Ir al contenido principal

Databricks anuncia Lakewatch: un nuevo SIEM abierto y agentivo

Databricks Lakewatch infographic showing data sources feeding into AI security agents, with “Open Agents” and “Open Formats” panels explaining detection, triage, analytics, and response across Delta Lake, Parquet, and Iceberg.

Publicado: 24 de marzo de 2026

Anuncios9 min de lectura

por Reynold Xin, Andrew Krioukov, Molly Limaye, Taylor Kain y Keegan Dubbs

Comparte esta publicación

Manténgase al día con nosotros

Summary

  • La visión de un Open Security Lakehouse: Por qué los SIEM tradicionales no escalan y cómo Lakewatch elimina los silos al unificar el 100% de tu telemetría en el open security lakehouse.
  • Combate agentes con agentes: Cómo la IA integrada y los agentes "Genie" automatizan la detección de amenazas, la búsqueda en lenguaje natural y la respuesta a incidentes a velocidad de máquina.
  • Economía moderna de SecOps: Cómo desacoplar el cómputo del almacenamiento te permite retener petabytes de datos durante años mientras reduces los costos hasta en un 80%.

Hoy, anunciamos Lakewatch, un nuevo SIEM abierto y agentivo diseñado para ayudar a las organizaciones a defenderse contra atacantes cada vez más sofisticados. Lakewatch unifica los datos de seguridad, TI y negocio en un entorno único y gobernado para la detección y respuesta con IA. Con formatos abiertos, Lakewatch permite a los clientes ingerir, retener y analizar volúmenes sin precedentes de datos multimodales, al tiempo que reduce drásticamente los costos y elimina el bloqueo de proveedores. Los equipos de seguridad obtienen visibilidad completa en toda la empresa y pueden implementar agentes de seguridad defensivos para automatizar la detección y respuesta de amenazas a gran escala. Lakewatch se lanza hoy en vista previa privada, con clientes que incluyen líderes de la industria como Adobe y Dropbox.

También lanzamos un “Ecosistema Abierto de Security Lakehouse”, que incluye socios líderes en seguridad y entrega para ayudar a los clientes a automatizar la normalización de la telemetría a formatos abiertos y responder a las amenazas con la escala unificada que necesitan para enfrentar las amenazas modernas con defensa automatizada a velocidad de máquina.

Seguridad para la Era Agentiva

La seguridad está cambiando fundamentalmente. Los ciberataques ya no son solo operados por humanos. Son cada vez más impulsados por IA y automatizados. Los LLM han descubierto más de 500 vulnerabilidades zero-day en código de código abierto, los agentes de IA se han convertido en hackers de alto rango en plataformas de recompensas por errores, y grupos patrocinados por estados están armando la IA para automatizar intrusiones. Los atacantes ahora operan a escala de máquina, trabajando 24/7 para construir exploits y coordinar ataques.

Ante estos ataques a escala de máquina, incluso los mejores equipos de operaciones de seguridad enfrentan limitaciones estructurales. Las herramientas de seguridad actuales requieren que los analistas enriquezcan manualmente las alertas, redacten manualmente las reglas de detección y prueben hipótesis de caza de amenazas durante días o semanas. Estos flujos de trabajo podrían ser efectivos contra amenazas a ritmo humano. Contra ataques impulsados por IA que operan 24/7 y a velocidad de máquina, la arquitectura misma se convierte en el cuello de botella. ZeroDayClock.com encontró que el tiempo medio para explotar se ha reducido de 23.2 días en 2025 a solo 1.6 días en 2026.

El problema se agrava cuando se observan los datos. Las grandes empresas generan terabytes, o incluso petabytes, de datos de seguridad diariamente, pero los SIEM tradicionales acoplan el almacenamiento con la computación, creando una penalización financiera en cada byte ingerido. Los equipos responden limitando la ingesta, filtrando datos a través de capas de enrutamiento, eliminando datos históricos e ignorando fuentes multimodales como registros de chat y video por completo. Esto crea una peligrosa asimetría: los atacantes usan agentes de IA para analizar todo y atacar en cualquier lugar, mientras que los defensores solo ven una fracción de sus propios datos. Los SIEM tradicionales no pueden procesar datos multimodales, pero es precisamente ahí donde se esconden los ataques de ingeniería social, las amenazas internas y los intentos de inyección de prompts.

Esto no es solo un problema de costo o escala. Es una incompatibilidad arquitectónica fundamental entre las amenazas que enfrentamos y las herramientas que tenemos para combatirlas. Ya hemos resuelto este problema antes. Los almacenes de datos tenían las mismas limitaciones: ingesta costosa, datos aislados, limitados a casos de uso específicos. El lakehouse interrumpió ese modelo con formatos abiertos, almacenamiento económico y soporte para cualquier tipo de datos. Ahora estamos llevando esa misma transformación a la seguridad.

