Observo AI、实时数据管道与自主SOC的未来：从根基重新思考安全数据

今天，SentinelOne宣布已达成协议收购Observo AI——我们相信这笔交易将成为我们战略的重要加速器，也是实现我们愿景的关键一步。

数据管道是任何企业IT转型的关键。数据管道、本地部署和云原生是现代信息技术运行的核心路由机制。这一点在今天尤为突出，因为需要将高度净化、关键上下文数据接入基于LLM的系统，以真正开启代理AI的未来。同时，企业迫切需要将数据从遗留系统迁移到可扩展、理想情况下支持实时处理的技术中。一个能够将数据从任何源传输到任何目的地的强大数据管道，是成功现代化任何IT环境的关键需求，包括Microsoft Azure、AWS和GCP等所有云平台，甚至可以在它们之间移动数据。所有这些都以完全安全的方式进行。

现代数据管道不仅仅停留在路由数据上，它们还会实时内联地过滤、转换和丰富数据——这是提高数据效率和优化成本的必然要求。

简而言之，在系统之间自由移动数据对任何企业来说都是一个巨大的技术优势，尤其是在当前。

这就是我们收购实时数据管道市场领导者Observo.AI的原因。我们相信这笔交易将为客户和合作伙伴带来巨大利益。

我们明确承诺，将继续向所有企业提供Observo的数据管道，无论他们是否是SentinelOne Singularity客户。我们支持完全的自由和控制，帮助所有客户能够拥有、保护并将其数据路由到任何他们想要的地方。

特别是对于安全数据，数据管道就像是输送血液的心脏。它统一来自所有可能来源的企业安全数据，包括终端产品和控件、安全事件聚合器、数据湖以及任何本地或云端的自定义源。正如我上面提到的，数据管道连接点是数据迁移的关键环节。

最佳的安全性来自于最大的可见性。Observo.AI将使SentinelOne能够将数据即时引入我们的实时数据湖——为客户带来前所未有的成果，标志着向统一、实时、AI驱动的安全性迈出了一大步，离监督式自主安全运营更近一步。

数据管道与安全运营现状

当今的安全运营团队并不缺乏数据。他们缺乏的是可用数据、低延迟和相关内容。

罪魁祸首是什么？是为现代AI驱动的SOC和当今不断扩大的攻击面而构建的遗留数据管道。结果是成本增加、复杂性提高和延迟加剧——迫使团队在可见性、保护范围和响应速度上做出妥协。

Observo AI应运而生——这是一个现代化的AI原生数据管道平台，让企业能够实时完全控制其数据流。

通过收购Observo AI，SentinelOne将直接应对客户最关键的安全数据挑战。

Observo AI提供了一个实时数据管道，可在数据到达SIEM或数据湖之前，在企业范围内接收、丰富、汇总和路由数据。这使得客户能够显著降低成本、改进检测能力，并在任何环境中更快地采取行动。因此，通过允许快速无缝地将数据路由到我们的AI SIEM或任何其他目的地，我们可以为客户和合作伙伴创造显著的新价值。

这是一项经过多月酝酿的收购和决策——是详尽技术评估、深入客户互动以及基于我们在所有并购活动中应用的严谨方法得出的明确信念的结果。当你彻底努力识别最佳技术时，你可以缩短上市时间并改善客户成果。在这种情况下，结论很明确：Observo AI是市场上最好的实时数据管道平台，远远领先于其他方案。

增长的数据、复杂性和攻击面

随着端点、身份、云、GenAI应用、智能代理和基础设施中的数据量不断增长，核心挑战不再关乎收集，而是关乎控制。安全团队需要在不断扩大的攻击面上更快地采取行动——需要更多的上下文和更低的管理开销。但当今的数据管道是瓶颈——为批处理构建，可见性有限，静态且对现代环境过于僵化。

为了推动安全向真正的自主性发展，我们需要的不仅仅是检测和响应。我们需要一个流式数据层，能够智能地、大规模地接收、优化、丰富、关联和路由数据。

通过与Observo AI联手，SentinelOne可以提供一个现代化的AI原生数据平台，让企业能够实时完全控制其数据流——允许快速无缝地将数据路由到我们的SIEM或任何其他目的地。

这也增强了我们通过Singularity已经提供的价值，并引入了一种降低数据成本、改进威胁检测的新模型，适用于任何SIEM或数据湖——帮助客户降低数据开销，提高信号质量，并从他们已有的数据中提取更多价值，无论数据位于何处。

遗留数据管道让位于下一代

昨天的安全数据管道不是为自主系统和操作设计的。它们是为手动分类、静态规则和摄取后过滤而构建的。随着组织向AI驱动的SOC迈进，这种模式已经崩溃。

当今的数据存在以下问题：

• 重复和嘈杂
• 在丰富化和规范化方面延迟
• 跨环境不一致
• 摄取和存储成本高昂
• 本质动态而解决方案僵化

结果是太多的安全运营团队被迫妥协——在成本、速度、复杂性、创新上妥协，更糟糕的是——在正确的时间获得正确的可见性上妥协。

Observo AI正在定义下一代数据管道，通过充当数据的AI驱动流控制平面来改变这一现状。它在SIEM、数据湖和AI引擎的上游运行——在数据到达存储或分析之前应用实时丰富、过滤、路由、汇总和掩码。所有这些都通过持续从数据中学习的强大AI模型实现。

