Microsoft Sentinel数据湖:利用AI和统一安全数据革新SIEM
发布日期:2025年7月22日
作者:Scott Woodgate 和 Krishna Kumar Parthasarathy
阅读时间:6分钟
突破传统SIEM的局限
安全运营团队长期面临管理海量快速增长的数据集的挑战,而扩展传统数据管理工具以处理这些数据量的成本已变得不可持续。我们正在演进行业领先的安全事件与事件管理(SIEM)解决方案Microsoft Sentinel,引入现代化、经济高效的数据湖。通过统一所有安全数据,现已进入公开预览的Microsoft Sentinel数据湖加速了AI代理防御的采用,提供无与伦比的可见性,使团队能够更快地检测和响应威胁。借助Sentinel数据湖,您不再被迫在保留关键数据和保持预算之间做出选择。
从云原生SIEM到数据湖的演进
五年前,Microsoft Sentinel推出了首个云原生SIEM,简化了数据接入并将AI的力量引入威胁检测。¹ 此后,我们将Sentinel与Microsoft Defender集成,并通过实时威胁情报、指导性建议和自动化响应能力进行了丰富。Microsoft Sentinel数据湖是这一旅程的下一步——旨在帮助安全领导者突破传统SIEM的限制,将安全数据置于安全运营中心(SOC)的核心,实现规模化且无妥协。现在,您可以继续您的旅程并接入Microsoft Sentinel数据湖。
打破数据孤岛以提升安全性
随着安全日志量的快速增长,团队被迫做出痛苦的权衡:减少日志记录以承担盲点风险,缩短保留时间以牺牲取证深度,或在SIEM中管理所有安全数据时承担不可持续的成本。这是现代安全的悖论:数据越多,有效利用数据的难度越大。没有统一、长期的可见性,即使是最先进的AI模型也无法发挥其全部潜力。数据孤岛意味着错过的网络威胁、延迟的调查和未充分利用的工具。
Microsoft Sentinel数据湖专为解决这一挑战而构建,并为代理防御奠定了基础。它将来自Microsoft和第三方来源的所有安全数据汇集到一个经济高效的数据湖中,提供超过350个原生连接器。数据保留成本低于传统分析日志的15%,支持无缝威胁情报丰富和AI驱动的全环境检测。这不仅是一个新产品,更是一种新的安全运营架构——使安全团队能够跨数月或数年追踪网络威胁,精确重建事件,并释放AI的全部价值。
“Microsoft对Sentinel数据湖的愿景反映了网络安全中最重要的事项:清晰性、规模和实际影响。通过全球超过1,200个Sentinel部署,BlueVoyant亲眼目睹了大规模数据挑战的普遍性。Sentinel数据湖标志着SIEM和SOAR模型的自然演进,关键支持现代分析、数据科学和灵活的摄取策略。对于希望现代化其安全运营的客户来说,这是关键的一步。”
—Milan Patel, BlueVoyant首席营收官
democratizing威胁情报
为了进一步帮助防御者充分利用其数据,我们通过将Microsoft Defender威胁情报(MDTI)功能整合到Defender XDR和Sentinel中, democratizing威胁情报,无需额外费用;这意味着安全团队不再需要购买单独的SKU来访问这些强大功能。MDTI的价值将逐步合并到Sentinel和Defender XDR中,从2025年10月开始,所有Microsoft第一方威胁报告,包括情报档案和妥协指标(IoCs),将在Defender XDR中可用。此外,IoCs将纳入Sentinel案例管理,以便客户在组织内跨团队协作和共享威胁情报。其余功能将逐步提供。
通过这一变化,安全团队可以轻松利用前线威胁情报的强大存储库,该存储库源自每日84万亿个信号,并得到超过10,000名Microsoft安全专家的支持。阅读更多关于Sentinel和Defender中这一附加价值如何通过实时、高质量的威胁数据大大增强能力的信息。
赋能安全团队做更多
