检测平均时间是一个数据访问问题

平均检测时间是一个数据访问问题 | Databricks 博客

跳转到主要内容

[](http://www.databricks.com/)

[](http://www.databricks.com/)

• 为什么选择 Databricks

• * 发现

• 面向应用开发者

• 面向高管

• 面向初创公司

• 湖仓架构

• Databricks AI 研究

• 客户

• 客户案例

• 合作伙伴

• 合作伙伴概览 探索 Databricks 合作伙伴生态系统

• 合作伙伴计划 探索优势、级别以及如何成为合作伙伴

• 寻找合作伙伴 发现适合您需求的 Databricks 合作伙伴

• 合作伙伴亮点 特色合作伙伴公告

• 云提供商 Databricks 在 AWS、Azure 和 GCP 上

• 合作伙伴解决方案 寻找定制行业和迁移解决方案

• 产品

• * Databricks 平台

• 平台概述 统一的数据、分析和 AI 平台

• 共享 开放、安全、零拷贝共享所有数据

• 治理 统一治理所有数据、分析和 AI 资产

• 人工智能 构建和部署 ML 和 GenAI 应用程序

• 商业智能 针对真实世界数据的智能分析

• 数据库 Postgres 用于数据应用程序和 AI 代理

• 数据管理 数据可靠性、安全性和性能

• 数据仓库 无服务器 SQL 分析数据仓库

• 数据工程 批量和流式数据的 ETL 和编排

• 业务生产力 统一搜索、聊天、仪表板和应用

• 应用开发 快速构建安全的数据和 AI 应用

• 安全 开放代理型 SIEM，专为 AI 时代设计

• 集成与数据

• 市场 开放式数据、分析和 AI 市场

• IDE 集成 在您喜欢的 IDE 中构建湖仓

• 合作伙伴连接 发现并集成到 Databricks 生态系统中

• 定价

• Databricks 定价 探索产品定价、DBUs 等

• 成本计算器 估算任何云上的计算成本

• 开源

• 开源技术 了解平台背后的创新

• 解决方案

• * 面向行业的 Databricks

• 通信

• 金融服务

• 医疗保健与生命科学

• 制造业

• 媒体与娱乐

• 公共部门

• 零售

• 查看所有行业

• 跨行业解决方案

• AI 代理

• AI 治理

• 网络安全

• 营销

• 迁移与部署

• 数据迁移

• 专业服务

• 解决方案加速器

• 探索加速器 加快实现重要成果的步伐

• 资源

• 学习

• 培训 发现量身定制的课程
• Databricks Academy 登录 Databricks 学习平台
• 认证 获得认可和差异化优势
• 免费版 免费学习专业数据和 AI 工具
• 大学联盟 想教授 Databricks 吗？看看如何开始。

• 活动

• 数据 + AI 峰会
• 数据 + AI 世界巡演
• AI 日
• 活动日历

• 博客和播客

• Databricks 博客 探索新闻、产品公告等
• AI 博客 探索我们的 AI 研究与工程工作
• Data Brew 播客 让我们聊聊数据吧！
• 数据 + AI 领袖播客 来自数据领袖的创新见解

• 获取帮助

• 客户支持
• 文档
• 社区

• 深入了解

• 资源中心
• 演示中心
• 架构中心

• 关于

• 公司

• 关于我们
• 我们的团队
• Databricks Ventures
• 联系我们

• 职业机会

• 在 Databricks 工作
• 开放职位

• 媒体

• 奖项与认可
• 新闻中心

• 安全与信任

• 安全与信任

• DATA + AI 峰会 

• 登录
• 联系我们
• 试用 Databricks

1. 所有博客
2. / 行业

目录

目录

目录

行业 2026年5月7日

平均检测时间是一个数据访问问题

行业成果：资金充足的 SOC 中的分析师通常花更多时间查询数据，而不是分析数据。调查瓶颈不是专业知识的问题——而是需要花费大量时间来组装专业知识所需的数据。

作者 Taylor Kain

摘要

• 安全分析师花费不成比例的时间在碎片化系统中组装数据，限制了调查的速度和有效性。
• 现有的 SIEM 和 SOAR 工具改进了工作流程，但未能消除跨系统数据集成的核心问题。
• Lakewatch 中的 Databricks Genie 通过自然语言和代理驱动的调查，以机器速度加速检测和响应。

