Passa al contenuto principale

Databricks Annuncia Lakewatch: Nuovo SIEM Aperto e Agentico

Databricks Lakewatch infographic showing data sources feeding into AI security agents, with “Open Agents” and “Open Formats” panels explaining detection, triage, analytics, and response across Delta Lake, Parquet, and Iceberg.

Pubblicato: 24 marzo 2026

Annunci8 min di lettura

di Reynold Xin, Andrew Krioukov, Molly Limaye, Taylor Kain e Keegan Dubbs

Condividi questo post

Resta aggiornato con noi

Summary

  • La visione di un Security Lakehouse aperto: perché i SIEM tradizionali non riescono a scalare e come Lakewatch elimina i silos unificando il 100% della tua telemetria sul security lakehouse aperto.
  • Combatti gli agenti con gli agenti: come l'IA integrata e gli agenti "Genie" automatizzano il rilevamento delle minacce, la ricerca in linguaggio naturale e la risposta agli incidenti alla velocità della macchina.
  • Economia moderna di SecOps: come disaccoppiare il calcolo dallo storage ti consente di conservare petabyte di dati per anni riducendo i costi fino all'80%.

Oggi annunciamo Lakewatch, un nuovo SIEM open source agentico progettato per aiutare le organizzazioni a difendersi da aggressori sempre più sofisticati. Lakewatch unifica i dati di sicurezza, IT e business in un unico ambiente governato per il rilevamento e la risposta basati sull'IA. Con formati aperti, Lakewatch consente ai clienti di ingerire, conservare e analizzare volumi senza precedenti di dati multimodali, riducendo i costi ed eliminando il vendor lock-in. I team di sicurezza ottengono una visibilità completa sull'intera azienda e possono distribuire agenti di sicurezza difensivi per automatizzare il rilevamento e la risposta alle minacce su larga scala. Lakewatch viene lanciato oggi in anteprima privata, con clienti tra cui leader di settore come Adobe e Dropbox.

Stiamo anche lanciando un “Open Security Lakehouse Ecosystem”, che include partner leader nella sicurezza e nella distribuzione per aiutare i clienti ad automatizzare la normalizzazione della telemetria in formati aperti e a rispondere alle minacce con la scala unificata necessaria per affrontare le minacce moderne con una difesa automatizzata alla velocità delle macchine.

Sicurezza per l'Era Agente

La sicurezza sta cambiando radicalmente. Gli attacchi informatici non sono più solo operati da esseri umani. Sono sempre più guidati dall'IA e automatizzati. Gli LLM hanno scoperto oltre 500 zero-day nel codice open source, gli agenti IA sono diventati hacker di alto livello sulle piattaforme di bug bounty e gruppi sponsorizzati da stati stanno armando l'IA per automatizzare le intrusioni. Gli aggressori operano ora su scala macchina, lavorando 24 ore su 24, 7 giorni su 7 per costruire exploit e coordinare attacchi.

Di fronte a questi attacchi su scala macchina, anche i migliori team di operazioni di sicurezza affrontano vincoli strutturali. Gli strumenti di sicurezza odierni richiedono agli analisti di arricchire manualmente gli alert, scrivere manualmente regole di rilevamento e testare ipotesi di threat hunting per giorni o settimane. Questi flussi di lavoro potrebbero essere efficaci contro minacce a ritmo umano. Contro attacchi guidati dall'IA che operano 24/7 e alla velocità delle macchine, l'architettura stessa diventa il collo di bottiglia. ZeroDayClock.com ha rilevato che il tempo medio per lo sfruttamento è crollato da 23,2 giorni nel 2025 a soli 1,6 giorni nel 2026.

Il problema si aggrava quando si guarda ai dati. Le grandi imprese generano terabyte, o addirittura petabyte, di dati di sicurezza ogni giorno, ma i SIEM tradizionali accoppiano archiviazione e calcolo, creando una penalità finanziaria su ogni byte ingerito. I team rispondono limitando l'ingestione, filtrando i dati attraverso livelli di routing, eliminando i dati storici e ignorando fonti multimodali come log di chat e video. Questo crea una pericolosa asimmetria: gli aggressori utilizzano agenti IA per analizzare tutto e attaccare ovunque, mentre i difensori vedono solo una frazione dei propri dati. I SIEM tradizionali non possono elaborare dati multimodali, eppure è proprio lì che si nascondono attacchi di social engineering, minacce interne e tentativi di prompt injection.

