Datadog ha annunciato il rilascio globale di Bits AI Security Analyst, un agente AI integrato in Cloud SIEM progettato per automatizzare le attività investigative nei Security Operations Center e ridurre drasticamente i tempi di risposta agli incidenti. Il sistema introduce un modello operativo in cui l’intelligenza artificiale non si limita più a classificare alert o suggerire correlazioni, ma esegue autonomamente interi flussi investigativi utilizzando telemetria, segnali di osservabilità e dati di sicurezza raccolti sull’intera infrastruttura aziendale.
L’elemento centrale della piattaforma è l’unificazione tra SIEM tradizionale e osservabilità infrastrutturale. Bits AI Security Analyst sfrutta infatti dati provenienti da log, metriche, tracing applicativo, workload cloud, endpoint, configurazioni e runtime telemetry per costruire un contesto operativo molto più ampio rispetto ai classici sistemi di detection basati esclusivamente sugli eventi di sicurezza. Questo consente all’agente AI di effettuare correlazioni multilivello tra anomalie infrastrutturali, attività applicative e indicatori di compromissione in tempo reale.
Datadog sostiene che il sistema possa ridurre indagini che richiedevano ore a circa 30 secondi grazie a pipeline automatizzate di triage, raccolta prove, correlazione e analisi contestuale. L’agente AI esegue autonomamente tutte le fasi operative: ricezione dell’alert, arricchimento dei dati, investigazione multi-step, verifica dei segnali, generazione delle evidenze e eventuale escalation. In pratica, il sistema si comporta come un analista SOC senior persistente, sempre attivo e in grado di operare simultaneamente su enormi volumi di dati telemetrici distribuiti.
Uno degli aspetti più rilevanti è la capacità di sfruttare segnali di “observability-native security”. Nei moderni ambienti cloud e containerizzati, infatti, molte attività malevole non emergono più come eventi di sicurezza espliciti, ma come anomalie operative distribuite tra runtime applicativi, networking, API e orchestratori Kubernetes. Integrando direttamente osservabilità e sicurezza, Bits AI può identificare pattern laterali difficili da rilevare con i tradizionali SOC basati su regole statiche o signature.
L’approccio adottato da Datadog riflette anche l’evoluzione dei sistemi SOC verso architetture AI-driven autonome. Il problema principale dei Security Operation Center moderni non è soltanto il rilevamento degli attacchi, ma il sovraccarico operativo generato dall’enorme quantità di alert, falsi positivi e correlazioni manuali richieste agli analisti. Automatizzare il ciclo investigativo riduce il Mean Time To Resolution (MTTR), che Datadog dichiara possa diminuire di oltre il 90%, permettendo ai team di sicurezza di concentrarsi su incidenti realmente critici invece che sulle attività ripetitive di analisi iniziale.
Il sistema sembra inoltre avvicinarsi sempre più al concetto di agente SOC autonomo persistente. L’AI non viene utilizzata soltanto per generare testo o riepiloghi, ma come motore decisionale operativo che mantiene contesto investigativo, esegue query, naviga dataset distribuiti e produce valutazioni supportate da evidenze concrete.
L’integrazione con l’intero ecosistema Datadog permette infine al modello di operare su una superficie dati estremamente ampia, elemento fondamentale per l’efficacia degli agenti AI in cybersecurity. In ambienti enterprise moderni, infatti, la qualità dell’investigazione dipende sempre meno dal singolo modello linguistico e sempre più dalla profondità della telemetria disponibile, dalla correlazione cross-system e dalla capacità di mantenere continuità contestuale durante workflow investigativi complessi.