Lakewatch: Databricks bringt agentenbasiertes Open-SIEM mit Claude-Integration

Das Unternehmen Databricks hat mit Lakewatch ein neues SIEM-System (Security Information and Event Management) vorgestellt, das neue Wege in der Sicherheitsüberwachung beschreiten soll. Lakewatch baut auf einer offenen Security-Lakehouse-Architektur auf und setzt sich damit laut Ankündigung von etablierten SIEM-Angeboten ab, die in der Regel Storage und Compute koppeln. KI-Agenten sollen dabei Bedrohungen automatisch erkennen, triagieren und Gegenmaßnahmen einleiten.

Wie Databricks in seinem Blog erläutert, können Unternehmen mit Lakewatch sämtliche Sicherheits-, IT- und Geschäftsdaten in einer einheitlichen Umgebung zusammenführen – einschließlich multimodaler Formate wie Video und Audio im Petabyte-Bereich. Databricks verspricht bis zu 80 Prozent niedrigere Gesamtbetriebskosten im Vergleich zu klassischen SIEM-Systemen. Diese verwerfen Databricks zufolge einen Großteil der eingehenden Telemetriedaten, um die Speicherkosten im Griff behalten zu können. Lakewatch hingegen entkoppele Storage und Compute und behalte alle Daten.

Als offenen Standard für die Datennormalisierung nutzt Lakewatch das Open Cybersecurity Schema Framework (OCSF). Security-Logs sowohl aus strukturierten als auch unstrukturierten Quellen werden damit automatisch in ein einheitliches Schema überführt. Die Datenaufnahme erfolgt über Lakeflow Connect, das Quellen wie AWS oder Okta anbindet. Governance- und Compliance-Anforderungen wie NIS2 oder DORA lassen sich über die feingranularen Zugriffskontrollen des Unity Catalog abdecken.

KI-Agenten statt manueller Workflows

Das Herzstück von Lakewatch bilden agentenbasierte Funktionen: Mit den im vergangenen Jahr vorgestellten Agent Bricks lassen sich benutzerdefinierte Sicherheitsagenten erstellen, die Telemetriedaten in einer Vielzahl von Formaten analysieren. Sie korrelieren Signale, reduzieren Fehlalarme und verkürzen die mittlere Erkennungs- und Reaktionszeit (MTTD/MTTR). Für natürlichsprachliche Abfragen und automatisierte Triage-Workflows integriert Databricks seinen KI-Agenten Genie. Detection-as-Code-Ansätze mit YAML, SQL und Python ermöglichen zudem automatisierte Tests über CI/CD-Pipelines.

Für das Reasoning der Agenten setzt Databricks auf Claude-Modelle von Anthropic. Die beiden Unternehmen haben im Zuge der Lakewatch-Vorstellung ihre Partnerschaft vertieft: Claude 3.7 Sonnet kommt bei der Signalkorrelation und Bedrohungsanalyse zum Einsatz. Anthropic nutzt im Gegenzug die Security-Lakehouse-Infrastruktur von Databricks. Der Ansatz, KI-Agenten als Teams zusammenarbeiten zu lassen, findet sich auch in Anthropics Multi-Agent-Systemen für Code Reviews wieder.

Offenes Ökosystem und Partnernetzwerk

Databricks positioniert Lakewatch bewusst als offenes Ökosystem. Zum Start sind unter anderem Palo Alto Networks, Zscaler, Wiz (Google Cloud), Okta, CrowdStrike-Konkurrent Arctic Wolf, Cribl und Deloitte als Partner an Bord. Hinter der Entwicklung stehen außerdem zwei Übernahmen: Antimatter (sichere Authentifizierung für KI-Agenten) und SiftD.ai, das vom Erfinder der Splunk-Abfragesprache SPL gegründet wurde. Adobe und Dropbox zählen zu den ersten ausgewählten Kunden, die das SIEM-System testen. Lakewatch ist laut Ankündigung ab sofort als Private Preview verfügbar.

(map)