Databricks Anuncia Lakewatch: Novo SIEM Aberto e Agentivo

Hoje, anunciamos o Lakewatch, um novo SIEM agente aberto, projetado para ajudar as organizações a se defenderem contra atacantes agentes cada vez mais sofisticados. O Lakewatch unifica dados de segurança, TI e negócios em um único ambiente governado para detecção e resposta por IA. Com formatos abertos, o Lakewatch permite que os clientes ingiram, retenham e analisem volumes sem precedentes de dados multimodais, ao mesmo tempo em que reduzem custos e eliminam o aprisionamento tecnológico. As equipes de segurança obtêm visibilidade completa em toda a empresa e podem implantar agentes de segurança defensivos para automatizar a detecção e resposta a ameaças em grande escala. O Lakewatch está sendo lançado hoje em Private Preview, com clientes que incluem líderes do setor como Adobe e Dropbox.

Também estamos lançando um “Ecossistema Open Security Lakehouse”, que inclui parceiros líderes de segurança e entrega para ajudar os clientes a automatizar a normalização de telemetria em formatos abertos e responder a ameaças com a escala unificada que eles precisam para enfrentar ameaças modernas com defesa automatizada em velocidade de máquina.

Segurança para a Era Agente

A segurança está mudando fundamentalmente. Ataques cibernéticos não são mais apenas operados por humanos. Eles são cada vez mais impulsionados por IA e automatizados. LLMs descobriram mais de 500 zero days em código open-source, agentes de IA se tornaram hackers de alto escalão em plataformas de recompensa por bugs, e grupos patrocinados por estados estão armando IA para automatizar intrusões. Atacantes agora operam em escala de máquina, trabalhando 24 horas por dia, 7 dias por semana para construir exploits e coordenar ataques.

Diante desses ataques em escala de máquina, até mesmo as melhores equipes de operações de segurança enfrentam restrições estruturais. As ferramentas de segurança de hoje exigem que os analistas enriqueçam manualmente alertas, criem regras de detecção manualmente e testem hipóteses de caça a ameaças ao longo de dias ou semanas. Esses fluxos de trabalho poderiam ser eficazes contra ameaças em ritmo humano. Contra ataques impulsionados por IA operando 24 horas por dia, 7 dias por semana e em velocidade de máquina, a própria arquitetura se torna o gargalo. ZeroDayClock.com descobriu que o tempo médio para exploração caiu de 23,2 dias em 2025 para apenas 1,6 dias em 2026.

O problema se agrava quando olhamos para os dados. Grandes empresas geram terabytes, ou até petabytes, de dados de segurança diariamente, mas os SIEMs tradicionais acoplam armazenamento com computação, criando uma penalidade financeira em cada byte ingerido. As equipes respondem limitando a ingestão, filtrando dados através de camadas de roteamento, excluindo dados históricos e ignorando fontes multimodais como logs de chat e vídeo inteiramente. Isso cria uma assimetria perigosa: atacantes usam agentes de IA para analisar tudo e atacar em qualquer lugar, enquanto os defensores veem apenas uma fração de seus próprios dados. SIEMs tradicionais não conseguem processar dados multimodais, mas é exatamente aí que se escondem ataques de engenharia social, ameaças internas e tentativas de prompt injection.

Isso não é apenas um problema de custo ou escala. É uma incompatibilidade arquitetônica fundamental entre as ameaças que enfrentamos e as ferramentas que temos para combatê-las. Já resolvemos esse exato problema antes. Data warehouses tinham as mesmas limitações: ingestão cara, dados isolados, limitados a casos de uso específicos. O lakehouse disruptou esse modelo com formatos abertos, armazenamento barato e suporte para qualquer tipo de dado. Agora estamos trazendo essa mesma transformação para a segurança.

O Lakewatch traz a economia e a arquitetura do lakehouse para operações de segurança. Você pode ingerir e reter 100% da sua telemetria de segurança (incluindo dados multimodais), analisá-la junto com todos os seus dados de negócios e implantar agentes com IA para detecção e resposta a uma fração dos custos legados.

