近期，Microsoft Sentinel數(shù)據(jù)湖（國際版）正式開放公開預(yù)覽，重塑安全運營架構(gòu)。它通過統(tǒng)一所有安全數(shù)據(jù)，以遠(yuǎn)低于傳統(tǒng)方案的成本，解決了海量數(shù)據(jù)管理和可見性不足的痛點。這一新架構(gòu)賦能安全團隊更高效地利用AI技術(shù)進行安全監(jiān)測、精準(zhǔn)溯源，并加速響應(yīng)，讓企業(yè)在保障安全的同時，實現(xiàn)成本優(yōu)化與智能升級，全面賦能安全團隊邁入智能防御新時代。

在安全運營中，“看不見就無法保護”始終是核心挑戰(zhàn)。長期以來，安全運營團隊一直面臨著管理海量且快速增長數(shù)據(jù)的巨大挑戰(zhàn)。更棘手的是，為了處理如此龐大的數(shù)據(jù)量，擴展傳統(tǒng)數(shù)據(jù)管理工具的成本已經(jīng)變得難以承受。為此，微軟正在升級其領(lǐng)先的安全信息與事件管理（SIEM）平臺 Microsoft Sentinel，推出全新的 Microsoft Sentinel 數(shù)據(jù)湖（國際版）（現(xiàn)已公開預(yù)覽）。這一現(xiàn)代化、具成本效益的架構(gòu)將所有安全數(shù)據(jù)統(tǒng)一整合，助力企業(yè)更智能、更高效地引入Agentic AI 技術(shù)安全能力，全面提升可視性與響應(yīng)速度。借助 Microsoft Sentinel 數(shù)據(jù)湖（國際版），企業(yè)不再需要在“保留關(guān)鍵數(shù)據(jù)”與“控制預(yù)算”之間做出艱難取舍。

早在五年前，Microsoft Sentinel 就率先推出了首個云原生 SIEM，開啟了簡化數(shù)據(jù)接入、引入 AI 技術(shù)提升安全監(jiān)測能力的創(chuàng)新之路1。此后，Microsoft Sentinel 與 Microsoft Defender 深度集成，持續(xù)增強實時安全監(jiān)測、智能推薦與自動化響應(yīng)等功能。如今，Sentinel 數(shù)據(jù)湖的推出標(biāo)志著這一演進的關(guān)鍵一步——它旨在幫助安全負(fù)責(zé)人突破傳統(tǒng) SIEM 的局限，將安全數(shù)據(jù)真正置于安全運營中心（SOC）的核心，實現(xiàn)大規(guī)模、無妥協(xié)的運營能力。現(xiàn)在，企業(yè)可以正式啟用 Microsoft Sentinel 數(shù)據(jù)湖（國際版），邁入智能安全的新階段。

01打破數(shù)據(jù)孤島，提升安全效能

面對日益增長的日志數(shù)據(jù)，安全團隊常常陷入兩難：減少日志記錄可能導(dǎo)致盲區(qū)，縮短數(shù)據(jù)保留時間則影響取證深度，而全面保留數(shù)據(jù)又會帶來高昂成本。這正是現(xiàn)代安全的悖論——數(shù)據(jù)越多，反而越難有效利用。而且，如果缺乏統(tǒng)一、長期的可視性，即使是最先進的 AI 技術(shù)模型也無法充分發(fā)揮其潛力。數(shù)據(jù)孤島不僅意味著錯過關(guān)鍵風(fēng)險信號，還會延誤調(diào)查進程，導(dǎo)致安全工具無法充分利用。

Microsoft Sentinel 數(shù)據(jù)湖（國際版）正是為解決上述挑戰(zhàn)而打造，它為“智能體主導(dǎo)型安全防御”（Agentic Defense）奠定了堅實的數(shù)據(jù)基礎(chǔ)。該平臺將來自微軟及第三方的所有安全數(shù)據(jù)整合到一個統(tǒng)一、具成本效益的數(shù)據(jù)湖中，支持超過 350 個原生連接器。其數(shù)據(jù)保留成本不到傳統(tǒng)分析日志的 15%，可輕松融合安全監(jiān)測，實現(xiàn)全環(huán)境范圍內(nèi)的 AI 應(yīng)用驅(qū)動檢測。這不僅是一個新產(chǎn)品，更是一種面向未來的安全運營架構(gòu)——幫助安全團隊實現(xiàn)跨月甚至跨年追蹤風(fēng)險信號、精準(zhǔn)還原安全事件，并全面釋放 AI 技術(shù)的價值潛力。

