Panorama e disponibilidade
O recurso entrou em public preview e está disponível imediatamente para usuários elegíveis das edições Enterprise e Enterprise Plus do Google Security Operations, mediante ativação pelo ícone Gemini na interface. O Google planeja levar o agente a disponibilidade geral em 2026, com aprimoramentos adicionais em profundidade de investigação e integração de workflow.
Como o agente funciona
Segundo o anúncio, o agente inicia investigações automaticamente quando alertas são gerados pelo mecanismo de detecção do Google ou pode ser acionado manualmente. Ele executa uma série de ações analíticas, incluindo buscas YARA‑L, enriquecimento por threat intelligence (Google Threat Intelligence), análise de command‑line para identificar comandos codificados/obfuscados e reconstrução de árvore de processos para mapear escopo de execução.
Ao final da investigação, o agente classifica se o alerta é real e atribui um score de confiança que reflete o grau de certeza. O Google ressalta práticas de explicabilidade: o sistema referencia fontes e descreve passos da investigação para que analistas humanos possam avaliar o raciocínio e as evidências que levaram a uma conclusão.
Resultados de testes e casos de uso
Durante a fase privada de testes o agente processou centenas de milhares de alertas em múltiplas organizações; feedback de empresas dos segmentos financeiro e varejo apontou economia de tempo e sumários de investigação que aceleraram decisões. O Google relata que os planos de investigação do agente foram alinhados a boas práticas de investigação consultadas com especialistas Mandiant.
Limitações e pontos de atenção
O anúncio enfatiza mecanismos de avaliação e comparação com analistas humanos para melhorar acurácia, mas não divulga métricas precisas de taxa de falso positivo/negativo para o público. Também não há detalhes técnicos públicos sobre políticas de retenção de dados, uso de logs sensíveis para treinamento do modelo ou controles de privacidade aplicados aos resumos gerados.
Implicações operacionais
Para equipes de SecOps, o agente representa um passo em direção a automação mais profunda de triagem — reduzindo tarefas repetitivas e centralizando enriquecimento. Contudo, a adoção exige validação de confiança operacional e integração com playbooks existentes, além de avaliação sobre governança de decisões automatizadas em investigações que envolvem dados sensíveis.
O Google informa que a inscrição é imediata para clientes elegíveis e que investigações inicializam automaticamente após o opt‑in; a companhia planeja melhorias continuadas até a GA em 2026. As fontes não detalham termos contratuais, custos adicionais ou requisitos de privacidade específicos do referido preview.