数据管道与安全运营现状
今日的安全运营团队并不缺乏数据,而是缺乏可用数据、存在延迟和相关内容不足的问题。
主要问题在于传统数据管道并非为现代AI驱动的SOC和不断扩大的攻击面而构建。这导致成本增加、复杂性提高和响应延迟,迫使安全团队在可见性、保护范围和响应速度上做出妥协。
Observo AI作为一个现代化的AI原生数据管道平台,让企业能够实时完全控制其数据流。
通过收购Observo AI,SentinelOne将直接应对客户最关键的安全数据挑战。Observo AI提供实时数据管道,在企业数据到达SIEM或数据湖之前进行摄取、丰富、汇总和路由。这使客户能够显著降低成本、改进检测能力,并在任何环境中更快地采取行动。
增长的数据、复杂性和攻击面
随着终端、身份、云、GenAI应用、智能代理和基础设施中的数据量不断增长,核心挑战已不再是数据收集,而是数据控制。安全团队需要在不断扩大的攻击面上以更丰富的上下文和更低的管理开销更快地行动。但当今的数据管道却成为瓶颈——它们为批处理构建,可见性有限,静态且对现代环境过于僵化。
为实现真正的安全自主,我们需要的不仅仅是检测和响应。我们需要一个流式数据层,能够智能、大规模地摄取、优化、丰富、关联和路由数据。
通过与Observo AI合作,SentinelOne能够提供现代化的AI原生数据平台,让企业实时完全控制其数据流,实现快速无缝的数据路由到我们的SIEM或任何其他目的地。
传统数据管道让位于下一代技术
过去的安全数据管道并非为自主系统和操作而设计。它们为手动分类、静态规则和摄取后过滤而构建。随着组织向AI驱动的SOC转型,这种模式已经失效。
当今的数据存在以下问题:
- 重复和嘈杂
- 丰富和规范化延迟
- 跨环境不一致
- 摄取和存储成本高昂
- 数据本质动态而解决方案僵化
结果是太多安全运营团队被迫妥协——在成本、速度、复杂性、创新上妥协,更糟糕的是,在关键时刻的适当可见性上妥协。
Observo AI正在定义下一代数据管道,通过作为AI驱动的流式数据控制平面来改变这一现状。它在SIEM、数据湖和AI引擎的上游运行,在数据到达存储或分析之前应用实时丰富、过滤、路由、汇总和掩码。所有这些都通过持续从数据中学习的强大AI模型实现。
Observo AI实时数据管道优势
Observo AI从任何来源(本地、边缘或云)摄取数据,并将数据路由到任何目的地,包括SIEM、对象存储、分析引擎和AI系统(如Purple AI)。
关键能力包括:
- 开放集成 - 支持行业标准和格式
- 基于机器学习的汇总和缩减 - 使用机器学习将数据量减少高达80%,同时不丢失关键信号
- 流式异常检测 - 在传输过程中检测异常数据
- 上下文丰富 - 实时添加GeoIP、威胁情报、资产元数据和评分
- 字段级优化 - 根据使用模式动态识别和删除冗余或未使用字段
- 自动PII编辑 - 在流式传输中检测和掩码结构化和半结构化格式中的敏感数据
- 基于策略的路由 - 支持条件逻辑将特定数据子集转发到目标目的地
- 代理管道接口 - 使团队能够通过自然语言生成和修改管道
从评估和客户中获得的经验
在今天的公告之前,我们对更广泛的数据管道领域进行了实际操作技术评估。我们从九家供应商开始,基于架构、成熟度和可扩展性筛选到四家。
为了评估潜在的技术OEM合作伙伴,我们在11个技术维度上进行了结构化评分过程,每个维度代表了可扩展、安全和高性能数据摄取和转换的关键能力。
评估标准包括:
- 可扩展的数据摄取
- 本地和云收集支持
- 监控和用户体验
- 集成速度
- 预构建安全集成的广度
- OCSF映射和规范化
- 数据转换和丰富能力
- 过滤和流式支持
- 敏感数据检测(PII)
- 异常检测
- 供应商锁定缓解
Observo AI成为明确的领导者——在几乎所有类别中得分最高。
我们还进行了数十次SentinelOne客户访谈,涵盖从高科技公司到财富500强企业的各个行业。这些组织通常每天的摄取量达到数十TB,并有明确的计划扩展到100+ TB/天。
在这些对话中,一个主题是一致的:Observo AI是最佳的——唯一被认真考虑的下一代高度可扩展数据管道解决方案。
总结
- 为另一个时代构建的传统数据管道迫使安全运营团队在可见性、保护范围和响应速度上做出妥协
- Observo AI是定义性的AI原生实时数据管道,在企业数据到达SIEM或数据湖之前进行摄取、丰富、汇总和路由
- 通过Observo AI,我们将帮助客户显著降低成本、改进检测能力,并在任何环境中更快地行动
- 这将加速我们的AI SIEM战略和数据解决方案——为客户和合作伙伴创造重要新价值,使自主SOC更接近现实