用例

SOC 效率与事件调查智能

安全运营 指标在过去十年中变得更加复杂。MTTD（平均检测时间）、MTTR（平均修复时间）、误报率、分析师利用率——安全运营中心的操作性能现在像任何其他业务功能一样受到严格衡量。当这些指标被分析时，一个一致的模式浮现出来：分析师花费不成比例的时间在数据组装上，而不是分析上。

调查可疑警报的分析师需要从多个来源提取日志数据，交叉引用用户身份记录，检查涉及系统的资产信息，审查相关实体的先前警报，并在多个来源之间关联时间线数据。每次数据提取都需要不同的查询、不同的系统和不同的语法。

为什么大多数 SOC 的平均检测时间停滞不前

安全运营领导者已经投资于 SIEM 平台、SOAR 自动化和威胁情报集成来解决这一问题。这些投资确实带来了实际的改进。然而，他们尚未解决的根本问题是数据碎片化：当调查相关问题的权威版本需要在未设计为相互沟通的系统之间进行数据连接时，分析师就成为了集成层。

一个能够以秒为单位回答任何事件相关问题的二级分析师，其分析效率是一个需要查询三个系统才能拼凑出完整画面的分析师的五倍。

Genie 和 Lakewatch 用于 SOC 调查

Genie 是 Lakewatch 中的代理接口，利用 Anthropic Claude 模型的高级推理能力提供代理化的安全操作。通过整合 Claude 的推理能力，Lakewatch 可以在几秒钟内跨安全、IT 和业务数据关联复杂的信号。这使得分析师可以部署防御性安全代理，这些代理不仅搜索数据，还理解调查的上下文，从而比手动工作流更快地发现高保真度威胁。

Genie 在 Lakewatch 中充当代理接口，使分析师能够从“人在回路”转向“人掌舵”。分析师无需编写复杂的 SQL 或学习专有搜索语言，而是使用 Genie 来编排自主代理，这些代理可以在几秒钟内搜索、总结和交叉引用数 PB 的数据。

Genie 使安全运营团队能够以自然语言形式在其完整的安全数据环境中提出调查问题。分析师可以询问：“显示过去 7 天内用户 X 的所有身份验证事件、他们访问的系统、与敏感数据存储相关的任何文件访问事件以及我们 EDR 的任何相关警报。” 这种调查综合结果将以单个对话式响应呈现。

MTTD 数学：从 200 天到分钟

减少 MTTD 不仅是一个目标；它是一项生存要求。正如 Databricks 联合创始人兼 CEO Ali Ghodsi 在 RSA 主题演讲中所强调的那样，我们正在见证威胁态势的重大转变。Zero Day Clock 显示，2018 年，从 CVE 到武器化漏洞的平均时间超过两年。如今，这个窗口已缩短至仅仅 1.3 天。

这个 1.3 天的漏洞利用窗口是传统 SIEM 的“架构死胡同”。尽管最近的数据表明，中位数的入侵检测时间已大幅压缩，但该中位数通常掩盖了由于可见性差距而未被发现数月的复杂威胁。人类单独无法跟上这种武器化的速度。我们正面临成群的 AI 攻击代理，它们无处不在地发动攻击，而防御者仍然受到手动工作流和“安全税”的限制，被迫丢弃多达 75% 的数据。

指标全称定义业务意义 MTTDMean Time to Detect 识别潜在安全事件所需的平均时间关键：高 MTTD 表明存在“可见性差距”，攻击者可以在其中自由操作（即“长尾”问题）。 MTTRMean Time to Respond 从触发警报到开始初始响应或缓解措施的平均时间衡量 SOC 敏捷性和自动化剧本的有效性。 MTTCMean Time to Contain 隔离威胁并防止其进一步在网络中传播的平均时间限制“爆炸半径”和潜在数据泄露的主要指标。 MTTIMean Time to Investigate 分析师验证警报并确定其根本原因和范围所需的平均时间突出由于系统碎片化导致的手动数据连接引起的“分析师瓶颈”。

