Durante el evento .conf25 celebrado en Boston, Cisco presentó nuevas capacidades para fortalecer los centros de operaciones de seguridad (SOC) mediante inteligencia artificial agentica, integradas en las ediciones Premier y Essentials de Splunk Enterprise Security. Estas soluciones buscan unificar los flujos de trabajo de detección, investigación y respuesta ante amenazas, reduciendo la fragmentación de herramientas y acelerando la toma de decisiones operativas.
Las nuevas ediciones se basan en Splunk Enterprise Security 8.2, una plataforma SIEM ampliamente adoptada, e incorporan funciones avanzadas como Splunk SOAR (automatización de respuesta), Splunk UEBA (análisis de comportamiento de usuarios y entidades) y el asistente de IA de Splunk. La edición Premier combina todos estos componentes en una experiencia unificada, mientras que la Essentials se enfoca en una integración más básica con el asistente de IA y la plataforma SIEM principal.
La propuesta de Cisco responde a un desafío creciente en los entornos de seguridad: el exceso de datos y la dificultad para identificar qué eventos requieren atención inmediata. Según la compañía, los agentes de IA no solo automatizan tareas complejas, sino que transforman operaciones manuales en procesos autónomos, lo que permite a los analistas concentrarse en decisiones estratégicas.
Entre las funciones destacadas se encuentran:
- Triage Agent: prioriza alertas y explica su relevancia, incluso en casos de baja frecuencia, reduciendo la carga de trabajo del analista.
- Malware Reversal Agent: interpreta scripts maliciosos línea por línea, identifica indicadores de compromiso y patrones de evasión.
- AI Playbook Authoring: convierte instrucciones en lenguaje natural en guiones de respuesta automatizados, validados por IA.
- Response Importer: adapta procedimientos operativos estándar (SOP) al entorno de Splunk mediante modelos multimodales.
- AI-Enhanced Detection Library: permite desarrollar y desplegar detecciones en minutos.
- Personalized Detection SPL Generator: ajusta las detecciones a las características específicas de cada SOC.
Además, Cisco anunció nuevas integraciones técnicas que amplían la visibilidad operativa. Entre ellas, destaca la incorporación de Isovalent Runtime Security basada en eBPF, que ofrece monitoreo granular de cargas de trabajo, y la federación de datos de firewalls mediante Splunk Cloud Platform, que permite realizar análisis directamente sobre registros almacenados en Amazon S3 sin necesidad de ingestión previa.
Estas capacidades estarán disponibles progresivamente a lo largo de 2026, mientras que las ediciones Essentials y Premier de Splunk Enterprise Security ya se encuentran en fase de disponibilidad global y acceso anticipado, respectivamente.
La estrategia de Cisco y Splunk refleja una tendencia más amplia en el sector: la evolución de los SOC hacia entornos más autónomos, contextualizados y resilientes, donde la inteligencia artificial no reemplaza al analista, sino que amplifica su capacidad de respuesta frente a amenazas cada vez más sofisticadas.
Fuente: Nota de prensa Cisco/Splunk | Editado por CDOL
