EXPLICABILIDADE COMO INFRAESTRUTURA DE CONFIANÇA: FRAMEWORKS DE XAI PARA APOIO À DECISÃO DE ANALISTAS EM AI-SOAR
DOI:
https://doi.org/10.56238/rcsv16n6-004Palavras-chave:
Inteligência Artificial Explicável, SOC, AI-SOAR, Confiança do Analista, CibersegurançaResumo
A adoção da inteligência artificial em Centros de Operações de Segurança ampliou a capacidade de correlacionar, priorizar e triar alertas em ambientes integrados com plataformas SOAR. No entanto, a automação da triagem não elimina uma limitação central da defesa cibernética contemporânea: os analistas precisam entender por que um determinado alerta foi escalado, por que eventos semelhantes foram tratados de forma diferente e como o comportamento do ambiente monitorado mudou ao longo do tempo. Este artigo propõe um framework conceitual de inteligência artificial explicável para fluxos de trabalho de AI-SOAR, organizado em torno de três camadas interpretáveis: explicações locais, explicações contrastivas e explicações temporais. As explicações locais sustentam a confiança para a ação imediata; as explicações contrastivas fortalecem o reconhecimento de padrões entre eventos maliciosos e benignos; e as explicações temporais aprimoram a consciência situacional ao interpretar sequências, linhas de base e trajetórias de ataque. Como extensão, o artigo discute o uso de grandes modelos de linguagem como interfaces explicativas capazes de traduzir saídas estruturadas de XAI em justificativas em linguagem simples, sem substituir o julgamento humano. O artigo argumenta que a explicabilidade pode funcionar como uma infraestrutura de confiança, auditabilidade e supervisão em fluxos de escalonamento de AI-SOAR.
Downloads
Referências
Ali T, Kostakos P. HuntGPT: integrating machine learning-based anomaly detection and explainable AI with large language models. arXiv. 2023. doi:10.48550/arXiv.2309.16021.
Chhetri MB, Tariq S, Singh R, Jalalvand F, Paris C, Nepal S. Towards Human-AI teaming to mitigate alert fatigue in Security Operations Centres. ACM Trans Internet Technol. 2024;24(3):1-22. doi:10.1145/3670009.
Habibzadeh A, Feyzi F, Atani RE. Large language models for Security Operations Centers: a comprehensive survey. arXiv. 2025. doi:10.48550/arXiv.2509.10858.
Hoff KA, Bashir M. Trust in automation: integrating empirical evidence on factors that influence trust. Hum Factors. 2015;57(3):407-434. doi:10.1177/0018720814547570.
Lee JD, See KA. Trust in automation: designing for appropriate reliance. Hum Factors. 2004;46(1):50-80. doi:10.1518/hfes.46.1.50_30392.
Lundberg SM, Lee SI. A unified approach to interpreting model predictions. In: Advances in Neural Information Processing Systems 30. Red Hook: Curran Associates; 2017. p. 4765-4774.
Nadeem A, Verwer S, Moskal S, Yang SJ. Alert-driven attack graph generation using S-PDFA. IEEE Trans Dependable Secure Comput. 2022;19(2):731-746. doi:10.1109/TDSC.2021.3117348.
Rastogi N, et al. Too much to trust? Measuring the security and cognitive impacts of explainability in AI-driven SOCs. arXiv. 2025. doi:10.48550/arXiv.2503.02065.
Ribeiro MT, Singh S, Guestrin C. "Why should I trust you?" Explaining the predictions of any classifier. In: Proceedings of the 22nd ACM SIGKDD International Conference on Knowledge Discovery and Data Mining. New York: ACM; 2016. p. 1135-1144. doi:10.1145/2939672.2939778.
Sadlek L, Yamin MM, Celeda P, Katt B. Severity-based triage of cybersecurity incidents using kill chain attack graphs. J Inf Secur Appl. 2025;89:103956. doi:10.1016/j.jisa.2024.103956.
Sommer R, Paxson V. Outside the closed world: on using machine learning for network intrusion detection. In: 2010 IEEE Symposium on Security and Privacy. Oakland: IEEE; 2010. p. 305-316. doi:10.1109/SP.2010.25.
Trend Micro. Overworked and under-resourced: why 70% of SOC teams feel overwhelmed. Trend Micro Newsroom; 2021. Available from: https://newsroom.trendmicro.com/2021-05-25-70-Of-SOC-Teams-Emotionally-Overwhelmed-By-Security-Alert-Volume
Vectra AI. State of threat detection: SOC analyst survey. Vectra AI Research; 2023. Available from: https://www.devx.com/daily-news/soc-teams-overwhelmed-ignore-most-alerts/
Downloads
Publicado
Edição
Seção
Licença
Este trabalho está licenciado sob uma licença Creative Commons Attribution-NonCommercial 4.0 International License.
