问题:安全告警“量大、价高、留不住”成为企业安全运营痛点。近年来,云化业务加速扩张带来海量遥测数据,安全信息和事件管理(SIEM)系统需要持续汇聚并分析来自网络设备、云应用、终端与安全工具的日志,用于识别攻击链条和关联事件。然而,SIEM长期存储与高频检索分析上的成本往往较高,不少企业不得不定期清理历史日志以控制费用,进而削弱取证调查、溯源分析与合规审计所需的证据基础。另外——安全团队每天面对大量告警——人员与能力难以匹配,误报与漏报风险随之上升。 原因:成本结构与数据割裂加重运营负担。一上,传统SIEM数据接入、解析、索引与存储等环节资源消耗明显,尤其在按数据量计费或许可模式下,企业长期在“多留数据”和“控制预算”之间反复权衡。另一上,安全工具链条分散,企业常需将数据从数据平台复制到第三方检测、响应或分析工具,并进行格式转换、规则编写与联动处置。重复搬运不仅推高费用,也增加数据治理与权限管理的复杂度。行业层面,攻击手法持续演进、云环境配置变化频繁,使安全运营的竞争焦点从“工具能力”转向“数据治理+自动化响应”。 影响:数据平台厂商加速进入安全赛道,推动“数据即安全底座”的新路径。Databricks此次推出Lakewatch并同步推进并购,反映出大型数据平台企业正尝试把安全能力直接嵌入数据基础设施:让安全分析更贴近数据所位置,减少跨系统传输与复制,从而提升检测速度、降低成本并增强日志留存能力。对用户而言,如果能够以更低成本保留更长周期、更大规模的安全日志,将有助于提升对长期潜伏攻击、供应链风险与复杂入侵活动的识别能力,也更容易满足监管与行业合规对日志留存的要求。对市场而言,这个动向将加剧与传统SIEM厂商及云厂商原生安全服务之间的竞争,促使行业在计费模型、开放标准、数据兼容性与自动化能力上加快迭代。 对策:以“降本、去复制、标准化、自动化”为抓手重塑安全运营流程。根据Databricks披露的信息,Lakewatch主打将日志保存在Amazon S3等对象存储中,以缓解长期留存的成本压力,并强调减少按数据量计费带来的额外许可负担;同时,产品构建在其数据平台之上,可降低将平台内系统日志复制到外部漏洞检测或分析工具的需求,从而减少数据管道与存储的重复开销。在数据治理层面,平台可从企业现有安全工具、云应用及其他数据源接入遥测数据,并将其转换为开放网络安全模式框架(OCSF)等标准结构,降低多源日志因“格式不一、难以关联”带来的门槛,提升查询分析与规则复用效率。在运营层面,平台提供面向管理员的交互式分析入口,用于判断特定攻击活动是否影响内部系统,并支持生成检测脚本、完成测试与部署;同时可通过定制化自动化“智能体”承担告警分级、通知优先级排序等重复性工作,缓解人力压力并提升处置速度。 前景:并购补短板、生态合作扩边界,落地效果仍待验证。Databricks同时宣布收购Antimatter与SiftD,意在补齐从数据保护到安全工程自动化的关键能力。其中,Antimatter聚焦软件即服务场景下的数据保护,强调利用安全飞地等硬件级隔离与加密机制增强防护;SiftD由具有安全工程背景的团队创立,侧重安全工程自动化能力的探索。若两项收购整合顺利,有望增强Lakewatch在数据安全与自动化处置两端的能力深度。与此同时,Databricks也在模型与合作伙伴上加码,以强化智能化分析与辅助决策能力。需要注意的是,SIEM类能力高度依赖数据质量、规则策略、组织流程与权限治理,“智能化”工具的引入仍离不开安全基线建设、持续调优与严格验证。Lakewatch目前处于内部预览阶段,其在真实攻防场景中的误报率、响应闭环效率、与存量安全工具的兼容性以及合规适配能力,仍需后续公开测试和规模化部署检验。
从Lakewatch发布到并购补强可以看到,网络安全竞争正从单点产品延伸到“数据底座+运营体系+自动化能力”的系统化比拼;面对更复杂的攻击形态,企业既需要更长周期、更高质量的数据留存,也需要更高效率、更可控的运营机制。谁能在成本、治理与效率之间形成更稳健的平衡,谁就更可能在下一阶段的安全运营变革中占据主动。