Questo non è solo un problema di costi o di scala. È una fondamentale incompatibilità architetturale tra le minacce che affrontiamo e gli strumenti che abbiamo per combatterle. Abbiamo già risolto questo problema. I data warehouse avevano le stesse limitazioni: ingestione costosa, dati isolati, limitati a casi d'uso specifici. Il lakehouse ha sconvolto quel modello con formati aperti, archiviazione economica e supporto per qualsiasi tipo di dato. Ora stiamo portando la stessa trasformazione alla sicurezza.

Lakewatch porta l'economia e l'architettura del lakehouse alle operazioni di sicurezza. È possibile ingerire e conservare il 100% della telemetria di sicurezza (inclusi dati multimodali), analizzarla insieme a tutti i dati aziendali e distribuire agenti basati sull'IA per il rilevamento e la risposta a una frazione dei costi legacy.

Come Lakewatch Cambia le Operazioni di Sicurezza:

Visibilità Completa su Tutti i Dati

Le organizzazioni possiedono già il contesto necessario per indagare sulle minacce. Sistemi HR, piattaforme di collaborazione, log delle applicazioni e dati delle transazioni si trovano oggi nel lake, ma gli strumenti di sicurezza tradizionali non possono accedervi senza duplicazioni costose. Lakewatch inverte il modello: la sicurezza viene eseguita direttamente sul lakehouse. Costruito su Unity Catalog, i tuoi dati di sicurezza si trovano accanto a tutto il resto. Quando scatta un alert, puoi correlare istantaneamente tra qualsiasi fonte dati senza spostare file o cambiare strumenti. Gli attacchi moderni sfruttano le lacune tra i sistemi e si basano su social engineering, contesto interno e segnali multimodali che gli strumenti legacy non possono elaborare. Con tutto il contesto in un unico posto, gli analisti possono rilevare e contenere le minacce in pochi minuti anziché in giorni.

Lakewatch rende questo possibile attraverso:

  • Governance aziendale: Controllo degli accessi granulare a livello di tabella, riga, colonna e attributo con auditabilità completa su tutti i dati.
  • Standard aperti: Costruito sull'Open Cybersecurity Schema Framework (OCSF) in modo che i tuoi dati non vengano mai bloccati in formati proprietari.
  • Ingestione automatizzata: Lakeflow Connect gestisce l'ingestione e la normalizzazione delle principali fonti di sicurezza (AWS, Okta, Zscaler, ecc.) in tabelle standardizzate.
  • Vera proprietà dei dati: Archivia i dati in Delta Lake o Apache Iceberg nel tuo cloud storage, esegui query su qualsiasi cloud e impedisci il vendor lock-in.

Combatti gli Agenti con gli Agenti

I SIEM tradizionali si basano su funzionalità IA aggiuntive che non possono accedere al contesto completo dei tuoi dati. Lakewatch porta l'IA integrata direttamente dove risiedono i tuoi dati di sicurezza. Genie automatizza flussi di lavoro critici come l'ingestione e l'analisi di nuove fonti di log in OCSF, la creazione di nuove regole di rilevamento basate sulle ultime minacce, la modifica delle regole esistenti per ridurre i falsi positivi e la traduzione di domande in linguaggio naturale in query SQL. Genie Spaces consente ai team di sicurezza di interrogare petabyte di dati utilizzando l'inglese semplice anziché linguaggi di query specializzati, democratizzando il threat hunting tra diversi livelli di competenza.

Le funzionalità chiave includono:

  • Genie Code: Assistente IA per automatizzare l'ingestione, creare nuove regole di rilevamento, modificare le regole per ridurre i falsi positivi e tradurre domande in linguaggio naturale in query SQL per le indagini.
  • Genie Spaces: Interfaccia di query in linguaggio naturale e harness agentico consentono a qualsiasi utente di eseguire complesse ricerche di minacce multi-step, ponendo domande ai propri dati senza imparare linguaggi di query complessi.
  • Detection-as-Code: Definisci le regole di rilevamento in YAML con query SQL o notebook Python, esegui il backtest sui dati storici e distribuisci tramite pipeline CI/CD.
  • Rilevamenti ML personalizzati: Addestra e distribuisci modelli di machine learning direttamente sui tuoi dati di sicurezza utilizzando MLflow, Feature Store e Model Serving, abilitando il rilevamento di anomalie, l'analisi comportamentale, la valutazione del rischio delle entità e altro ancora.
  • Dashboard potenti: Crea dashboard esecutivi, operativi e di conformità con visualizzazioni potenziate dall'IA per il monitoraggio in tempo reale.

SecOps Efficienti su Scala Petabyte

Disaccoppiando archiviazione e calcolo, puoi archiviare petabyte di telemetria di sicurezza a piena fedeltà nel tuo cloud storage e pagare solo per il calcolo. Esegui analisi solo quando necessario utilizzando il calcolo Serverless. Mantieni anni di dati interrogabili a caldo anziché settimane. Possiedi i dati. Controlli i costi.

