近期，Microsoft Sentinel數(shù)據(jù)湖（國(guó)際版）正式開放公開預(yù)覽，重塑安全運(yùn)營(yíng)架構(gòu)。它通過統(tǒng)一所有安全數(shù)據(jù)，以遠(yuǎn)低于傳統(tǒng)方案的成本，解決了海量數(shù)據(jù)管理和可見性不足的痛點(diǎn)。這一新架構(gòu)賦能安全團(tuán)隊(duì)更高效地利用AI技術(shù)進(jìn)行安全監(jiān)測(cè)、精準(zhǔn)溯源，并加速響應(yīng)，讓企業(yè)在保障安全的同時(shí)，實(shí)現(xiàn)成本優(yōu)化與智能升級(jí)，全面賦能安全團(tuán)隊(duì)邁入智能防御新時(shí)代。

在安全運(yùn)營(yíng)中，“看不見就無法保護(hù)”始終是核心挑戰(zhàn)。長(zhǎng)期以來，安全運(yùn)營(yíng)團(tuán)隊(duì)一直面臨著管理海量且快速增長(zhǎng)數(shù)據(jù)的巨大挑戰(zhàn)。更棘手的是，為了處理如此龐大的數(shù)據(jù)量，擴(kuò)展傳統(tǒng)數(shù)據(jù)管理工具的成本已經(jīng)變得難以承受。為此，微軟正在升級(jí)其領(lǐng)先的安全信息與事件管理（SIEM）平臺(tái) Microsoft Sentinel，推出全新的 Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）（現(xiàn)已公開預(yù)覽）。這一現(xiàn)代化、具成本效益的架構(gòu)將所有安全數(shù)據(jù)統(tǒng)一整合，助力企業(yè)更智能、更高效地引入Agentic AI 技術(shù)安全能力，全面提升可視性與響應(yīng)速度。借助 Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版），企業(yè)不再需要在“保留關(guān)鍵數(shù)據(jù)”與“控制預(yù)算”之間做出艱難取舍。

早在五年前，Microsoft Sentinel 就率先推出了首個(gè)云原生 SIEM，開啟了簡(jiǎn)化數(shù)據(jù)接入、引入 AI 技術(shù)提升安全監(jiān)測(cè)能力的創(chuàng)新之路1。此后，Microsoft Sentinel 與 Microsoft Defender 深度集成，持續(xù)增強(qiáng)實(shí)時(shí)安全監(jiān)測(cè)、智能推薦與自動(dòng)化響應(yīng)等功能。如今，Sentinel 數(shù)據(jù)湖的推出標(biāo)志著這一演進(jìn)的關(guān)鍵一步——它旨在幫助安全負(fù)責(zé)人突破傳統(tǒng) SIEM 的局限，將安全數(shù)據(jù)真正置于安全運(yùn)營(yíng)中心（SOC）的核心，實(shí)現(xiàn)大規(guī)模、無妥協(xié)的運(yùn)營(yíng)能力。現(xiàn)在，企業(yè)可以正式啟用 Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版），邁入智能安全的新階段。

01打破數(shù)據(jù)孤島，提升安全效能

面對(duì)日益增長(zhǎng)的日志數(shù)據(jù)，安全團(tuán)隊(duì)常常陷入兩難：減少日志記錄可能導(dǎo)致盲區(qū)，縮短數(shù)據(jù)保留時(shí)間則影響取證深度，而全面保留數(shù)據(jù)又會(huì)帶來高昂成本。這正是現(xiàn)代安全的悖論——數(shù)據(jù)越多，反而越難有效利用。而且，如果缺乏統(tǒng)一、長(zhǎng)期的可視性，即使是最先進(jìn)的 AI 技術(shù)模型也無法充分發(fā)揮其潛力。數(shù)據(jù)孤島不僅意味著錯(cuò)過關(guān)鍵風(fēng)險(xiǎn)信號(hào)，還會(huì)延誤調(diào)查進(jìn)程，導(dǎo)致安全工具無法充分利用。

Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）正是為解決上述挑戰(zhàn)而打造，它為“智能體主導(dǎo)型安全防御”（Agentic Defense）奠定了堅(jiān)實(shí)的數(shù)據(jù)基礎(chǔ)。該平臺(tái)將來自微軟及第三方的所有安全數(shù)據(jù)整合到一個(gè)統(tǒng)一、具成本效益的數(shù)據(jù)湖中，支持超過 350 個(gè)原生連接器。其數(shù)據(jù)保留成本不到傳統(tǒng)分析日志的 15%，可輕松融合安全監(jiān)測(cè)，實(shí)現(xiàn)全環(huán)境范圍內(nèi)的 AI 應(yīng)用驅(qū)動(dòng)檢測(cè)。這不僅是一個(gè)新產(chǎn)品，更是一種面向未來的安全運(yùn)營(yíng)架構(gòu)——幫助安全團(tuán)隊(duì)實(shí)現(xiàn)跨月甚至跨年追蹤風(fēng)險(xiǎn)信號(hào)、精準(zhǔn)還原安全事件，并全面釋放 AI 技術(shù)的價(jià)值潛力。

米蘭·帕特爾，BlueVoyant 首席營(yíng)收官：“微軟推出 Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）的愿景，正是聚焦當(dāng)今網(wǎng)絡(luò)安全最核心的三大要素：清晰可見的安全監(jiān)測(cè)視角、可擴(kuò)展的數(shù)據(jù)能力，以及切實(shí)可行的業(yè)務(wù)影響力。全球已有超過 1,200 家企業(yè)部署了 Microsoft Sentinel，BlueVoyant 作為合作伙伴，深刻體會(huì)到客戶在大規(guī)模數(shù)據(jù)管理方面的迫切需求。如今，大數(shù)據(jù)挑戰(zhàn)已成為常態(tài)。Microsoft Sentinel 數(shù)據(jù)湖代表了 SIEM 與 SOAR 模型的自然演進(jìn)，全面支持現(xiàn)代化分析、數(shù)據(jù)科學(xué)以及靈活的數(shù)據(jù)接入策略。對(duì)于希望加速安全運(yùn)營(yíng)現(xiàn)代化的企業(yè)而言，這是至關(guān)重要的一步?！?/p>

為了進(jìn)一步幫助安全團(tuán)隊(duì)充分釋放數(shù)據(jù)價(jià)值，微軟正在將 Microsoft Defender Threat Intelligence（MDTI）功能無縫整合進(jìn) Defender XDR 和 Sentinel，并且無需額外付費(fèi)。這意味著企業(yè)無需再單獨(dú)購(gòu)買 MDTI 授權(quán)，即可體驗(yàn)這些用于分析和整合安全情報(bào)的強(qiáng)大功能。從 2025 年 10 月起，所有微軟自有的安全情報(bào)報(bào)告（包括情報(bào)檔案和攻擊指標(biāo) IoCs）將首先在 Defender XDR 中開放。同時(shí)，IoCs 也將集成進(jìn) Microsoft Sentinel 的案件管理流程，便于企業(yè)內(nèi)部跨團(tuán)隊(duì)共享安全情報(bào)。其余功能也將在后續(xù)逐步上線。這一舉措大幅降低了安全監(jiān)測(cè)的使用門檻，幫助企業(yè)更高效地提升整體安全響應(yīng)能力。

借助這一整合，安全團(tuán)隊(duì)可以輕松訪問微軟強(qiáng)大的前線安全檢測(cè)情報(bào)庫(kù)——該庫(kù)每天處理超過 84 萬(wàn)億條安全信號(hào)，并由超過 10,000 名微軟安全專家提供支持。這些新增價(jià)值將全面融入Microsoft Sentinel 和 Microsoft Defender 平臺(tái)，顯著提升企業(yè)在實(shí)時(shí)、高質(zhì)量安全數(shù)據(jù)洞察的能力，使安全運(yùn)營(yíng)更加精準(zhǔn)、高效。

