Data lake do Microsoft Sentinel: unifique sinais, reduza custos e potencialize a IA agêntica

As equipes de operações de segurança há muito enfrentam o desafio de gerenciar conjuntos de dados massivos e em rápido crescimento, e o custo de dimensionar as ferramentas tradicionais de gerenciamento de dados para lidar com esses volumes de dados tornou-se insustentável. Estamos evoluindo nossa solução de gerenciamento de eventos e incidentes de segurança (SIEM, em inglês) líder do setor, o Microsoft Sentinel, para incluir um data lake moderno e econômico. Ao unificar todos os seus dados de segurança, o data lake do Microsoft Sentinel, agora em prévia pública, acelera a adoção da IA agêntica e gera visibilidade incomparável, empoderando as equipes a detectar e responder mais rapidamente. Com o data lake do Sentinel, você não é mais forçado a escolher entre reter dados críticos e permanecer dentro do orçamento.

O Microsoft Sentinel iniciou essa jornada há cinco anos com a introdução do primeiro SIEM nativo de nuvem para simplificar a integração de dados e trazer o poder da IA para a detecção de ameaças.¹ Desde então, integramos o Sentinel ao Microsoft Defender e o enriquecemos com inteligência contra ameaças em tempo real, recomendações guiadas e recursos de resposta automatizada. O data lake do Microsoft Sentinel é a próxima etapa nessa jornada, criada para ajudar os líderes de segurança a superar as limitações dos SIEMs tradicionais, colocando os dados de segurança no centro do SOC (centro de operações de segurança), em escala e sem concessões. Agora, você pode continuar sua própria jornada e integrar o data lake do Microsoft Sentinel.

Quebrando silos de dados para melhor segurança

Com os volumes de logs de segurança crescendo rapidamente, as equipes são forçadas a fazer compensações dolorosas: reduzir o registro arriscando pontos cegos, encurtar a retenção comprometendo a profundidade forense ou absorver custos insustentáveis ao gerenciar todos os seus dados de segurança em um SIEM. Este é o paradoxo da segurança moderna: quanto mais dados você tem, mais difícil se torna usá-los de forma eficaz. E sem visibilidade unificada e de longo prazo, mesmo os modelos de IA mais avançados não podem atingir todo o seu potencial. Dados isolados significam ameaças cibernéticas perdidas, investigações atrasadas e ferramentas subutilizadas.

O data lake do Microsoft Sentinel foi criado especificamente para resolver esse desafio e fornece a base para a defesa agêntica. Ele reúne todos os seus dados de segurança, da Microsoft e de fontes de terceiros em um único data lake econômico, com mais de 350 conectores nativos. Com retenção de dados com preço inferior a 15% dos logs de análise tradicionais, ele permite o enriquecimento contínuo com inteligência de ameaças e detecção baseada em IA em todo o seu ambiente. Este não é apenas um novo produto, é uma nova arquitetura para operações de segurança, que capacita as equipes de segurança a caçar ameaças cibernéticas ao longo de meses ou anos, reconstruir incidentes com precisão e desbloquear todo o valor da IA.

“A visão da Microsoft para o data lake do Sentinel reflete o que mais importa na segurança cibernética: clareza, escala e impacto no mundo real. Com mais de 1.200 implantações do Sentinel em todo o mundo, a BlueVoyant viu a necessidade em primeira mão. Os desafios de dados em grande escala agora são a norma. O data lake Sentinel marca uma evolução natural do modelo SIEM e SOAR, que oferece suporte crítico à análise moderna, ciência de dados e estratégia de ingestão flexível. É um passo crítico para os clientes que buscam modernizar suas operações de segurança.” — Milan Patel, diretor de receita da BlueVoyant

Para ajudar ainda mais os defensores a aproveitar ao máximo seus dados, estamos democratizando a inteligência contra ameaças convergindo os recursos de MDTI (Inteligência contra Ameaças do Microsoft Defender) para o Defender XDR e o Sentinel sem custo adicional; isso significa que as equipes de segurança não precisarão mais comprar um SKU separado para acessar esses recursos avançados. O valor do MDTI será mesclado no Sentinel e no Defender XDR ao longo do tempo, a partir de outubro de 2025, quando todos os relatórios de ameaças da Microsoft, incluindo perfis de inteligência e indicadores de comprometimento (IoCs), estarão disponíveis no Defender XDR. Além disso, os IoCs serão incorporados ao gerenciamento de casos do Sentinel para que os clientes possam colaborar e compartilhar inteligência de ameaças entre as equipes de sua organização. Os recursos restantes ficarão disponíveis ao longo do tempo.

Com essa mudança, as equipes de segurança podem acessar facilmente um poderoso repositório de inteligência de ameaças da linha de frente, proveniente de 84 trilhões de sinais diários e apoiado pela experiência de mais de 10 mil especialistas em segurança da Microsoft. Leia mais sobre como esse valor agregado no Sentinel e no Defender aprimorará muito os recursos com dados de ameaças em tempo real e de alta qualidade.

