Databricks推出Lakewatch SIEM产品并收购两家网络安全初创公司

Databricks公司今日发布了Lakewatch，这是一款基于其云数据平台构建的网络安全产品。

该公司还宣布收购了两家初创公司：Antimatter Inc.和SiftD Inc.。Databricks表示，这些收购将有助于增强其新推出的网络安全功能。

Lakewatch是一款SIEM（安全信息和事件管理）应用程序。SIEM工具通过分析公司基础设施多个组件的遥测数据来发现安全漏洞。它们能够检测出影响不同组件的网络安全问题是否属于同一黑客攻击活动。

SIEM工具需要处理的大量数据使其运营成本高昂。管理员通常通过定期删除历史网络安全日志来解决这一问题。虽然这样做能降低存储成本，但也减少了可用于网络安全调查的信息量。

在今天于旧金山举行的RSAC网络安全会议上，Databricks首席执行官Ali Ghodsi在演讲中表示："今年我们将看到AI终结SIEM"——当然，除了Databricks版本的SIEM。"现在我们可以用智能体对抗智能体，"这些智能体可以对人类无法处理的数百个每日警报进行初步筛选。

Databricks声称Lakewatch解决了这一挑战。据该公司介绍，该工具可以将网络安全日志保存在Amazon S3等存储服务中，而无需承担"按字节收费的许可费用"。这使得公司能够保留比以往更多的网络安全信息。

Lakewatch还承诺通过其他方式降低基础设施成本。某些网络安全任务要求公司将保存在Databricks云数据平台中的系统日志复制到第三方漏洞检测工具中。Lakewatch直接构建在Databricks平台上，消除了数据复制的需要，避免了相关费用。

该平台可以从公司的网络安全工具、云应用程序和其他来源获取遥测数据。它使用Genie这一内置在Databricks平台中的人工智能助手，将收集到的数据转换为OCSF格式。该技术以标准化形式组织网络安全日志，便于分析。

Genie还为Lakewatch的用户界面提供支持。这个AI驱动的聊天框可供管理员用来分析公司的网络安全数据。例如，用户可以输入新发现的黑客攻击活动名称，询问Genie是否有任何内部系统受到影响。

AI助手还可以生成检测脚本。这些脚本扫描网络安全遥测数据，寻找表明恶意活动的模式。据Databricks介绍，Lakewatch不仅能创建这些检测脚本，还能测试和部署它们。

管理员可以通过创建定制的网络安全优化智能体来自动化其他任务。这些智能体适用于按严重程度对漏洞通知进行优先级排序等用例。

Lakewatch的多项功能由Anthropic PBC的Claude模型系列提供支持。去年3月，Databricks签署了一份为期五年的协议，将这家AI供应商的算法引入其云数据平台。两家公司正在扩大合作伙伴关系以支持Lakewatch的发布。

Lakewatch目前处于内部预览阶段。Databricks计划利用所收购的两家网络安全初创公司Antimatter和SiftD的资产来增强该平台。

Antimatter在2022年从包括几位知名企业技术高管在内的财团筹集了1200万美元。该初创公司开发了一个用于保护存储在软件即服务应用程序中数据的平台。该平台使用安全飞地技术（一种内置于服务器处理器中的加密功能）来保护记录免受黑客攻击。

SiftD是一家由前Splunk工程师创立的早期初创公司。该公司极简主义的网站显示，在被收购之前，它正在研发"安全工程的智能体自动化"技术。

收购条款未被披露。

Q&A

Q1：Lakewatch是什么？它有什么特殊功能？

A：Lakewatch是Databricks公司推出的SIEM（安全信息和事件管理）产品，基于其云数据平台构建。它的特殊功能包括：可以将网络安全日志保存在Amazon S3等存储服务中而无需按字节付费，内置AI助手Genie可通过聊天框分析网络安全数据，能够自动生成、测试和部署检测脚本。

Q2：Databricks收购了哪两家网络安全公司？它们是做什么的？

A：Databricks收购了Antimatter Inc.和SiftD Inc.两家公司。Antimatter在2022年筹集了1200万美元，开发了一个保护软件即服务应用程序数据的平台，使用安全飞地技术防范黑客攻击。SiftD是由前Splunk工程师创立的早期公司，专注于"安全工程的智能体自动化"技术开发。

Q3：Lakewatch如何解决传统SIEM工具成本高昂的问题？

A：传统SIEM工具因需要处理大量数据而运营成本高昂，管理员常需删除历史日志来降低存储成本。Lakewatch通过将日志保存在Amazon S3等存储服务中避免按字节付费，直接构建在Databricks平台上消除数据复制需求，从而显著降低基础设施成本。