívoca.
IA open-source com Wazuh
Nem toda a empresa precisa de uma solução enterprise de centenas de milhares de dólares. Para PMEs que já usam uma stack open-source — como Wazuh como SIEM/XDR, TheHive como gestor de casos e Cortex para enriquecimento — a IA pode entrar de forma incremental.
A própria Wazuh documentou uma integração com o modelo Llama 3 (da Meta) através do Ollama, que corre localmente no servidor. O script de threat hunting em Python carrega os logs arquivados do Wazuh numa base de dados vetorial, permite consultas em linguagem natural e gera relatórios contextuais — tudo sem enviar dados sensíveis para a cloud. Para uma PME, isso significa ter um assistente de investigação que nunca dorme, a custo de hardware e sem licenças.
Existem também templates de automação em plataformas como o n8n que integram o Wazuh com modelos de linguagem (GPT-4o-mini, por exemplo) para triagem automática e notificação via Telegram. O analista recebe apenas o sumário executivo dos alertas que realmente precisam de atenção humana.
Da triagem à resposta automática
A IA no SOC vai além da classificação. Os agentes mais avançados executam acções de resposta: reset de MFA, terminação de sessões, isolamento de dispositivos, bloqueio de IPs. Cada acção fica registada num audit trail que satisfaz requisitos de compliance como o Art. 46 da LGPD e a directiva NIS2.
A diferença fundamental entre SOAR tradicional e agentes de IA reside na adaptabilidade. Um playbook SOAR bifurca com base em condições if-then. Um agente de IA avalia o contexto completo do incidente e decide a resposta adequada, mesmo que nunca tenha visto aquele tipo de alerta antes. É a diferença entre seguir um check-list e ter um analista sénior a pensar.
Como começar na sua empresa
O ponto de partida é medir o estado actual: volume diário de alertas, taxa de falsos positivos, tempo médio de triagem e número de analistas disponíveis. Sem esses números, é impossível calcular o ROI de qualquer solução.
Em seguida, priorize a redução de ruído na fonte. Antes de adicionar IA, revise as regras de detecção no Wazuh — muitas foram criadas com tolerância baixa para não perder ameaças, gerando alertas excessivos. Afine os limiares, suprima alertas conhecidos como benignos e só depois introduza a camada de IA para o que restar.
Para PMEs com orçamento limitado, comece pela triagem com um modelo local (Llama 3 via Ollama ou Mistral) integrado ao Wazuh. Evolua para automação de resposta à medida que a confiança no sistema cresce. A abordagem faseada minimiza riscos e permite demonstrar valor à direcção antes de expandir o investimento.
Limitações e o papel humano
IA não substitui analistas — amplifica-os. Modelos de linguagem podem alucinar, ou seja, produzir respostas confiantes mas incorrectas. Por isso, todo o veredicto da IA deve ser verificável: o analista precisa de ver que evidências levaram àquela conclusão. Plataformas que operam como "black box" sem explicabilidade geram mais problemas do que resolvem.
Além disso, a IA lida melhor com padrões recorrentes do que com ameaças zero-day ou operações sofisticadas de estado-nação. Nessas situações, o julgamento humano permanece insubstituível. A meta não é eliminar o analista, mas garantir que ele só atua nos casos que efectivamente exigem inteligência humana.
O custo de não agir
Ataques com IA levam 22 segundos a explorar uma vulnerabilidade, segundo dados apresentados na RSAC 2026. A média de resposta de um SOC tradicional é de 8 horas. Esse hiato custa dados, reputação e dinheiro. Para uma PME, o custo médio de uma violação de dados ultrapassa os 150 mil dólares, segundo o relatório IBM Cost of a Data Breach 2025.
Automatizar a triagem com IA reduz drasticamente o tempo entre detecção e resposta, baixa o custo operacional do SOC e, sobretudo, devolve aos analistas a capacidade de investigar — em vez de apenas classificar. Para empresas que já operam com Wazuh e TheHive, os primeiros passos estão ao alcance de um fim de semana de configuração.
Fontes e referências
- Stamus Networks — SANS Survey Analysis: alert fatigue e falsos positivos em agravamento.
- Wazuh — Leveraging AI for Threat Hunting: integração de Llama 3 via Ollama para investigação local de logs.
- Conifers AI — SOC Automation in 2026: análise de playbooks SOAR vs. agentes cognitivos adaptativos.
- Swimlane — AI Alert Triage: Reducing False Positives: triagem de alertas com IA e planos de resposta adaptativos.
- n8n — Automate Wazuh Alert Triage with GPT-4o-mini: template de automação para triagem e notificação via Telegram.
- CyberDefenders — SOC Alert Fatigue: causas, impacto e soluções modernas para o cansaço de alertas.