米蘭·帕特爾，BlueVoyant 首席營收官：“微軟推出 Microsoft Sentinel 數(shù)據(jù)湖（國際版）的愿景，正是聚焦當(dāng)今網(wǎng)絡(luò)安全最核心的三大要素：清晰可見的安全監(jiān)測視角、可擴展的數(shù)據(jù)能力，以及切實可行的業(yè)務(wù)影響力。全球已有超過 1,200 家企業(yè)部署了 Microsoft Sentinel，BlueVoyant 作為合作伙伴，深刻體會到客戶在大規(guī)模數(shù)據(jù)管理方面的迫切需求。如今，大數(shù)據(jù)挑戰(zhàn)已成為常態(tài)。Microsoft Sentinel 數(shù)據(jù)湖代表了 SIEM 與 SOAR 模型的自然演進，全面支持現(xiàn)代化分析、數(shù)據(jù)科學(xué)以及靈活的數(shù)據(jù)接入策略。對于希望加速安全運營現(xiàn)代化的企業(yè)而言，這是至關(guān)重要的一步?！?/p>

為了進一步幫助安全團隊充分釋放數(shù)據(jù)價值，微軟正在將 Microsoft Defender Threat Intelligence（MDTI）功能無縫整合進 Defender XDR 和 Sentinel，并且無需額外付費。這意味著企業(yè)無需再單獨購買 MDTI 授權(quán)，即可體驗這些用于分析和整合安全情報的強大功能。從 2025 年 10 月起，所有微軟自有的安全情報報告（包括情報檔案和攻擊指標(biāo) IoCs）將首先在 Defender XDR 中開放。同時，IoCs 也將集成進 Microsoft Sentinel 的案件管理流程，便于企業(yè)內(nèi)部跨團隊共享安全情報。其余功能也將在后續(xù)逐步上線。這一舉措大幅降低了安全監(jiān)測的使用門檻，幫助企業(yè)更高效地提升整體安全響應(yīng)能力。

借助這一整合，安全團隊可以輕松訪問微軟強大的前線安全檢測情報庫——該庫每天處理超過 84 萬億條安全信號，并由超過 10,000 名微軟安全專家提供支持。這些新增價值將全面融入Microsoft Sentinel 和 Microsoft Defender 平臺，顯著提升企業(yè)在實時、高質(zhì)量安全數(shù)據(jù)洞察的能力，使安全運營更加精準(zhǔn)、高效。

02賦能安全團隊，釋放更大價值

AI 應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域的承諾一直非常明確：更快的檢測威脅、更智能的響應(yīng)機制，以及超越高級攻擊者的能力。然而，現(xiàn)實中大多數(shù)安全團隊仍受限于數(shù)據(jù)碎片化和上下文缺失的問題。通過將所有安全數(shù)據(jù)集中到一個融合安全情報的數(shù)據(jù)湖中，企業(yè)可以打破數(shù)據(jù)孤島，為 AI 技術(shù)模型（如 Security Copilot）提供完整的上下文信息，從而識別更隱蔽的攻擊模式、跨時間與空間關(guān)聯(lián)信號，并生成高質(zhì)量的預(yù)警。這一架構(gòu)為“智能體主導(dǎo)型安全防御”（Agentic Defense) 奠定了基礎(chǔ)—— AI 技術(shù)不再只是輔助工具，而是主動參與安全防御的核心力量。這一架構(gòu)轉(zhuǎn)變?yōu)榘踩珗F隊帶來了實質(zhì)性的能力提升，包括：

