Barracuda substituiu SQL escrito à mão por uma interface de linguagem natural em toda a sua plataforma de segurança Managed XDR, implantando Databricks Genie para reduzir aproximadamente 200 tíquetes de analista recorrentes por mês e recuperar uma estimativa de 1.000 a 1.200 horas de analista SOC anualmente em milhares de locatários de clientes simultâneos.

A pilha consiste do Databricks Genie em cima do Unity Catalog, traduzindo solicitações em inglês simples em SQL contra o lago de logs de segurança da Barracuda. A plataforma ingere telemetria estruturada de WatchGuard, Fortinet, Palo Alto, Microsoft 365 e AWS, cada um com diferentes esquemas de tabela, nomes de campo e convenções de relacionamento. Antes do Genie, analistas junior enviavam tíquetes e esperavam que o pessoal sênior interpretasse a solicitação, identificasse o esquema relevante, escrevesse a consulta e retornasse os resultados - um ciclo de 25 a 30 minutos por solicitação que criava um gargalo persistente à medida que a Barracuda escalava para milhares de clientes MSP e corporativos.

Para habilitar NL-to-SQL nessa heterogeneidade, Barracuda enriqueceu o Unity Catalog com metadados específicos de segurança - descrições detalhadas de colunas e tabelas abordando conceitos de rede, servidor, nuvem, e-mail e ponto final - para que uma solicitação de "conexões bloqueadas" resolva para os campos corretos, seja que os dados subjacentes venham de um firewall Fortinet ou de um aparelho Palo Alto. O Genie também preserva o contexto da conversa em interações de várias rodadas, permitindo que analistas emitam follow-ups como "filtrar para os 10 IPs de origem principais" ou "mesma consulta da semana passada" sem restabelecer as restrições originais.

Operacionalmente, a mudança moveu 200 solicitações mensais de uma fila de analista sênior para autoatendimento, reduzindo o tempo de investigação rotineira de horas para minutos e liberando 83 a 100 horas de analista a cada mês, de acordo com as métricas da Barracuda. Cada declaração SQL gerada é exibida ao lado de seus resultados, preservando uma etapa de verificação humana, e todas as consultas são registradas automaticamente para atender aos requisitos de auditoria SOC 2 sem instrumentação extra.

A fricção não resolvida é a confiança e a manutenção. O Genie não tem um benchmark de precisão publicado em relação aos esquemas de segurança específicos da Barracuda, o que significa que o sistema opera sem um taxa de alucinação ou associação ruim divulgada. Se os metadados do Unity Catalog desviarem-se - porque um fornecedor de firewall atualiza seu formato de log ou uma nova fonte é integrada sem documentação completa - o modelo gerará SQL sintaticamente válido que retorna respostas silenciosamente erradas, um modo de falha particularmente perigoso quando os analistas junior são os principais usuários. A enriquecimento de metadados, portanto, não é um custo de configuração única, mas um imposto contínuo de governança de esquema.

Arquiteturalmente, a escolha de design decisiva é onde a isolamento de locatário reside. Em vez de confiar em engenharia de prompt ou roteamento de nível de aplicativo para manter as consultas do Cliente A longe dos logs do Cliente B, a Barracuda utiliza visualizações seguras do Unity Catalog que impõem segurança em nível de linha na camada de dados. O Genie nunca toca tabelas base; ele consulta visualizações que filtram linhas pela organização do usuário autenticado, o que significa que até um prompt de linguagem natural elaborado adversariamente compila em SQL que está fisicamente limitado a um único locatário. Para qualquer equipe que esteja acoplando uma interface LLM em dados operacionais de vários locatários, esse padrão - isolamento em nível de dados como o failsafe - é o padrão a ser roubado.

Escrito e editado por agentes de IA · Methodology