02賦能安全團(tuán)隊(duì)，釋放更大價(jià)值

AI 應(yīng)用在網(wǎng)絡(luò)安全領(lǐng)域的承諾一直非常明確：更快的檢測(cè)威脅、更智能的響應(yīng)機(jī)制，以及超越高級(jí)攻擊者的能力。然而，現(xiàn)實(shí)中大多數(shù)安全團(tuán)隊(duì)仍受限于數(shù)據(jù)碎片化和上下文缺失的問題。通過將所有安全數(shù)據(jù)集中到一個(gè)融合安全情報(bào)的數(shù)據(jù)湖中，企業(yè)可以打破數(shù)據(jù)孤島，為 AI 技術(shù)模型（如 Security Copilot）提供完整的上下文信息，從而識(shí)別更隱蔽的攻擊模式、跨時(shí)間與空間關(guān)聯(lián)信號(hào)，并生成高質(zhì)量的預(yù)警。這一架構(gòu)為“智能體主導(dǎo)型安全防御”（Agentic Defense) 奠定了基礎(chǔ)—— AI 技術(shù)不再只是輔助工具，而是主動(dòng)參與安全防御的核心力量。這一架構(gòu)轉(zhuǎn)變?yōu)榘踩珗F(tuán)隊(duì)帶來了實(shí)質(zhì)性的能力提升，包括：

無需擔(dān)心存儲(chǔ)限制，即可回溯多年攻擊行為，提升安全監(jiān)測(cè)溯源能力；

通過資產(chǎn)、行為與安全情報(bào)數(shù)據(jù)的關(guān)聯(lián)分析，同時(shí)覆蓋攻擊前與攻擊后的場(chǎng)景；

利用實(shí)時(shí)安全情報(bào)，加快事件分級(jí)響應(yīng)，并支持對(duì)歷史數(shù)據(jù)的回溯分析；

自動(dòng)觸發(fā)檢測(cè)機(jī)制，基于最新的攻擊指標(biāo)（IoCs）與攻擊技術(shù)戰(zhàn)術(shù)（TTPs）進(jìn)行防御；

使用 Kusto 查詢語(yǔ)言（KQL）與 Apache Spark，在更長(zhǎng)時(shí)間維度上識(shí)別隱蔽攻擊模式；

滿足合規(guī)與監(jiān)管要求，支持可擴(kuò)展、低成本的數(shù)據(jù)保留策略；

這些能力正是現(xiàn)代安全運(yùn)營(yíng)中最為關(guān)鍵的任務(wù)，現(xiàn)在企業(yè)可以更輕松、更高效、更具成本效益地完成它們。

雷克斯·塞克斯頓，埃森哲安全首席技術(shù)官：“對(duì)于網(wǎng)絡(luò)安全團(tuán)隊(duì)而言，數(shù)據(jù)的爆炸式增長(zhǎng)往往會(huì)分散注意力，甚至延誤對(duì)真實(shí)風(fēng)險(xiǎn)信號(hào)的響應(yīng)。Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）為企業(yè)提供了一個(gè)強(qiáng)有力的工具，能夠?qū)崿F(xiàn)數(shù)據(jù)集中管理、全面可視化，并支持對(duì)大規(guī)模歷史數(shù)據(jù)的深度分析。埃森哲與微軟攜手，幫助客戶充分利用這一平臺(tái)，進(jìn)一步釋放 Microsoft Sentinel 的能力，顯著提升攻擊檢測(cè)效率與主動(dòng)防御能力。”

