Databricks推出智能SIEM工具Lakewatch 重构安全数据分析成本逻辑

近日，大数据及AI平台厂商Databricks正式推出面向企业安全场景的智能代理型SIEM（安全信息和事件管理）工具Lakewatch，该产品将安全数据的成本支出从传统的存储摄入侧转移至计算侧，可降低企业安全数据长期留存成本超40%，同时支持更深度的多源安全数据关联分析，其实际落地性价比也引发了全球企业安全行业的广泛讨论。

国内某中型互联网企业安全负责人最近算了一笔账：为了满足等保2.0要求留存6个月的全量安全日志，他们使用传统SIEM产品的年支出已经超过30万元，如果要把留存周期拉长到12个月用于攻击溯源，成本还要再涨60%——这也是绝大多数企业安全团队面临的共同困境。

随着云原生架构的普及和企业终端设备数量的增长，企业日均产生的安全日志、流量数据等安全相关信息年增速已经超过60%。而传统SIEM厂商普遍采用按数据摄入量阶梯定价的模式，数据摄入、长期存储的成本占整体SIEM支出的70%以上。根据全球网络安全机构的统计数据，目前有近6成的中小企业为了控制成本，将安全日志留存周期缩短到3个月以内，遇到APT攻击、数据泄露等需要溯源的安全事件时，往往因为缺少历史数据无法定位攻击来源。

Databricks此次推出的Lakewatch，本质是一款基于湖仓一体架构的AI原生代理型SIEM产品，完全打破了传统SIEM的定价逻辑。其核心特性是安全数据无需提前经过格式化摄入和预存储，可直接存放在企业自有对象存储或Databricks数据湖中，仅在用户发起分析、排查需求时才会触发计算并计费。这种模式下，企业无需为冷存储的安全数据支付额外费用，理论上可以实现安全数据的无限期留存，同时借助内置的大模型智能代理能力，自动关联跨维度的历史数据，攻击链路排查效率比传统规则式SIEM提升3倍以上。