Lakewatch aporta la economía y la arquitectura del lakehouse a las operaciones de seguridad. Puede ingerir y retener el 100% de su telemetría de seguridad (incluidos datos multimodales), analizarla junto con todos sus datos de negocio y desplegar agentes impulsados por IA para detección y respuesta a una fracción de los costos heredados.

Cómo Lakewatch Cambia las Operaciones de Seguridad:

Visibilidad Completa en Todos los Datos

Las organizaciones ya poseen el contexto necesario para investigar amenazas. Sistemas de RRHH, plataformas de colaboración, registros de aplicaciones y datos de transacciones se encuentran hoy en el lake, pero las herramientas de seguridad tradicionales no pueden acceder a ellos sin duplicaciones costosas. Lakewatch invierte el modelo: la seguridad se ejecuta directamente en el lakehouse. Construido sobre Unity Catalog, sus datos de seguridad se encuentran junto a todo lo demás. Cuando se dispara una alerta, puede correlacionar instantáneamente entre cualquier fuente de datos sin mover archivos ni cambiar de herramienta. Los ataques modernos explotan las brechas entre sistemas y dependen de la ingeniería social, el contexto interno y las señales multimodales que las herramientas heredadas no pueden procesar. Con todo el contexto en un solo lugar, los analistas pueden detectar y contener amenazas en minutos en lugar de días.

Lakewatch hace esto posible a través de:

  • Gobernanza empresarial: Control de acceso granular a nivel de tabla, fila, columna y atributo con auditabilidad completa en todos los datos.
  • Estándares abiertos: Construido sobre el Open Cybersecurity Schema Framework (OCSF) para que sus datos nunca queden bloqueados en formatos propietarios.
  • Ingesta automatizada: Lakeflow Connect maneja la ingesta y normalización de las principales fuentes de seguridad (AWS, Okta, Zscaler, etc.) en tablas estandarizadas.
  • Verdadera propiedad de los datos: Almacene datos en Delta Lake o Apache Iceberg en su propio almacenamiento en la nube, ejecute consultas en cualquier nube y evite el bloqueo de proveedores.

Lucha contra Agentes con Agentes

Los SIEM tradicionales dependen de funciones de IA complementarias que no pueden acceder al contexto completo de sus datos. Lakewatch trae IA integrada directamente a donde residen sus datos de seguridad. Genie automatiza flujos de trabajo críticos como la ingesta y el análisis de nuevas fuentes de registro a OCSF, la creación de detecciones completamente nuevas basadas en la inteligencia de amenazas más reciente, la modificación de reglas existentes para reducir falsos positivos y la traducción de preguntas en lenguaje natural a consultas SQL. Genie Spaces permite a los equipos de seguridad consultar petabytes de datos usando inglés simple en lugar de lenguajes de consulta especializados, democratizando la caza de amenazas entre todos los niveles de habilidad.

Las capacidades clave incluyen:

  • Genie Code: Asistente de IA para automatizar la ingesta, crear nuevas detecciones, modificar reglas para reducir falsos positivos y traducir preguntas en lenguaje natural a consultas SQL para investigación.
  • Genie Spaces: Interfaz de consulta en lenguaje natural y plataforma agentiva que permite a cualquier usuario realizar caza de amenazas compleja en varios pasos, haciendo preguntas a sus datos sin aprender lenguajes de consulta complejos.
  • Detección como Código: Defina reglas de detección en YAML con consultas SQL o notebooks de Python, realice pruebas retrospectivas con datos históricos y despliegue a través de pipelines de CI/CD.
  • Detecciones personalizadas de ML: Entrene y despliegue modelos de aprendizaje automático directamente en sus datos de seguridad utilizando MLflow, Feature Store y Model Serving, permitiendo detección de anomalías, análisis de comportamiento, puntuación de riesgo de entidades y más.
  • Potentes paneles: Cree paneles ejecutivos, operativos y de cumplimiento con visualizaciones mejoradas por IA para monitoreo en tiempo real.

SecOps Eficiente a Escala de Petabyte

Al desacoplar el almacenamiento de la computación, puede almacenar petabytes de telemetría de seguridad de alta fidelidad en su propio almacenamiento en la nube y pagar solo por la computación. Ejecute análisis solo cuando sea necesario utilizando computación sin servidor. Mantenga años de datos consultables en caliente en lugar de semanas. Usted es el propietario de los datos. Usted controla los costos.

