Databricks推出Lakewatch,將產品線從資料與AI平臺延伸到安全營運領域。Lakewatch是一套開放式、代理式的安全資訊與事件管理平臺(SIEM),目前處於私人預覽階段。Databricks表示,這項產品要處理的核心問題,在於傳統SIEM隨著資料量快速增加,往往因儲存與運算綁在一起,導致成本偏高、資料保留時間有限,且不同系統的資料也不易整合。
Databricks試圖把原本用於資料治理與分析的資料湖倉架構,延伸到資安營運場景。官方表示,Lakewatch可將安全、IT與業務資料放在同一個治理環境中處理,讓分析人員不必在不同工具和資料孤島之間切換,就能交叉比對告警、登入紀錄、應用程式日誌,以及其他企業內部資料。其治理基礎建立在Unity Catalog之上,並支援Delta Lake與Apache Iceberg等開放格式。
Lakewatch也整合Genie與相關AI能力,可將自然語言問題轉為查詢,用於威脅狩獵、規則調整與事件調查,同時提供Detection-as-Code機制,讓偵測規則可用YAML、SQL或Python Notebook管理,並納入CI/CD流程。
在資料處理方面,Lakewatch另一個重點是以開放格式保留大規模遙測資料,並將資料匯入、標準化和長期保留列為主要功能。官方指出,Lakeflow Connect可將AWS、Okta、Zscaler等來源資料匯入並正規化為標準表格,資料結構則以OCSF為基礎。Databricks也強調,企業可將安全資料存放在自有雲端物件儲存空間,以降低對單一供應商的依賴。
Databricks這次另公布兩項與Lakewatch相關的動作,其一是深化與Anthropic的合作,Databricks表示,Claude模型將提供Lakewatch支援,利用推理能力關聯安全、IT與業務資料,以更快找出威脅。
其二是宣布收購Antimatter與SiftD.ai,前者由UC Berkeley安全研究人員創立,研究方向針對AI代理的認證與授權安全,後者則由SPL(Search Processing Language)作者與Splunk搜尋架構核心成員創立,Databricks希望藉此補強大規模偵測工程與現代威脅分析能力。
此外,Databricks也宣布成立Open Security Lakehouse Ecosystem,納入Akamai、Okta、Palo Alto Networks、Slack和Zscaler等業者。