Como o Lakewatch Muda as Operações de Segurança:

Visibilidade Completa em Todos os Dados

As organizações já possuem o contexto necessário para investigar ameaças. Sistemas de RH, plataformas de colaboração, logs de aplicativos e dados de transação residem no lake hoje, mas ferramentas de segurança tradicionais não conseguem acessá-los sem duplicação custosa. O Lakewatch inverte o modelo: a segurança é executada diretamente no lakehouse. Construído sobre o Unity Catalog, seus dados de segurança residem ao lado de todo o resto. Quando um alerta é disparado, você pode correlacionar instantaneamente entre qualquer fonte de dados sem mover arquivos ou trocar de ferramenta. Ataques modernos exploram lacunas entre sistemas e dependem de engenharia social, contexto interno e sinais multimodais que ferramentas legadas não conseguem processar. Com todo o contexto em um só lugar, os analistas podem detectar e conter ameaças em minutos em vez de dias.

O Lakewatch possibilita isso através de:

• Governança em toda a empresa: Controle de acesso granular em níveis de tabela, linha, coluna e atributo com auditabilidade completa em todos os dados.
• Padrões abertos: Construído sobre o Open Cybersecurity Schema Framework (OCSF) para que seus dados nunca fiquem presos em formatos proprietários.
• Ingestão automatizada: Lakeflow Connect lida com a ingestão e normalização das principais fontes de segurança (AWS, Okta, Zscaler, etc.) em tabelas padronizadas.
• Verdadeira propriedade dos dados: Armazene dados no Delta Lake ou Apache Iceberg em seu próprio armazenamento em nuvem, execute consultas em qualquer nuvem e evite o aprisionamento tecnológico.

Combata Agentes com Agentes

SIEMs tradicionais dependem de recursos de IA adicionados que não conseguem acessar o contexto completo dos seus dados. O Lakewatch traz IA embarcada diretamente para onde seus dados de segurança residem. O Genie automatiza fluxos de trabalho críticos, como ingerir e analisar novas fontes de log para OCSF, criar detecções totalmente novas com base nas últimas inteligências de ameaças, modificar regras existentes para reduzir falsos positivos e traduzir perguntas em linguagem natural em consultas SQL. Genie Spaces permite que equipes de segurança consultem petabytes de dados usando inglês simples em vez de linguagens de consulta especializadas, democratizando a caça a ameaças entre diferentes níveis de habilidade.

Principais Capacidades Incluem:

• Genie Code: Assistente de IA para automatizar a ingestão, criar novas detecções, modificar regras para reduzir falsos positivos e traduzir perguntas em linguagem natural em consultas SQL para investigação.
• Genie Spaces: Interface de consulta em linguagem natural e um framework agente que permite a qualquer usuário realizar caça a ameaças complexas em várias etapas, fazendo perguntas aos seus dados sem aprender linguagens de consulta complexas.
• Detection-as-Code: Defina regras de detecção em YAML com consultas SQL ou notebooks Python, faça backtest com dados históricos e implante através de pipelines de CI/CD.
• Detecções personalizadas de ML: Treine e implante modelos de machine learning diretamente nos seus dados de segurança usando MLflow, Feature Store e Model Serving, permitindo detecção de anomalias, análise comportamental, pontuação de risco de entidade e muito mais.
• Dashboards poderosos: Crie dashboards executivos, operacionais e de conformidade com visualizações aprimoradas por IA para monitoramento em tempo real.

SecOps Eficiente em Escala de Petabytes

Ao desacoplar armazenamento de computação, você pode armazenar petabytes de telemetria de segurança de fidelidade total em seu próprio armazenamento em nuvem e pagar apenas pela computação. Execute análises apenas quando necessário usando computação Serverless. Mantenha anos de dados consultáveis em tempo real em vez de semanas. Você é dono dos dados. Você controla os custos.

