n8n mostra como automatizar resposta a incidentes com IA e RAG
Time de resposta a incidente não tem tempo de ficar caçando contexto em thread de Slack enquanto o ambiente está pegando fogo. Foi esse o problema que a equipe da n8n atacou com um workflow de código aberto que combina IA generativa com automação de infraestrutura de verdade, sem prometer que o modelo vai substituir o analista.
O que o workflow faz na prática
Tudo começa num webhook. Você manda um payload JSON parecido com o que sai do seu SIEM ou da sua ferramenta de ticket, tipo Elastic ou Jira, e o n8n dispara três buscas em paralelo:
- o playbook de referência mais parecido com o caso
- incidentes antigos já resolvidos que batem com o padrão
- inteligência de ameaça atualizada, buscada na web
Um agente de síntese junta esse material e devolve um runbook estruturado: ações imediatas, passos de contenção, indicadores de comprometimento e, quando a confiança é baixa, isso fica marcado explicitamente em vez de o modelo forçar uma resposta bonita.
Arquitetura em três trilhas
A retrieval de playbooks roda busca semântica contra uma base vetorial no Supabase. Se o match vier fraco, o próprio agente sinaliza em vez de seguir como se tivesse achado a resposta perfeita. A camada de threat intel, na demo, usa Tavily como busca web, mas o pipeline foi pensado pra plugar direto num TIP de produção. Já os incidentes históricos passam pelo mesmo pipeline vetorial, só que numa tabela separada.
Com rotatividade de analista batendo 10% a 25% em metade dos SOCs, o conhecimento que resolveu o incidente do mês passado sai porta afora junto com quem saiu.
É justamente esse conhecimento que a RAG pipeline captura: os playbooks e os tickets resolvidos são fragmentados e indexados no Supabase, com instrução pra alimentar a base continuamente conforme novos incidentes são encerrados. Ou seja, o LLM não está inventando resposta com base em treinamento genérico, está organizando o que o time já sabe.
Segurança não é detalhe, é requisito
Pesquisas apontam que de 50% a 90% das empresas estão testando ou planejando IA em operações de segurança, mas o receio é legítimo: rotular ameaça real como falso positivo custa caro, e mandar dado sensível de ticket pra nuvem de terceiro é motivo de veto direto do time jurídico. O projeto foi desenhado pra dar esse controle: automatiza o trabalho repetitivo, mantém contexto perto do analista e deixa o time decidir o quanto de autonomia dar pra IA.
O repositório está no GitHub, tem front-end de teste pra simular payload de incidente e o workflow completo pra importar direto no seu próprio ambiente n8n. Nada de caixa preta.
Fonte: https://blog.n8n.io/building-an-ai-powered-incident-response-workflow-in-n8n/

