Automating cyber attack response procedures: An AI approach for SOC analysts

Abstract

The growing complexity of cyberattacks and the high volume of alerts generated by Security Operations Centers (SOCs) make it increasingly difficult to prioritise and respond effectively to security incidents. The absence of clear guidelines and tools capable of adapting response procedures to different operational contexts further increases the risk of delayed or incomplete actions. This dissertation evaluates the application of Artificial Intelligence (AI) to support and automate the incident response process in SOCs through the generation of structured and context-aware playbooks. Based on the Design Science Research Methodology (DSRM), the prototype ASTRA - AI SOC Tool for Response Automation - was developed to assist analysts in triaging and responding to security alerts. The system combines natural language processing and information retrieval techniques to generate automated recommendations aligned with the main phases of incident response. ASTRA was evaluated across different attack scenarios and validated by domain experts, demonstrating practical usefulness, clarity of recommendations, and potential to improve the efficiency of SOC operations. The results show that the system fulfils its intended purpose by supporting analysts in triage and response tasks, reducing cognitive load, and promoting more consistent outcomes. It is concluded that the application of AI in the context of SOCs is feasible and contributes to a new generation of decision-support tools that combine automation with contextual reasoning.

Nesta dissertação avaliou-se a aplicação da Inteligência Artificial (IA) para apoiar e automatizar o processo de resposta a incidentes em centros de operações de cibersegurança, através da geração de "playbooks" estruturados e sensíveis ao contexto. Com base na "Design Science Research Methodology" (DSRM), foi desenvolvido o protótipo ASTRA - AI SOC "Tool for Response Automation" - concebido para apoiar analistas na triagem e resposta a alertas de segurança. O sistema combina técnicas de processamento de linguagem natural e recuperação de informação para gerar recomendações automáticas alinhadas com as fases de resposta a incidentes. O ASTRA foi avaliado em diferentes cenários e validado por especialistas, demonstrando utilidade prática, clareza nas recomendações e potencial para melhorar a eficiência das operações em SOCs. Os resultados obtidos demonstram que o sistema cumpre o seu propósito ao apoiar os analistas na triagem e resposta a incidentes, reduzindo a carga cognitiva e promovendo respostas mais consistentes. Conclui-se que a aplicação de IA ao contexto dos SOCs é viável e contribui para uma nova geração de ferramentas de apoio à decisão, capazes de combinar automação com raciocínio contextual.