Daylight Security推出智能体安全数据湖，MDR客户无需SIEM即可检索遥测数据

以色列网络安全初创公司Daylight Security于近日正式发布了"智能体安全数据湖"托管服务。该服务专为其托管检测与响应（MDR）客户设计，允许用户在不部署安全信息和事件管理（SIEM）平台的前提下，长期保存多年的安全遥测数据并进行灵活检索。

该服务主要面向那些需要为合规审计、法律调查和历史事件溯源而保留遥测数据，但又对全套SIEM系统的高成本和运维负担望而却步的安全团队。

当前，安全遥测数据正从各个方向持续涌入：身份提供商、云平台、终端设备、SaaS应用、邮件系统以及整个安全技术栈。数据的存储成本尚可接受，真正的难题在于当有人需要从数月乃至数年前的历史数据中寻找答案时，检索的效率与代价便成为瓶颈。

SIEM平台曾是解决这一问题的标准方案，作为统一的数据记录系统，使海量数据具备可搜索性。然而，随着数据量持续膨胀，经济账越来越难算——数据的摄取、索引与查询成本急剧攀升，基础设施维护难度也随之增加，促使不少团队转而寻求更具性价比的替代方案。

智能体安全数据湖采用双层架构来控制成本：近期遥测数据保持"热存储"状态，以支持正在进行的调查；较旧的数据则归入低成本归档存储，仅在调查需要时才被"重新激活"为可搜索状态。这意味着企业可以保留多年的历史数据，但只需为实际调用的那部分数据支付完整的检索费用。

在操作层面，该平台提供自然语言对话界面，分析师无需编写复杂查询语句，直接用日常语言提问即可获得结果。对于有更高掌控需求的用户，也可通过Kusto查询语言直接访问遥测数据。此外，Daylight选择以原始格式存储遥测数据，而非在数据写入时进行标准化处理，从而避免团队提前预判未来调查可能用到哪些字段。

"企业需要为合规、审计、调查和运营可见性保留安全遥测数据，"Daylight联合创始人兼首席执行官Hagai Shapira表示，"对很多企业来说，难点不在于存储数据，而在于如何在不承担SIEM运营成本与复杂性的情况下，让这些数据真正可用。"

此次发布标志着Daylight托管安全运营平台的能力已超越传统的检测与响应范畴。Daylight MDR继续提供全天候的威胁检测、调查与响应服务，而安全数据湖则补充了长期数据留存、可搜索性以及历史事件调查能力——而这些恰恰是过去推动企业采购SIEM的核心需求。该公司表示，这项服务并非要取代所有SIEM部署，而是在不增加全平台运维负担的前提下，满足大多数企业在数据留存与调查方面的实际需求。

Daylight由Shapira与Eldad Rodich于2025年联合创立，两人均有以色列精英情报部队8200部队的从业背景。公司于今年11月完成由Craft Ventures Management领投的3300万美元A轮融资，此前曾于7月完成700万美元种子轮融资。

智能体安全数据湖现已面向Daylight MDR现有客户正式开放使用。

Q&A

Q1：智能体安全数据湖是什么？它解决了什么问题？

A：智能体安全数据湖是Daylight Security推出的一项托管服务，专为MDR客户设计。它解决的核心问题是：企业需要长期保存安全遥测数据用于合规和调查，但传统SIEM平台成本高、运维复杂。该服务通过双层存储架构，让企业在不部署SIEM的情况下，也能低成本保留多年历史数据并按需检索。

Q2：智能体安全数据湖的双层存储架构是怎么运作的？

A：该架构将数据分为两层：近期数据保持"热存储"状态，随时可用于当前调查；较旧的历史数据则存入低成本归档存储，只有当调查实际需要时才被激活为可检索状态。这样企业可以保留多年数据，但只需为真正被调用的部分支付完整检索费用，大幅降低了整体存储成本。

Q3：不懂技术的安全分析师能用智能体安全数据湖吗？

A：可以。该平台提供自然语言对话界面，分析师直接用日常语言提问即可获得查询结果，无需掌握复杂的查询语法。对于有进阶需求的技术用户，也支持通过Kusto查询语言直接操作数据，兼顾了不同技术水平的使用场景。