微软推出全新Microsoft Sentinel数据湖国际版

近期，Microsoft Sentinel数据湖（国际版）正式开放公开预览，重塑安全运营架构。它通过统一所有安全数据，以远低于传统方案的成本，解决了海量数据管理和可见性不足的痛点。这一新架构赋能安全团队更高效地利用AI技术进行安全监测、精准溯源，并加速响应，让企业在保障安全的同时，实现成本优化与智能升级，全面赋能安全团队迈入智能防御新时代。

在安全运营中，“看不见就无法保护”始终是核心挑战。长期以来，安全运营团队一直面临着管理海量且快速增长数据的巨大挑战。更棘手的是，为了处理如此庞大的数据量，扩展传统数据管理工具的成本已经变得难以承受。为此，微软正在升级其领先的安全信息与事件管理（SIEM）平台 Microsoft Sentinel，推出全新的 Microsoft Sentinel 数据湖（国际版）（现已公开预览）。这一现代化、具成本效益的架构将所有安全数据统一整合，助力企业更智能、更高效地引入Agentic AI 技术安全能力，全面提升可视性与响应速度。借助 Microsoft Sentinel 数据湖（国际版），企业不再需要在“保留关键数据”与“控制预算”之间做出艰难取舍。

早在五年前，Microsoft Sentinel 就率先推出了首个云原生 SIEM，开启了简化数据接入、引入 AI 技术提升安全监测能力的创新之路1。此后，Microsoft Sentinel 与 Microsoft Defender 深度集成，持续增强实时安全监测、智能推荐与自动化响应等功能。如今，Sentinel 数据湖的推出标志着这一演进的关键一步——它旨在帮助安全负责人突破传统 SIEM 的局限，将安全数据真正置于安全运营中心（SOC）的核心，实现大规模、无妥协的运营能力。现在，企业可以正式启用 Microsoft Sentinel 数据湖（国际版），迈入智能安全的新阶段。

01打破数据孤岛，提升安全效能

面对日益增长的日志数据，安全团队常常陷入两难：减少日志记录可能导致盲区，缩短数据保留时间则影响取证深度，而全面保留数据又会带来高昂成本。这正是现代安全的悖论——数据越多，反而越难有效利用。而且，如果缺乏统一、长期的可视性，即使是最先进的 AI 技术模型也无法充分发挥其潜力。数据孤岛不仅意味着错过关键风险信号，还会延误调查进程，导致安全工具无法充分利用。

Microsoft Sentinel 数据湖（国际版）正是为解决上述挑战而打造，它为“智能体主导型安全防御”（Agentic Defense）奠定了坚实的数据基础。该平台将来自微软及第三方的所有安全数据整合到一个统一、具成本效益的数据湖中，支持超过 350 个原生连接器。其数据保留成本不到传统分析日志的 15%，可轻松融合安全监测，实现全环境范围内的 AI 应用驱动检测。这不仅是一个新产品，更是一种面向未来的安全运营架构——帮助安全团队实现跨月甚至跨年追踪风险信号、精准还原安全事件，并全面释放 AI 技术的价值潜力。

米兰·帕特尔，BlueVoyant 首席营收官：“微软推出 Microsoft Sentinel 数据湖（国际版）的愿景，正是聚焦当今网络安全最核心的三大要素：清晰可见的安全监测视角、可扩展的数据能力，以及切实可行的业务影响力。全球已有超过 1,200 家企业部署了 Microsoft Sentinel，BlueVoyant 作为合作伙伴，深刻体会到客户在大规模数据管理方面的迫切需求。如今，大数据挑战已成为常态。Microsoft Sentinel 数据湖代表了 SIEM 与 SOAR 模型的自然演进，全面支持现代化分析、数据科学以及灵活的数据接入策略。对于希望加速安全运营现代化的企业而言，这是至关重要的一步。”

为了进一步帮助安全团队充分释放数据价值，微软正在将 Microsoft Defender Threat Intelligence（MDTI）功能无缝整合进 Defender XDR 和 Sentinel，并且无需额外付费。这意味着企业无需再单独购买 MDTI 授权，即可体验这些用于分析和整合安全情报的强大功能。从 2025 年 10 月起，所有微软自有的安全情报报告（包括情报档案和攻击指标 IoCs）将首先在 Defender XDR 中开放。同时，IoCs 也将集成进 Microsoft Sentinel 的案件管理流程，便于企业内部跨团队共享安全情报。其余功能也将在后续逐步上线。这一举措大幅降低了安全监测的使用门槛，帮助企业更高效地提升整体安全响应能力。

