近期，Microsoft Sentinel數據湖（國際版）正式開放公開預覽，重塑安全運營架構。它通過統一所有安全數據，以遠低于傳統方案的成本，解決了海量數據管理和可見性不足的痛點。這一新架構賦能安全團隊更高效地利用AI技術進行安全監測、精準溯源，并加速響應，讓企業在保障安全的同時，實現成本優化與智能升級，全面賦能安全團隊邁入智能防御新時代。

在安全運營中，“看不見就無法保護”始終是核心挑戰。長期以來，安全運營團隊一直面臨著管理海量且快速增長數據的巨大挑戰。更棘手的是，為了處理如此龐大的數據量，擴展傳統數據管理工具的成本已經變得難以承受。為此，微軟正在升級其領先的安全信息與事件管理（SIEM）平臺 Microsoft Sentinel，推出全新的 Microsoft Sentinel 數據湖（國際版）（現已公開預覽）。這一現代化、具成本效益的架構將所有安全數據統一整合，助力企業更智能、更高效地引入Agentic AI 技術安全能力，全面提升可視性與響應速度。借助 Microsoft Sentinel 數據湖（國際版），企業不再需要在“保留關鍵數據”與“控制預算”之間做出艱難取舍。

早在五年前，Microsoft Sentinel 就率先推出了首個云原生 SIEM，開啟了簡化數據接入、引入 AI 技術提升安全監測能力的創新之路1。此后，Microsoft Sentinel 與 Microsoft Defender 深度集成，持續增強實時安全監測、智能推薦與自動化響應等功能。如今，Sentinel 數據湖的推出標志著這一演進的關鍵一步——它旨在幫助安全負責人突破傳統 SIEM 的局限，將安全數據真正置于安全運營中心（SOC）的核心，實現大規模、無妥協的運營能力。現在，企業可以正式啟用 Microsoft Sentinel 數據湖（國際版），邁入智能安全的新階段。

01打破數據孤島，提升安全效能

面對日益增長的日志數據，安全團隊常常陷入兩難：減少日志記錄可能導致盲區，縮短數據保留時間則影響取證深度，而全面保留數據又會帶來高昂成本。這正是現代安全的悖論——數據越多，反而越難有效利用。而且，如果缺乏統一、長期的可視性，即使是最先進的 AI 技術模型也無法充分發揮其潛力。數據孤島不僅意味著錯過關鍵風險信號，還會延誤調查進程，導致安全工具無法充分利用。

Microsoft Sentinel 數據湖（國際版）正是為解決上述挑戰而打造，它為“智能體主導型安全防御”（Agentic Defense）奠定了堅實的數據基礎。該平臺將來自微軟及第三方的所有安全數據整合到一個統一、具成本效益的數據湖中，支持超過 350 個原生連接器。其數據保留成本不到傳統分析日志的 15%，可輕松融合安全監測，實現全環境范圍內的 AI 應用驅動檢測。這不僅是一個新產品，更是一種面向未來的安全運營架構——幫助安全團隊實現跨月甚至跨年追蹤風險信號、精準還原安全事件，并全面釋放 AI 技術的價值潛力。

米蘭·帕特爾，BlueVoyant 首席營收官：“微軟推出 Microsoft Sentinel 數據湖（國際版）的愿景，正是聚焦當今網絡安全最核心的三大要素：清晰可見的安全監測視角、可擴展的數據能力，以及切實可行的業務影響力。全球已有超過 1,200 家企業部署了 Microsoft Sentinel，BlueVoyant 作為合作伙伴，深刻體會到客戶在大規模數據管理方面的迫切需求。如今，大數據挑戰已成為常態。Microsoft Sentinel 數據湖代表了 SIEM 與 SOAR 模型的自然演進，全面支持現代化分析、數據科學以及靈活的數據接入策略。對于希望加速安全運營現代化的企業而言，這是至關重要的一步。”

為了進一步幫助安全團隊充分釋放數據價值，微軟正在將 Microsoft Defender Threat Intelligence（MDTI）功能無縫整合進 Defender XDR 和 Sentinel，并且無需額外付費。這意味著企業無需再單獨購買 MDTI 授權，即可體驗這些用于分析和整合安全情報的強大功能。從 2025 年 10 月起，所有微軟自有的安全情報報告（包括情報檔案和攻擊指標 IoCs）將首先在 Defender XDR 中開放。同時，IoCs 也將集成進 Microsoft Sentinel 的案件管理流程，便于企業內部跨團隊共享安全情報。其余功能也將在后續逐步上線。這一舉措大幅降低了安全監測的使用門檻，幫助企業更高效地提升整體安全響應能力。

借助這一整合，安全團隊可以輕松訪問微軟強大的前線安全檢測情報庫——該庫每天處理超過 84 萬億條安全信號，并由超過 10,000 名微軟安全專家提供支持。這些新增價值將全面融入Microsoft Sentinel 和 Microsoft Defender 平臺，顯著提升企業在實時、高質量安全數據洞察的能力，使安全運營更加精準、高效。