Esto se traduce en:

  • Sea propietario de sus datos: Telemetría de seguridad almacenada en almacenamiento de objetos en la nube que usted controla (S3, ADLS, GCS) utilizando formatos abiertos.
  • Retención a largo plazo: Cumpla con los requisitos de cumplimiento y potencie la caza de amenazas durante períodos multianuales sin penalizaciones de costos.
  • Economía predecible: Almacene registros de alta fidelidad a escala sin incurrir en tarifas de licencia por byte.
  • Computación elástica bajo demanda: Aprovisione cargas de trabajo analíticas y de ML potentes solo cuando sea necesario con control de costos granular.
  • Rendimiento sin servidor: Cero infraestructura que administrar. Pague solo por sus consultas.

Profundizando la asociación con Anthropic

Basándose en el éxito de la asociación estratégica existente entre las dos compañías, Databricks y Anthropic están profundizando su colaboración para ofrecer operaciones de seguridad agénticas. Los modelos Claude de Anthropic ayudan a potenciar Lakewatch, utilizando las capacidades avanzadas de razonamiento de Claude para correlacionar señales en datos de seguridad, TI y negocios para detectar amenazas más rápido. Anthropic también utiliza Databricks para su propio lakehouse de seguridad para obtener una visibilidad completa de sus datos de seguridad y negocio y detectar amenazas antes.

Ecosistema abierto de Security Lakehouse

Databricks cree que las amenazas actuales requieren colaboración abierta en todo el ecosistema, donde los clientes tienen control total sobre sus propios datos. Es por eso que estamos emocionados de anunciar el “Ecosistema Abierto de Security Lakehouse”, un grupo de rápido crecimiento de los principales proveedores de seguridad y socios de entrega, que incluye Akamai, Anvilogic, Arctic Wolf, Cribl, Deloitte, Obsidian, Okta, 1password, Palo Alto Networks, Panther, Proofpoint, Rearc, Slack, TrendAI, Wiz (ahora parte de Google Cloud) y Zscaler.

Zscaler comparte el compromiso de Databricks con un ecosistema abierto. Estamos emocionados de unirnos al Ecosistema Abierto de Security Lakehouse y brindar a nuestros clientes mutuos los datos y las herramientas que necesitan para defenderse de los ataques nativos de IA con soluciones nativas de IA. — Eddie Parra, VP Partner Ecosystem de Arquitectura de Soluciones, Zscaler
A medida que las amenazas cibernéticas evolucionan hacia ataques a escala de máquina impulsados por IA, las organizaciones pueden requerir una arquitectura fundamentalmente nueva para mantenerse al día. Lakewatch representa un paso adelante para las operaciones de seguridad, llevando el poder del lakehouse de Databricks al SOC, permitiendo a los equipos aprovechar sus datos, implementar agentes inteligentes y ayudar a mantenerse por delante de las amenazas en evolución. — Jennifer Vitalbo, Directora General y Líder de Oferta de Resiliencia y Defensa Cibernética para Servicios Públicos y Gubernamentales, Deloitte & Touche LLP

Ampliando el liderazgo en seguridad con las adquisiciones de Antimatter y SiftD.ai

Para avanzar en su enfoque de SIEM abierto y agéntico, Databricks anuncia las adquisiciones de Antimatter y SiftD.ai. Antimatter fue fundada por investigadores de seguridad de UC Berkeley que sentaron las bases para la autenticación y autorización demostrablemente seguras para agentes de IA. SiftD.ai, fundada por el creador del Lenguaje de Procesamiento de Búsqueda (SPL) de Splunk y los arquitectos principales de la pila de búsqueda de Splunk, aportará una profunda experiencia en ingeniería de detección a gran escala y análisis de amenazas modernos.

Más información

Lakewatch representa un cambio fundamental en la forma en que funcionan las operaciones de seguridad. Como lakehouse de seguridad abierto, la economía es mejor, la arquitectura es más flexible y las capacidades de IA son nativas, no añadidas.

Lakewatch se lanza en vista previa privada mientras trabajamos hacia una disponibilidad más amplia. Si está lidiando con presiones de costos, límites de retención o busca llevar cargas de trabajo de seguridad grandes a su plataforma de datos, queremos saber de usted.

Para obtener más información sobre cómo puede modernizar su SOC, visite la página del producto Lakewatch.

(Esta entrada del blog ha sido traducida utilizando herramientas basadas en inteligencia artificial) Publicación original

No te pierdas ninguna publicación de Databricks.

Suscríbete a nuestro blog y recibe las últimas publicaciones en tu bandeja de entrada.