借助这一整合，安全团队可以轻松访问微软强大的前线安全检测情报库——该库每天处理超过 84 万亿条安全信号，并由超过 10,000 名微软安全专家提供支持。这些新增价值将全面融入Microsoft Sentinel 和 Microsoft Defender 平台，显著提升企业在实时、高质量安全数据洞察的能力，使安全运营更加精准、高效。

02赋能安全团队，释放更大价值

AI 应用在网络安全领域的承诺一直非常明确：更快的检测威胁、更智能的响应机制，以及超越高级攻击者的能力。然而，现实中大多数安全团队仍受限于数据碎片化和上下文缺失的问题。通过将所有安全数据集中到一个融合安全情报的数据湖中，企业可以打破数据孤岛，为 AI 技术模型（如 Security Copilot）提供完整的上下文信息，从而识别更隐蔽的攻击模式、跨时间与空间关联信号，并生成高质量的预警。这一架构为“智能体主导型安全防御”（Agentic Defense) 奠定了基础—— AI 技术不再只是辅助工具，而是主动参与安全防御的核心力量。这一架构转变为安全团队带来了实质性的能力提升，包括：

无需担心存储限制，即可回溯多年攻击行为，提升安全监测溯源能力；

通过资产、行为与安全情报数据的关联分析，同时覆盖攻击前与攻击后的场景；

利用实时安全情报，加快事件分级响应，并支持对历史数据的回溯分析；

自动触发检测机制，基于最新的攻击指标（IoCs）与攻击技术战术（TTPs）进行防御；

使用 Kusto 查询语言（KQL）与 Apache Spark，在更长时间维度上识别隐蔽攻击模式；

满足合规与监管要求，支持可扩展、低成本的数据保留策略；

这些能力正是现代安全运营中最为关键的任务，现在企业可以更轻松、更高效、更具成本效益地完成它们。

雷克斯·塞克斯顿，埃森哲安全首席技术官：“对于网络安全团队而言，数据的爆炸式增长往往会分散注意力，甚至延误对真实风险信号的响应。Microsoft Sentinel 数据湖（国际版）为企业提供了一个强有力的工具，能够实现数据集中管理、全面可视化，并支持对大规模历史数据的深度分析。埃森哲与微软携手，帮助客户充分利用这一平台，进一步释放 Microsoft Sentinel 的能力，显著提升攻击检测效率与主动防御能力。”

03简化安全运维，全面拥抱智能安全

Microsoft Sentinel 数据湖（国际版）通过 Microsoft Defender 门户提供灵活、集中式的数据管理体验，将安全数据与日常防御工具整合在统一的平台上，助力团队高效预防、检测并响应网络威胁。分析人员可以在分析层与数据湖层之间无缝切换，实现从实时响应到深度调查的全流程操作。而且，分析层中的所有数据会自动同步至数据湖层。由于平台基于开放格式构建，企业可以根据自身需求灵活定制分析流程、构建专属的机器学习模型，并继续使用熟悉的工具，在同一份数据副本上释放更大价值。

无论是希望整合现有工具、扩展安全运营中心（SOC）的规模，还是为未来的AI驱动防御做准备，Microsoft Sentinel 数据湖（国际版）都能灵活适应企业的安全战略和发展路径。

Microsoft Sentinel 数据湖（国际版）正在引领安全运营中心（SOC）迈入新一代智能化运营时代。它能够覆盖企业所有安全数据源，并支持跨越广泛时间维度的分析，使安全团队具备以下多重能力：主动识别潜伏的网络攻击、借助 AI 模型发现新兴威胁、以取证级精度还原攻击时间线，以及回溯挖掘那些原本可能被忽略的攻击指标（IoCs）。这不仅提升了检测深度，也显著增强了企业的整体安全韧性。

斯里尼·图马尔彭塔，IBM 杰出工程师，IBM 咨询网络安全服务首席技术官：“随着每一个新应用，尤其是 AI 应用在混合云环境中的部署，企业的网络攻击面也在不断扩大，而 AI 技术驱动的攻击手段也在同步进化。许多组织当前面临的核心问题并不仅仅是缺乏更好的工具，而是缺乏对其 IT 资产、配置状态和业务上下文的实时可视化能力。要真正了解自身的风险暴露面，企业不仅需要精准的资产情报，还需要整个行业的协同努力。”

此次发布不仅仅是产品功能的迭代升级，更标志着安全运营能力的一次质的飞跃。Microsoft Sentinel 正在通过一套可扩展的架构不断突破边界，将 SIEM、扩展检测与响应（XDR）以及安全监测整合为一个统一的平台体验。Microsoft Sentinel 数据湖（国际版）正是这一演进的核心基础，它让安全团队能够以前所未有的智能化方式、更低的成本，对更大规模的数据进行分析与推理，从而实现更快、更全面、更具性价比的安全运营。