02賦能安全團隊，釋放更大價值

AI 應用在網絡安全領域的承諾一直非常明確：更快的檢測威脅、更智能的響應機制，以及超越高級攻擊者的能力。然而，現實中大多數安全團隊仍受限于數據碎片化和上下文缺失的問題。通過將所有安全數據集中到一個融合安全情報的數據湖中，企業可以打破數據孤島，為 AI 技術模型（如 Security Copilot）提供完整的上下文信息，從而識別更隱蔽的攻擊模式、跨時間與空間關聯信號，并生成高質量的預警。這一架構為“智能體主導型安全防御”（Agentic Defense) 奠定了基礎—— AI 技術不再只是輔助工具，而是主動參與安全防御的核心力量。這一架構轉變為安全團隊帶來了實質性的能力提升，包括：

無需擔心存儲限制，即可回溯多年攻擊行為，提升安全監測溯源能力；

通過資產、行為與安全情報數據的關聯分析，同時覆蓋攻擊前與攻擊后的場景；

利用實時安全情報，加快事件分級響應，并支持對歷史數據的回溯分析；

自動觸發檢測機制，基于最新的攻擊指標（IoCs）與攻擊技術戰術（TTPs）進行防御；

使用 Kusto 查詢語言（KQL）與 Apache Spark，在更長時間維度上識別隱蔽攻擊模式；

滿足合規與監管要求，支持可擴展、低成本的數據保留策略；

這些能力正是現代安全運營中最為關鍵的任務，現在企業可以更輕松、更高效、更具成本效益地完成它們。

雷克斯·塞克斯頓，埃森哲安全首席技術官：“對于網絡安全團隊而言，數據的爆炸式增長往往會分散注意力，甚至延誤對真實風險信號的響應。Microsoft Sentinel 數據湖（國際版）為企業提供了一個強有力的工具，能夠實現數據集中管理、全面可視化，并支持對大規模歷史數據的深度分析。埃森哲與微軟攜手，幫助客戶充分利用這一平臺，進一步釋放 Microsoft Sentinel 的能力，顯著提升攻擊檢測效率與主動防御能力。”

03簡化安全運維，全面擁抱智能安全

Microsoft Sentinel 數據湖（國際版）通過 Microsoft Defender 門戶提供靈活、集中式的數據管理體驗，將安全數據與日常防御工具整合在統一的平臺上，助力團隊高效預防、檢測并響應網絡威脅。分析人員可以在分析層與數據湖層之間無縫切換，實現從實時響應到深度調查的全流程操作。而且，分析層中的所有數據會自動同步至數據湖層。由于平臺基于開放格式構建，企業可以根據自身需求靈活定制分析流程、構建專屬的機器學習模型，并繼續使用熟悉的工具，在同一份數據副本上釋放更大價值。

無論是希望整合現有工具、擴展安全運營中心（SOC）的規模，還是為未來的AI驅動防御做準備，Microsoft Sentinel 數據湖（國際版）都能靈活適應企業的安全戰略和發展路徑。

Microsoft Sentinel 數據湖（國際版）正在引領安全運營中心（SOC）邁入新一代智能化運營時代。它能夠覆蓋企業所有安全數據源，并支持跨越廣泛時間維度的分析，使安全團隊具備以下多重能力：主動識別潛伏的網絡攻擊、借助 AI 模型發現新興威脅、以取證級精度還原攻擊時間線，以及回溯挖掘那些原本可能被忽略的攻擊指標（IoCs）。這不僅提升了檢測深度，也顯著增強了企業的整體安全韌性。

斯里尼·圖馬爾彭塔，IBM 杰出工程師，IBM 咨詢網絡安全服務首席技術官：“隨著每一個新應用，尤其是 AI 應用在混合云環境中的部署，企業的網絡攻擊面也在不斷擴大，而 AI 技術驅動的攻擊手段也在同步進化。許多組織當前面臨的核心問題并不僅僅是缺乏更好的工具，而是缺乏對其 IT 資產、配置狀態和業務上下文的實時可視化能力。要真正了解自身的風險暴露面，企業不僅需要精準的資產情報，還需要整個行業的協同努力。”

此次發布不僅僅是產品功能的迭代升級，更標志著安全運營能力的一次質的飛躍。Microsoft Sentinel 正在通過一套可擴展的架構不斷突破邊界，將 SIEM、擴展檢測與響應（XDR）以及安全監測整合為一個統一的平臺體驗。Microsoft Sentinel 數據湖（國際版）正是這一演進的核心基礎，它讓安全團隊能夠以前所未有的智能化方式、更低的成本，對更大規模的數據進行分析與推理，從而實現更快、更全面、更具性價比的安全運營。