Isso se traduz em:

• Seus dados, sua propriedade: Telemetria de segurança armazenada em armazenamento de objetos em nuvem que você controla (S3, ADLS, GCS) usando formatos abertos.
• Retenção de longo prazo: Atenda aos requisitos de conformidade e potencialize a caça a ameaças por períodos de vários anos sem penalidades de custo.
• Economia previsível: Armazene logs de fidelidade total em escala sem incorrer em taxas de licenciamento por byte.
• Computação elástica sob demanda: Provisione cargas de trabalho analíticas e de ML poderosas apenas quando necessário, com controle de custo granular.
• Desempenho Serverless: Infraestrutura zero para gerenciar. Pague apenas pelas suas consultas.

Aprofundando a Parceria com a Anthropic

Com base no sucesso da parceria estratégica existente entre as duas empresas, Databricks e Anthropic estão aprofundando sua colaboração para oferecer operações de segurança com agentes. Os modelos Claude da Anthropic ajudam a potencializar o Lakewatch, usando as capacidades avançadas de raciocínio do Claude para correlacionar sinais em dados de segurança, TI e negócios, a fim de identificar ameaças mais rapidamente. A Anthropic também usa Databricks para seu próprio security lakehouse, obtendo visibilidade completa em seus dados de segurança e negócios e detectando ameaças mais cedo.

Ecossistema Aberto de Security Lakehouse

A Databricks acredita que as ameaças atuais exigem colaboração aberta em todo o ecossistema, onde os clientes têm controle total sobre seus próprios dados. É por isso que estamos entusiasmados em anunciar o “Ecossistema Aberto de Security Lakehouse”, um grupo em rápido crescimento de fornecedores de segurança e parceiros de entrega de ponta, incluindo Akamai, Anvilogic, Arctic Wolf, Cribl, Deloitte, Obsidian, Okta, 1password, Palo Alto Networks, Panther, Proofpoint, Rearc, Slack, TrendAI, Wiz (agora parte do Google Cloud) e Zscaler.

A Zscaler compartilha o compromisso da Databricks com um ecossistema aberto. Estamos entusiasmados em ingressar no Ecossistema Aberto de Security Lakehouse e fornecer aos nossos clientes mútuos os dados e as ferramentas de que precisam para defender ataques nativos de IA com soluções nativas de IA. — Eddie Parra, VP Solutions Architect Partner Ecosystem, Zscaler

À medida que as ameaças cibernéticas evoluem para ataques impulsionados por IA em escala de máquina, as organizações podem precisar de uma arquitetura fundamentalmente nova para acompanhar. O Lakewatch representa um passo à frente para as operações de segurança, trazendo o poder do lakehouse Databricks para o SOC, permitindo que as equipes aproveitem seus dados, implementem agentes inteligentes e ajudem a ficar à frente das ameaças em evolução. — Jennifer Vitalbo, Diretora Geral e Líder de Oferta de Defesa Cibernética e Resiliência para Governo e Serviços Públicos, Deloitte & Touche LLP

Expandindo a Liderança em Segurança com as Aquisições da Antimatter e SiftD.ai

Para avançar em sua abordagem aberta e com agentes para SIEM, a Databricks está anunciando as aquisições da Antimatter e SiftD.ai. A Antimatter foi fundada por pesquisadores de segurança da UC Berkeley que estabeleceram a base para autenticação e autorização comprovadamente seguras para agentes de IA. A SiftD.ai, fundada pelo criador da Linguagem de Processamento de Busca (SPL) da Splunk e pelos principais arquitetos da pilha de busca da Splunk, trará profunda expertise em engenharia de detecção em larga escala e análise moderna de ameaças.

Saiba Mais

O Lakewatch representa uma mudança fundamental na forma como as operações de segurança funcionam. Como um security lakehouse aberto, a economia é melhor, a arquitetura é mais flexível e as capacidades de IA são nativas, não adicionadas posteriormente.

O Lakewatch está sendo lançado em Preview Privado enquanto trabalhamos para uma disponibilidade mais ampla. Se você está lidando com pressões de custo, limites de retenção ou procurando trazer grandes cargas de trabalho de segurança para sua plataforma de dados, queremos ouvir você.

Para saber mais sobre como você pode modernizar seu SOC, visite a página do produto Lakewatch.

(Esta publicação no blog foi traduzida utilizando ferramentas baseadas em inteligência artificial) Publicação original