Empoderando as equipes de segurança para fazer mais

A promessa da IA na segurança cibernética sempre foi ousada: detecção mais rápida, resposta mais inteligente e capacidade de superar até mesmo os invasores cibernéticos mais sofisticados. Mas a maioria das equipes de segurança é impactada por dados fragmentados e contexto incompleto. Centralizar seus dados em um data lake enriquecido com inteligência de ameaças elimina silos e garante que modelos de IA como o Security Copilot tenham o contexto completo de que precisam para detectar padrões sutis de ataques cibernéticos, correlacionar sinais no tempo e no espaço e exibir alertas de alta fidelidade. Isso cria a base para o futuro da defesa agêntica, onde a IA não apenas ajuda, ela age. Essa mudança agora empodera as equipes de segurança a:

• Descubrir o comportamento de atacantes cibernéticos com histórico de anos sem se preocupar tanto com os limites de armazenamento

• Abordar casos de uso pré e pós-violação correlacionando ativos, atividades e dados de TI

• Utilizar informações sobre ameaças em tempo real para fazer a triagem mais rapidamente e buscar retroativamente dados históricos

• Acionar detecções automaticamente com base nos IoCs mais recentes e táticas, técnicas e procedimentos (TTPs)

• Usar a KQL (Kusto Query Language) e o Apache Spark para consultar horizontes de tempo estendidos e detectar padrões sutis de ataques cibernéticos

• Oferecer suporte às necessidades regulatórias e de conformidade com retenção de dados escalável e econômica.

Esses são os trabalhos que mais importam nas operações de segurança modernas e agora são mais fáceis, rápidos e econômicos de executar.

“Para as equipes cibernéticas, a proliferação massiva de dados pode desviar o foco ou atrasar as respostas a ameaças [cibernéticas] genuínas. O data lake do Microsoft Sentinel pode ser uma ferramenta valiosa para centralização e visibilidade de dados e para análise histórica em grandes volumes de conjuntos de dados. Juntamente com a Microsoft, a Accenture pode ajudar nossos clientes a aproveitar o data lake para estender o poder do Microsoft Sentinel para turbinar a detecção de ataques e a correção proativa”. — Rex Thexton, diretor de tecnologia, Accenture Security

Simplificando as operações enquanto está pronto para IA

O data lake do Microsoft Sentinel simplifica o gerenciamento de dados com uma experiência flexível e centralizada no portal do Microsoft Defender, reunindo seus dados de segurança com as ferramentas que seus defensores usam para prevenir, detectar e responder a ameaças cibernéticas todos os dias. Os analistas podem se mover perfeitamente entre as camadas de análise e data lake, permitindo resposta em tempo real e investigação profunda a partir de uma única interface. Ao fazer isso, todos os seus dados armazenados na camada de análise estão automaticamente disponíveis na camada de data lake e, como ela é criada em formatos abertos, as organizações podem personalizar fluxos de trabalho de análise, criar modelos personalizados de machine learning (ML) e aproveitar ferramentas familiares, em uma única cópia de seus dados de segurança, para estender o valor do data lake para atender às suas necessidades exclusivas. Esteja você consolidando ferramentas, dimensionando seu SOC ou se preparando para a defesa baseada em IA, o data lake do Sentinel se adapta à sua estratégia e jornada de segurança.

O data lake do Sentinel permite que as equipes do SOC entrem na próxima era de operações de segurança. Ser capaz de garantir a cobertura de seu patrimônio de segurança - em todas as fontes de dados de segurança e horizontes de tempo - permite que as equipes de segurança detectem proativamente ataques cibernéticos latentes, identifiquem ameaças cibernéticas emergentes com modelos baseados em IA, reconstruam cronogramas de ataques cibernéticos em detalhes forenses e descubram retroativamente indicadores de comprometimento que, de outra forma, poderiam passar despercebidos.

“A superfície de ataque [cibernético] está se expandindo com todos os aplicativos e aplicações de IA implantados em ambientes de nuvem híbrida, e os ataques baseados em IA estão evoluindo com a mesma rapidez. O que muitas organizações ainda não têm são ferramentas melhores, mas visibilidade em tempo real de seu patrimônio de TI, suas configurações e contexto de negócios. Para entender sua exposição total, as organizações precisam da inteligência de ativos certa e de um esforço compartilhado do setor. O novo data lake do Microsoft Sentinel representa um passo valioso nessa direção. A IBM está comprometida em trabalhar em todo o ecossistema para ajudar a resolver esse desafio.” — Srini Tummalapenta, IBM Distinguished Engineer, diretor de tecnologia da IBM Consulting Cybersecurity Services

Este lançamento marca mais do que uma evolução do produto, permitindo que as equipes de operações de segurança respondam mais rapidamente e com visibilidade máxima. O Microsoft Sentinel continua a ultrapassar os limites com uma arquitetura escalonável que combina SIEM, XDR (detecção e resposta estendidas) e inteligência contra ameaças em uma experiência única e integrada. O data lake do Sentinel é a base dessa evolução, permitindo que as equipes de segurança raciocinem sobre mais dados, de forma mais inteligente e acessível do que nunca.

Por Scott Woodgate e Krishna Kumar Parthasarathy