無需擔(dān)心存儲限制，即可回溯多年攻擊行為，提升安全監(jiān)測溯源能力；

通過資產(chǎn)、行為與安全情報數(shù)據(jù)的關(guān)聯(lián)分析，同時覆蓋攻擊前與攻擊后的場景；

利用實時安全情報，加快事件分級響應(yīng)，并支持對歷史數(shù)據(jù)的回溯分析；

自動觸發(fā)檢測機制，基于最新的攻擊指標(biāo)（IoCs）與攻擊技術(shù)戰(zhàn)術(shù)（TTPs）進行防御；

使用 Kusto 查詢語言（KQL）與 Apache Spark，在更長時間維度上識別隱蔽攻擊模式；

滿足合規(guī)與監(jiān)管要求，支持可擴展、低成本的數(shù)據(jù)保留策略；

這些能力正是現(xiàn)代安全運營中最為關(guān)鍵的任務(wù)，現(xiàn)在企業(yè)可以更輕松、更高效、更具成本效益地完成它們。

雷克斯·塞克斯頓，埃森哲安全首席技術(shù)官：“對于網(wǎng)絡(luò)安全團隊而言，數(shù)據(jù)的爆炸式增長往往會分散注意力，甚至延誤對真實風(fēng)險信號的響應(yīng)。Microsoft Sentinel 數(shù)據(jù)湖（國際版）為企業(yè)提供了一個強有力的工具，能夠?qū)崿F(xiàn)數(shù)據(jù)集中管理、全面可視化，并支持對大規(guī)模歷史數(shù)據(jù)的深度分析。埃森哲與微軟攜手，幫助客戶充分利用這一平臺，進一步釋放 Microsoft Sentinel 的能力，顯著提升攻擊檢測效率與主動防御能力?！?/p>

03簡化安全運維，全面擁抱智能安全

Microsoft Sentinel 數(shù)據(jù)湖（國際版）通過 Microsoft Defender 門戶提供靈活、集中式的數(shù)據(jù)管理體驗，將安全數(shù)據(jù)與日常防御工具整合在統(tǒng)一的平臺上，助力團隊高效預(yù)防、檢測并響應(yīng)網(wǎng)絡(luò)威脅。分析人員可以在分析層與數(shù)據(jù)湖層之間無縫切換，實現(xiàn)從實時響應(yīng)到深度調(diào)查的全流程操作。而且，分析層中的所有數(shù)據(jù)會自動同步至數(shù)據(jù)湖層。由于平臺基于開放格式構(gòu)建，企業(yè)可以根據(jù)自身需求靈活定制分析流程、構(gòu)建專屬的機器學(xué)習(xí)模型，并繼續(xù)使用熟悉的工具，在同一份數(shù)據(jù)副本上釋放更大價值。

無論是希望整合現(xiàn)有工具、擴展安全運營中心（SOC）的規(guī)模，還是為未來的AI驅(qū)動防御做準(zhǔn)備，Microsoft Sentinel 數(shù)據(jù)湖（國際版）都能靈活適應(yīng)企業(yè)的安全戰(zhàn)略和發(fā)展路徑。

Microsoft Sentinel 數(shù)據(jù)湖（國際版）正在引領(lǐng)安全運營中心（SOC）邁入新一代智能化運營時代。它能夠覆蓋企業(yè)所有安全數(shù)據(jù)源，并支持跨越廣泛時間維度的分析，使安全團隊具備以下多重能力：主動識別潛伏的網(wǎng)絡(luò)攻擊、借助 AI 模型發(fā)現(xiàn)新興威脅、以取證級精度還原攻擊時間線，以及回溯挖掘那些原本可能被忽略的攻擊指標(biāo)（IoCs）。這不僅提升了檢測深度，也顯著增強了企業(yè)的整體安全韌性。

斯里尼·圖馬爾彭塔，IBM 杰出工程師，IBM 咨詢網(wǎng)絡(luò)安全服務(wù)首席技術(shù)官：“隨著每一個新應(yīng)用，尤其是 AI 應(yīng)用在混合云環(huán)境中的部署，企業(yè)的網(wǎng)絡(luò)攻擊面也在不斷擴大，而 AI 技術(shù)驅(qū)動的攻擊手段也在同步進化。許多組織當(dāng)前面臨的核心問題并不僅僅是缺乏更好的工具，而是缺乏對其 IT 資產(chǎn)、配置狀態(tài)和業(yè)務(wù)上下文的實時可視化能力。要真正了解自身的風(fēng)險暴露面，企業(yè)不僅需要精準(zhǔn)的資產(chǎn)情報，還需要整個行業(yè)的協(xié)同努力?！?/p>

此次發(fā)布不僅僅是產(chǎn)品功能的迭代升級，更標(biāo)志著安全運營能力的一次質(zhì)的飛躍。Microsoft Sentinel 正在通過一套可擴展的架構(gòu)不斷突破邊界，將 SIEM、擴展檢測與響應(yīng)（XDR）以及安全監(jiān)測整合為一個統(tǒng)一的平臺體驗。Microsoft Sentinel 數(shù)據(jù)湖（國際版）正是這一演進的核心基礎(chǔ)，它讓安全團隊能夠以前所未有的智能化方式、更低的成本，對更大規(guī)模的數(shù)據(jù)進行分析與推理，從而實現(xiàn)更快、更全面、更具性價比的安全運營。