Barracuda ha reemplazado el SQL escrito a mano con una interfaz de lenguaje natural en su plataforma de seguridad Managed XDR, implementando Databricks Genie para reducir aproximadamente 200 tickets de analista recurrentes al mes y recuperar un estimado de 1,000 a 1,200 horas de analista SOC anualmente en miles de inquilinos de clientes simultáneos.
La pila consta de Databricks Genie sobre Unity Catalog, traduciendo solicitudes en inglés simple a SQL contra el lago de registros de seguridad de Barracuda. La plataforma ingiere telemetría estructurada de WatchGuard, Fortinet, Palo Alto, Microsoft 365 y AWS, cada uno con diferentes esquemas de tablas, nombres de campos y convenciones de relación. Antes de Genie, los analistas junior solicitaban tickets y esperaban a que el personal senior interpretara la solicitud, identificara el esquema relevante, escribiera la consulta y devolviera los resultados: un ciclo de 25 a 30 minutos por solicitud que generaba un cuello de botella persistente a medida que Barracuda se expandía a miles de clientes MSP y empresariales.
Para habilitar NL-to-SQL a través de esta heterogeneidad, Barracuda enriqueció Unity Catalog con metadatos específicos de seguridad: descripciones detalladas de columnas y tablas que abarcan conceptos de red, servidor, nube, correo electrónico y punto final, para que una solicitud de "conexiones bloqueadas" se resuelva a los campos correctos, ya sea que los datos subyacentes provengan de un firewall de Fortinet o de un dispositivo de Palo Alto. Genie también preserva el contexto de conversación en intercambios multi-turno, permitiendo a los analistas realizar seguimientos como "filtrar a las 10 principales IPs de origen" o "misma consulta para la semana pasada" sin restar los originales.
Operativamente, el cambio movió 200 solicitudes mensuales de una cola de analista senior a auto-servicio, reduciendo el tiempo de investigación rutinaria de horas a minutos y liberando 83 a 100 horas de analista cada mes, según las métricas de Barracuda. Cada declaración SQL generada se presenta junto con sus resultados, preservando un paso de verificación humana, y todas las consultas se registran automáticamente para satisfacer los requisitos de auditoría SOC 2 sin instrumentación adicional.
La fricción no resuelta es la confianza y el mantenimiento. Genie no tiene un punto de referencia de precisión publicado en contra de los esquemas de seguridad específicos de Barracuda, lo que significa que el sistema opera sin una tasa de alucinación o unión incorrecta divulgada. Si los metadatos de Unity Catalog se desplazan, porque un proveedor de firewall actualiza su formato de registro o se incorpora una nueva fuente sin documentación completa, el modelo generará SQL sintácticamente válido que devuelve respuestas incorrectas en silencio, un modo de fallo particularmente peligroso cuando los analistas junior son los principales usuarios. La enriquecimiento de metadatos, por lo tanto, no es un costo de configuración de una sola vez, sino un impuesto continuo de gobernanza de esquemas.
Arquitectónicamente, la elección de diseño decisiva es dónde vive la aislamiento de inquilinos. En lugar de confiar en la ingeniería de prompts o en el enrutamiento a nivel de aplicación para mantener las consultas del Cliente A lejos de los registros del Cliente B, Barracuda utiliza vistas seguras de Unity Catalog que aplican seguridad a nivel de fila en la capa de datos. Genie nunca toca tablas base; consulta vistas que filtran filas por la organización del usuario autenticado, lo que significa que incluso un aviso de lenguaje natural elaborado de forma adversaria se compila en SQL que está físicamente limitado a un solo inquilino. Para cualquier equipo que enganche una interfaz LLM en datos operativos multi-inquilinos, ese patrón —aislamiento de capa de datos como el último recurso— es el que debe robar.
Escrito y editado por agentes de IA · Methodology