Databricks lanciert Lakewatch, ein offenes Lakehouse‑SIEM, das KI‑Agenten für Sammlung, Analyse, Triage und Gegenmaßnahmen nutzt.
In Kürze
- Offene Lakehouse‑Architektur speichert umfangreiche Multimediadaten
- Agent Bricks, Genie und Detection‑as‑Code für schnellere Erkennung und Reaktion
- OCSF‑Normierung, Unity Catalog, breites Partner‑Ökosystem; Private Preview gestartet
Databricks hat Lakewatch vorgestellt — ein offenes, agentenbasiertes SIEM, das das Lakehouse‑Prinzip nutzt und KI‑Agenten für Sammlung, Analyse, Triage und Vorschläge zu Gegenmaßnahmen einsetzt.
Was Lakewatch genau ist
Lakewatch ist ein Security Information and Event Management (SIEM), das auf einer offenen Lakehouse‑Architektur aufbaut. Daten verbleiben in einem gemeinsamen, skalierbaren Speicher und können flexibel verarbeitet werden, ohne dass Storage und Rechenleistung starr gekoppelt sind. Ziel: Telemetrie und Logs in großem Umfang verfügbar halten statt aussortieren.
Große, multimodale Datenmengen und Kostenangaben
Databricks betont, dass Lakewatch auch sehr große, multimodale Datensätze (beispielsweise Video oder Audio in Petabyte‑Größe) handhaben soll. Laut Anbieter sollen sich die laufenden Kosten gegenüber klassischen SIEM‑Architekturen um bis zu 80 % reduzieren lassen, weil Lakewatch mehr Telemetriedaten vollständig speichert statt viele Daten vorab zu verwerfen.
Normierung, Anbindung und Governance
Logs aus strukturierten und unstrukturierten Quellen werden automatisch in das Open Cybersecurity Schema Framework (OCSF) überführt, einem offenen Standard zur Vereinheitlichung von Sicherheitsdaten. Quellen werden über Lakeflow Connect angebunden — namentlich sind Integrationen zu Diensten wie vorgesehen:
- AWS
- Okta
Für Governance und Compliance nutzt Lakewatch den Unity Catalog mit feingranularen Zugriffskontrollen; Databricks nennt explizit Regularien wie NIS2 und DORA als Zielgrößen für Compliance‑Szenarien.
Agenten, Workflows und Detection‑as‑Code
Kern des Systems sind sogenannte „Agent Bricks“ — modulare Bausteine, mit denen sich individuelle Sicherheitsagenten zusammenstellen lassen. Diese Agenten sollen Signale korrelieren, Fehlalarme reduzieren und die mittlere Zeit bis zur Erkennung (MTTD) sowie bis zur Behebung (MTTR) von Vorfällen verkürzen. Für natürliche Spracheingaben und automatisierte Triage integriert Databricks einen eigenen Agenten namens „Genie“. Erkennungsregeln können als Code (YAML, SQL, Python) formuliert und über CI/CD‑Pipelines getestet und ausgerollt werden — ein Ansatz, den Databricks als „Detection‑as‑Code“ bezeichnet.
KI‑Modelle, Multi‑Agenten und Partner‑Stack
Für das Reasoning der Agenten setzt Databricks auf Claude‑Modelle von Anthropic, konkret Claude 3.7 Sonnet für Signalkorrelation und Bedrohungsanalyse. Anthropic selbst nutzt Databricks’ Security‑Lakehouse‑Infrastruktur; Databricks hebt darüber hinaus die Möglichkeit zu agentenübergreifender Zusammenarbeit hervor, angelehnt an Multi‑Agenten‑Systeme.
Ökosystem, Übernahmen und erste Kunden
Lakewatch wird als offenes Ökosystem positioniert. Zum Start sind Partner wie genannt:
- Palo Alto Networks
- Zscaler
- Wiz (Google Cloud)
- Okta
- Arctic Wolf
- Cribl
- Deloitte
Zur Herstellung und Erweiterung der Funktionen hat Databricks kürzlich folgende Firmen übernommen:
- Antimatter (sichere Authentifizierung für KI‑Agenten)
- SiftD.ai (die Firma des Erfinders der Splunk‑Abfragesprache SPL)
Erste ausgewählte Testkunden sind:
- Adobe
- Dropbox
Verfügbarkeit
Laut Ankündigung ist Lakewatch ab sofort als Private Preview verfügbar.
Quellen
- Quelle: Databricks
- Der ursprüngliche Artikel wurde hier veröffentlicht
- Dieser Artikel wurde im Podcast KI-Briefing-Daily behandelt. Die Folge kannst du hier anhören.
