微软Sentinel数据湖:用AI和统一安全数据重塑SIEM
发布日期:2025年7月22日
阅读时间:6分钟
作者:Scott Woodgate 和 Krishna Kumar Parthasarathy
突破传统SIEM的局限
安全运营团队长期面临管理海量、快速增长数据集的挑战,而扩展传统数据管理工具的成本已变得不可持续。微软正在演进行业领先的安全事件与事件管理(SIEM)解决方案——Microsoft Sentinel,引入现代且经济高效的数据湖。通过统一所有安全数据,Microsoft Sentinel数据湖(现处于公开预览阶段)加速AI代理防御的采用,提供无与伦比的可见性,使团队能够更快地检测和响应。借助Sentinel数据湖,您不再被迫在保留关键数据和保持预算之间做出选择。
数据湖的演进历程
Microsoft Sentinel始于五年前,作为首个云原生SIEM,简化了数据接入并将AI能力引入威胁检测。此后,我们将其与Microsoft Defender集成,并通过实时威胁情报、指导性建议和自动化响应能力进行增强。Microsoft Sentinel数据湖是这一旅程的下一步——旨在帮助安全领导者突破传统SIEM的限制,将安全数据置于安全运营中心(SOC)的核心,实现规模化且无妥协。现在,您可以继续您的旅程并接入Microsoft Sentinel数据湖。
打破数据孤岛,提升安全性
随着安全日志量快速增长,团队被迫做出艰难权衡:减少日志记录以冒险产生盲点、缩短保留时间以牺牲取证深度,或在SIEM中管理所有安全数据时承担不可持续的成本。这是现代安全的悖论:数据越多,有效使用越难。没有统一、长期的可见性,即使最先进的AI模型也无法发挥其全部潜力。数据孤岛意味着错过网络威胁、延迟调查和工具未充分利用。
Microsoft Sentinel数据湖专为解决这一挑战而构建,并为代理防御提供基础。它通过350多个原生连接器,将来自微软和第三方来源的所有安全数据整合到一个经济高效的数据湖中。数据保留成本低于传统分析日志的15%,支持无缝威胁情报增强和AI驱动的全环境检测。这不仅是新产品,更是安全运营的新架构——使安全团队能够跨数月或数年狩猎网络威胁、精确重建事件并释放AI的全部价值。
“微软对Sentinel数据湖的愿景反映了网络安全中最重要的事项:清晰性、规模和实际影响。凭借全球超过1,200个Sentinel部署,BlueVoyant亲眼看到了大规模数据挑战的普遍性。Sentinel数据湖标志着SIEM和SOAR模型的自然演进,关键支持现代分析、数据科学和灵活摄取策略。对于寻求现代化安全运营的客户来说,这是关键一步。”
—Milan Patel, BlueVoyant首席营收官
democratize威胁情报
为了进一步帮助防御者充分利用数据,我们通过将Microsoft Defender威胁情报(MDTI)能力整合到Defender XDR和Sentinel中(无需额外费用)来 democratize威胁情报;这意味着安全团队不再需要购买单独的SKU来访问这些强大功能。MDTI价值将逐步合并到Sentinel和Defender XDR中,从2025年10月开始,所有微软第一方威胁报告(包括情报档案和妥协指标(IoCs))将在Defender XDR中提供。此外,IoCs将纳入Sentinel案例管理,以便客户在组织内跨团队协作和共享威胁情报。其余功能将逐步提供。
通过这一变化,安全团队可以轻松利用强大的前线威胁情报库,其来源包括每日84万亿信号,并得到10,000多名微软安全专家的支持。阅读更多关于Sentinel和Defender中这一增值如何通过实时、高质量威胁数据极大增强能力的信息。
赋能安全团队做得更多
AI在网络安全的承诺一直很 bold:更快的检测、更智能的响应以及超越最复杂网络攻击者的能力。但大多数安全团队受限于碎片化数据和不完整上下文。将数据集中到威胁情报丰富的数据湖中消除了孤岛,并确保像Security Copilot这样的AI模型拥有检测微妙网络攻击模式、跨时空关联信号和 surface高保真警报所需的完整上下文。这为代理防御的未来奠定了基础,其中AI不仅辅助,而且行动。这一转变现在赋能安全团队:
- 回溯多年网络攻击者行为,无需过多担心存储限制
- 通过关联资产、活动和威胁情报数据处理违规前和违规后用例
- 利用实时威胁情报更快分类并回溯狩猎历史数据
- 基于最新IoCs和战术、技术与程序(TTPs)自动触发检测
- 使用Kusto查询语言(KQL)和Apache Spark查询扩展时间范围并检测微妙网络攻击模式
- 通过可扩展、经济高效的数据保留支持法规和合规需求
这些是现代安全运营中最重要的任务,现在执行起来更简单、更快且更经济高效。
“对于网络团队来说,数据的 massive proliferation可能误导焦点或延迟对真正威胁的响应。Microsoft Sentinel数据湖可以成为数据集中和可见性以及跨大量数据集进行历史分析的有价值工具。与微软一起,Accenture可以帮助我们的客户利用数据湖扩展Microsoft Sentinel的能力,以超级充电攻击检测和主动修复。”
—Rex Thexton, Accenture Security首席技术官
简化运营并准备AI就绪
Microsoft Sentinel数据湖通过Microsoft Defender门户中的灵活、集中式体验简化数据管理——将您的安全数据与防御者每天用于预防、检测和响应网络威胁的工具结合在一起。分析师可以在分析和数据湖层级之间无缝移动,实现实时响应和深度调查。同时,所有存储在分析层级的数据自动在数据湖层级可用,并且由于基于开放格式,组织可以定制分析工作流、构建自定义机器学习(ML)模型,并利用熟悉工具,在单一安全数据副本上扩展数据湖的价值以满足其独特需求。无论您是整合工具、扩展SOC还是准备AI驱动的防御,Sentinel数据湖都适应您的安全策略和旅程。
“网络攻击面随着混合云环境中部署的每个应用程序和AI应用程序而扩展,AI驱动的攻击也在同样快速发展。许多组织仍然缺乏的不仅仅是更好的工具——而是其IT资产、配置和业务上下文的实时可见性。为了理解其全面暴露,组织需要正确的资产情报和行业共同努力。新的Microsoft Sentinel数据湖代表了朝着这一方向的有价值一步;IBM致力于跨生态系统工作以帮助解决这一挑战。”
—Srini Tummalapenta, IBM杰出工程师、IBM咨询网络安全服务首席技术官
推动安全运营的边界
此次发布不仅标志着产品演进,使安全运营团队能够以最大可见性更快响应。Microsoft Sentinel继续推动边界,通过可扩展架构将SIEM、扩展检测与响应(XDR)和威胁情报结合到单一集成体验中。Sentinel数据湖是这一演进的基础,使安全团队能够比以往更智能、更经济地推理更多数据。
微软安全创新
加入我们,在2025年9月30日的 upcoming数字活动中探索下一波AI优先的端到端安全创新。注册以在开放注册时收到通知
立即开始
Microsoft Sentinel数据湖现处于预览阶段。加入我们,重新定义安全运营的可能性:
要了解更多关于Microsoft安全解决方案的信息,请访问我们的网站。收藏安全博客以跟上我们专家对安全事务的覆盖。同时,在LinkedIn(Microsoft Security)和X(@MSFTSecurity)上关注我们,获取网络安全的最新新闻和更新。
¹宣布新的基于云的技术以赋能网络防御者,官方微软博客。Ann Johnson。2019年2月28日。