AI在网络安全的承诺一直很 bold:更快的检测、更智能的响应,以及超越最复杂网络攻击者的能力。但大多数安全团队受限于碎片化的数据和不完整的上下文。将数据 centralized在威胁情报丰富的数据湖中消除了孤岛,并确保像Security Copilot这样的AI模型拥有检测 subtle网络攻击模式、跨时空关联信号和 surface高保真警报所需的完整上下文。这为代理防御的未来奠定了基础,其中AI不仅仅是辅助,而是行动。这一转变现在使安全团队能够:
- 追溯数年的网络攻击者行为,而无需过多担心存储限制
- 通过关联资产、活动和威胁情报数据,处理 breach前和 breach后的用例
- 利用实时威胁情报更快地进行分类,并 retroactively hunt历史数据
- 基于最新的IoCs和战术、技术和程序(TTPs)自动触发检测
- 使用Kusto查询语言(KQL)和Apache Spark查询跨扩展时间范围并检测 subtle网络攻击模式
- 通过可扩展、经济高效的数据保留支持法规和合规需求
这些是现代安全运营中最重要的工作,现在它们更容易、更快且更经济高效地执行。
“对于网络团队来说,数据的 massive proliferation可能会误导焦点或延迟对 genuine [网络]威胁的响应。Microsoft Sentinel数据湖可以成为数据 centralized和可见性以及跨大量数据集进行历史分析的有价值工具。与Microsoft一起,Accenture可以帮助我们的客户利用数据湖扩展Microsoft Sentinel的力量,以 supercharge攻击检测和主动修复。”
—Rex Thexton, Accenture Security首席技术官
简化运营并准备AI就绪
Microsoft Sentinel数据湖通过Microsoft Defender门户中的灵活、 centralized体验简化了数据管理——将您的安全数据与防御者每天用于预防、检测和响应网络威胁的工具汇集在一起。分析师可以在分析和数据湖层之间无缝移动,实现实时响应和深度调查,所有来自单一界面。同时,存储在分析层中的所有数据自动在数据湖层中可用,并且由于它基于开放格式,组织可以定制分析工作流、构建自定义机器学习(ML)模型,并利用熟悉的工具,在单一副本的安全数据上扩展数据湖的价值以满足其独特需求。无论您是整合工具、扩展SOC还是准备AI驱动的防御,Sentinel数据湖都能适应您的安全策略和旅程。
“Sentinel数据湖使SOC团队进入安全运营的下一个时代。能够确保安全 estate的覆盖——跨所有安全数据源和 vast时间范围——使安全团队能够主动检测 latent网络攻击,使用AI驱动的模型检测 emerging网络威胁,以取证细节重建网络攻击时间线,并 retroactively uncover妥协指标,否则可能会被忽视。”
—Srini Tummalapenta, IBM杰出工程师、IBM咨询网络安全服务首席技术官
推动安全运营的边界
这一发布不仅仅是一个产品演进,使安全运营团队能够以最大可见性更快地响应。Microsoft Sentinel继续推动边界,采用可扩展的架构,将SIEM、扩展检测和响应(XDR)以及威胁 intelligence整合到单一集成体验中。Sentinel数据湖是这一演进的基础,使安全团队能够比以往更智能、更经济高效地推理更多数据。
Microsoft安全创新
加入我们,在2025年9月30日的 upcoming数字活动中探索下一波AI优先的端到端安全创新。注册以在注册开放时收到通知
立即开始
Microsoft Sentinel数据湖现已进入预览。加入我们,重新定义安全运营的可能性:
要了解更多关于Microsoft安全解决方案的信息,请访问我们的网站。收藏安全博客以跟上我们专家对安全事务的覆盖。此外,在LinkedIn(Microsoft Security)和X(@MSFTSecurity)上关注我们,获取网络安全的最新新闻和更新。
¹宣布新的基于云的技术以赋能网络防御者,Official Microsoft Blog。Ann Johnson。2019年2月28日。