Ciò si traduce in:

  • Possiedi i tuoi dati: Telemetria di sicurezza archiviata nello storage cloud che controlli (S3, ADLS, GCS) utilizzando formati aperti.
  • Conservazione a lungo termine: Soddisfa i requisiti di conformità e potenzia il threat hunting per periodi pluriennali senza penalità di costo.
  • Economia prevedibile: Archivia log a piena fedeltà su larga scala senza incorrere in commissioni di licenza per byte.
  • Calcolo elastico su richiesta: Fornisci potenti carichi di lavoro di analisi e ML solo quando necessario con un controllo dei costi granulare.
  • Prestazioni serverless: Nessuna infrastruttura da gestire. Paga solo per le tue query.

Approfondimento della partnership con Anthropic

Basandosi sul successo della partnership strategica esistente tra le due aziende, Databricks e Anthropic stanno approfondendo la loro collaborazione per fornire operazioni di sicurezza agentive. I modelli Claude di Anthropic potenziano Lakewatch, utilizzando le avanzate capacità di ragionamento di Claude per correlare segnali tra dati di sicurezza, IT e aziendali per individuare minacce più velocemente. Anthropic utilizza anche Databricks per il proprio lakehouse di sicurezza al fine di ottenere una visibilità completa sui propri dati di sicurezza e aziendali e rilevare minacce in anticipo.

Ecosistema Open Security Lakehouse

Databricks ritiene che le minacce odierne richiedano una collaborazione aperta all'interno dell'ecosistema, in cui i clienti hanno il pieno controllo dei propri dati. Ecco perché siamo entusiasti di annunciare l'"Open Security Lakehouse Ecosystem", un gruppo in rapida crescita di importanti fornitori di sicurezza e partner di distribuzione, tra cui Akamai, Anvilogic, Arctic Wolf, Cribl, Deloitte, Obsidian, Okta, 1password, Palo Alto Networks, Panther, Proofpoint, Rearc, Slack, TrendAI, Wiz (ora parte di Google Cloud) e Zscaler.

Zscaler condivide l'impegno di Databricks per un ecosistema aperto. Siamo entusiasti di unirci all'Open Security Lakehouse Ecosystem e fornire ai nostri clienti comuni i dati e gli strumenti necessari per difendersi dagli attacchi AI-native con soluzioni AI-native. — Eddie Parra, VP Solutions Architect Partner Ecosystem, Zscaler
Poiché le minacce informatiche si evolvono in attacchi AI-driven su scala machine, le organizzazioni potrebbero richiedere un'architettura fondamentalmente nuova per tenere il passo. Lakewatch rappresenta un passo avanti per le operazioni di sicurezza, portando la potenza del lakehouse Databricks al SOC, consentendo ai team di sfruttare i propri dati, distribuire agenti intelligenti e rimanere un passo avanti rispetto alle minacce in evoluzione. — Jennifer Vitalbo, Managing Director, e Government and Public Services Cyber Defense and Resilience Offering Leader, Deloitte & Touche LLP

Espansione della leadership nella sicurezza con le acquisizioni di Antimatter e SiftD.ai

Per far progredire il suo approccio SIEM aperto e agentivo, Databricks annuncia le acquisizioni di Antimatter e SiftD.ai. Antimatter è stata fondata da ricercatori di sicurezza dell'UC Berkeley che hanno posto le basi per l'autenticazione e l'autorizzazione dimostrabilmente sicure per gli agenti AI. SiftD.ai, fondata dal creatore dello Splunk Search Processing Language (SPL) e dai principali architetti dello stack di ricerca di Splunk, porterà una profonda esperienza nell'ingegneria di rilevamento su larga scala e nell'analisi delle minacce moderna.

Scopri di più

Lakewatch rappresenta un cambiamento fondamentale nel modo in cui funzionano le operazioni di sicurezza. Essendo un security lakehouse aperto, l'economia è migliore, l'architettura è più flessibile e le capacità AI sono native, non aggiunte.

Lakewatch viene lanciato in anteprima privata mentre lavoriamo per una disponibilità più ampia. Se stai affrontando pressioni sui costi, limiti di conservazione o desideri portare carichi di lavoro di sicurezza di grandi dimensioni sulla tua piattaforma dati, vogliamo sentirti.

Per saperne di più su come modernizzare il tuo SOC, visita la pagina del prodotto Lakewatch.

(Questo post sul blog è stato tradotto utilizzando strumenti basati sull'intelligenza artificiale) Post originale

Non perdere mai un post di Databricks

Iscriviti al nostro blog e ricevi gli ultimi post direttamente nella tua casella di posta elettronica.