它不仅仅是处理更多数据。它以更低的运营开销更快地提供更好的数据。

结果是团队现在可以无妥协地利用SOC中所有数据的全部优势。

Observo AI实时数据管道的优势

Observo AI从任何源（本地、边缘或云）接收数据，并将数据路由到任何目的地，包括SIEM、对象存储、分析引擎和像Purple AI这样的AI系统。

关键能力包括：

• 开放集成 – 支持行业标准和格式，如OCSF、OpenTelemetry、JSON和Parquet——确保跨多样化生态系统的兼容性。
• 基于ML的汇总和缩减 – 使用机器学习将数据量减少高达80%，而不丢失关键信号。
• 流式异常检测 – 在传输中检测异常值和异常数据，而非事后。
• 上下文丰富 – 实时添加GeoIP、威胁情报、资产元数据和评分。
• 字段级优化 – 根据使用模式动态识别并丢弃冗余或未使用的字段。
• 自动化PII编辑 – 在流式传输中检测并掩码结构化和半结构化格式中的敏感数据。
• 基于策略的路由 – 支持条件逻辑，将特定数据子集（如故障、高风险活动或丰富日志）转发到目标目的地。
• 代理管道接口 – 使团队能够通过自然语言生成和修改管道，而不仅仅是静态配置文件。

我们从评估和客户中学到了什么

在今天的公告之前，我们对更广泛的数据管道领域进行了实际技术评估。我们从九家供应商开始，根据架构、成熟度和可扩展性筛选到四家。

为了评估潜在的技术OEM合作伙伴，我们进行了跨11个技术维度的结构化评分过程，每个维度代表可扩展、安全和高性能数据摄取和转换的关键能力。

评估标准包括：

• 可扩展的数据摄取
• 本地和云收集支持
• 监控和用户体验
• 集成速度
• 预构建安全集成的广度
• OCSF映射和规范化
• 数据转换和丰富能力
• 过滤和流式支持
• 敏感数据检测（PII）
• 异常检测
• 供应商锁定缓解（例如，开放格式、无关路由）

每个类别使用三级评分标准进行评分：

✅ 超出预期 – 成熟、生产级能力 ⚠️ 符合预期 – 功能足够，可能需要优化或未来路线图改进 ❌️ 不符合预期 – 不支持或显著受限

最终供应商得分通过对所有11个类别进行归一化计算，基于技术深度、部署准备度和可扩展性进行比较排名。基于这种方法，Observo成为明显的领先者，在性能、用户体验、协议支持和时间价值方面优于所有其他解决方案。

Observo AI成为明显的领导者——在几乎所有类别中得分最高。优势明显。

我们还进行了数十次跨行业的SentinelOne客户访谈——从大规模科技公司到财富500强企业。这些组织通常每天的数据摄取量达到数十TB，并有明确的计划扩展到超过100+ TB/天。

在这些对话中，一个主题是一致的：Observo AI是最好的——唯一被认真考虑的下一代、高度可扩展的数据管道解决方案。

其他解决方案被认为要么太僵化，管理太复杂，要么缺乏自动化和扩展能力。有些被视为坚实的第一代尝试——适用于基本日志传输，但不是为实时、AI驱动的操作而构建。

Observo AI因其部署简便、直观界面、快速投资回报时间以及在成本优化、AI支持和客户体验方面的整体成熟度而脱颖而出。正如Alteryx的CISO Lucas Moody所说：“Observo AI解决了我们的数据蔓延问题，这样我们可以将时间、注意力、精力和热情集中在下游重要的事情上。”

总结

• 为另一个时代构建的遗留数据管道正在迫使安全运营团队在可见性、保护范围和响应速度上做出妥协
• Observo AI是定义性的AI原生实时数据管道，可在数据到达SIEM或数据湖之前，在企业范围内接收、丰富、汇总和路由数据
• 通过Observo AI，我们将帮助客户显著降低成本、改进检测能力，并在任何环境中更快地采取行动
• 这将加速我们的AI SIEM战略和数据解决方案——为客户和合作伙伴创造显著的新价值，并使自主SOC离现实更近一步

我们很高兴欢迎Observo AI团队加入SentinelOne，更兴奋于这为我们的客户带来的可能性——一个为AI和自主安全运营时代构建的数据管道。

对于任何希望路由、摄取或优化任何类型企业数据的客户来说，凭借其庞大的集成生态系统和ML驱动的管道，Observo.AI是市场上最好的技术，也是部署最快、能够立即看到实际成果的解决方案。