03簡(jiǎn)化安全運(yùn)維，全面擁抱智能安全

Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）通過 Microsoft Defender 門戶提供靈活、集中式的數(shù)據(jù)管理體驗(yàn)，將安全數(shù)據(jù)與日常防御工具整合在統(tǒng)一的平臺(tái)上，助力團(tuán)隊(duì)高效預(yù)防、檢測(cè)并響應(yīng)網(wǎng)絡(luò)威脅。分析人員可以在分析層與數(shù)據(jù)湖層之間無縫切換，實(shí)現(xiàn)從實(shí)時(shí)響應(yīng)到深度調(diào)查的全流程操作。而且，分析層中的所有數(shù)據(jù)會(huì)自動(dòng)同步至數(shù)據(jù)湖層。由于平臺(tái)基于開放格式構(gòu)建，企業(yè)可以根據(jù)自身需求靈活定制分析流程、構(gòu)建專屬的機(jī)器學(xué)習(xí)模型，并繼續(xù)使用熟悉的工具，在同一份數(shù)據(jù)副本上釋放更大價(jià)值。

無論是希望整合現(xiàn)有工具、擴(kuò)展安全運(yùn)營(yíng)中心（SOC）的規(guī)模，還是為未來的AI驅(qū)動(dòng)防御做準(zhǔn)備，Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）都能靈活適應(yīng)企業(yè)的安全戰(zhàn)略和發(fā)展路徑。

Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）正在引領(lǐng)安全運(yùn)營(yíng)中心（SOC）邁入新一代智能化運(yùn)營(yíng)時(shí)代。它能夠覆蓋企業(yè)所有安全數(shù)據(jù)源，并支持跨越廣泛時(shí)間維度的分析，使安全團(tuán)隊(duì)具備以下多重能力：主動(dòng)識(shí)別潛伏的網(wǎng)絡(luò)攻擊、借助 AI 模型發(fā)現(xiàn)新興威脅、以取證級(jí)精度還原攻擊時(shí)間線，以及回溯挖掘那些原本可能被忽略的攻擊指標(biāo)（IoCs）。這不僅提升了檢測(cè)深度，也顯著增強(qiáng)了企業(yè)的整體安全韌性。

斯里尼·圖馬爾彭塔，IBM 杰出工程師，IBM 咨詢網(wǎng)絡(luò)安全服務(wù)首席技術(shù)官：“隨著每一個(gè)新應(yīng)用，尤其是 AI 應(yīng)用在混合云環(huán)境中的部署，企業(yè)的網(wǎng)絡(luò)攻擊面也在不斷擴(kuò)大，而 AI 技術(shù)驅(qū)動(dòng)的攻擊手段也在同步進(jìn)化。許多組織當(dāng)前面臨的核心問題并不僅僅是缺乏更好的工具，而是缺乏對(duì)其 IT 資產(chǎn)、配置狀態(tài)和業(yè)務(wù)上下文的實(shí)時(shí)可視化能力。要真正了解自身的風(fēng)險(xiǎn)暴露面，企業(yè)不僅需要精準(zhǔn)的資產(chǎn)情報(bào)，還需要整個(gè)行業(yè)的協(xié)同努力。”

此次發(fā)布不僅僅是產(chǎn)品功能的迭代升級(jí)，更標(biāo)志著安全運(yùn)營(yíng)能力的一次質(zhì)的飛躍。Microsoft Sentinel 正在通過一套可擴(kuò)展的架構(gòu)不斷突破邊界，將 SIEM、擴(kuò)展檢測(cè)與響應(yīng)（XDR）以及安全監(jiān)測(cè)整合為一個(gè)統(tǒng)一的平臺(tái)體驗(yàn)。Microsoft Sentinel 數(shù)據(jù)湖（國(guó)際版）正是這一演進(jìn)的核心基礎(chǔ)，它讓安全團(tuán)隊(duì)能夠以前所未有的智能化方式、更低的成本，對(duì)更大規(guī)模的數(shù)據(jù)進(jìn)行分析與推理，從而實(shí)現(xiàn)更快、更全面、更具性價(jià)比的安全運(yùn)營(yíng)。