要对抗一群攻击者，你需要一群防御者。Lakewatch 和 Genie 代表了一种根本性的转变。Lakewatch 部署成群的防御代理，这些代理在您的数据所在位置本地化地自动执行检测、分类和调查。我们正从人工节奏的分类转向机器速度的防御，将防御者置于指挥位置，以在整个企业范围内编排自主防御。

DATABRICKS GENIE · 核心差异化

为您的数据构建，遵循您的规则，对任何业务领导者负责。

• 统一的安全数据湖：所有安全遥测数据集中在一个地方——SIEM、EDR、NDR、IAM、CSPM 数据可在单一查询环境中访问。
• 时间线重建：Genie 可以跨数据源组装时间顺序事件时间线——减少事件重建的手动工作。
• 实体上下文：用户、设备和应用程序上下文始终与事件数据一起可用——调查自动获得丰富上下文。
• 分析师级别的访问控制：初级和高级分析师根据其角色访问适当的数据——调查能力随着适当的治理而扩展。

看看 Genie 能为您的团队做些什么

Databricks Genie 现已推出。了解您的行业同行如何使用它重新构想他们访问和处理数据的方式。

获取最新文章

订阅我们的博客，获取最新文章直接发送到您的收件箱。

注册

*

工作邮箱

*

国家 国家*

点击“订阅”即表示我同意接收 Databricks 通信，并同意 Databricks 根据其 隐私政策 处理我的个人数据。

订阅

查看所有博客

为什么选择 Databricks

发现

• 面向应用开发者
• 面向高管
• 面向初创公司
• 湖仓架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概览
• 合作伙伴计划
• 查找合作伙伴
• 合作伙伴亮点
• 云服务提供商
• 合作伙伴解决方案

为什么选择 Databricks

发现

• 面向应用开发者
• 面向高管
• 面向初创公司
• 湖仓架构
• Databricks AI 研究

客户

• 客户案例

合作伙伴

• 合作伙伴概览
• 合作伙伴计划
• 查找合作伙伴
• 合作伙伴亮点
• 云服务提供商
• 合作伙伴解决方案

产品

Databricks 平台

• 平台概览
• 共享
• 治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 业务生产力
• 应用开发
• 安全

定价

• 定价概览
• 定价计算器

开源

集成与数据

• 市场
• IDE 集成
• 合作伙伴连接

产品

Databricks 平台

• 平台概览
• 共享
• 治理
• 人工智能
• 商业智能
• 数据库
• 数据管理
• 数据仓库
• 数据工程
• 业务生产力
• 应用开发
• 安全

定价

• 定价概览
• 定价计算器

开源

集成与数据

• 市场
• IDE 集成
• 合作伙伴连接

解决方案

Databricks 行业解决方案

• 通信
• 金融服务
• 医疗保健和生命科学
• 制造业
• 媒体和娱乐
• 公共部门
• 零售
• 查看全部

跨行业解决方案

• AI 代理
• AI 治理
• 网络安全
• 营销

数据迁移

专业服务

解决方案加速器

解决方案

Databricks 行业解决方案

• 通信
• 金融服务
• 医疗保健与生命科学
• 制造业
• 媒体与娱乐
• 公共部门
• 零售业
• 查看全部

跨行业解决方案

• AI Agents
• AI 治理
• 网络安全
• 市场营销

数据迁移

专业服务

解决方案加速器

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版本
• 大学联盟
• Databricks 学院登录

活动

• 数据 + AI 峰会
• 数据 + AI 全球巡演
• AI Days
• 活动日历

博客和播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 冠军播客

资源

文档

客户支持

社区

学习

• 培训
• 认证
• 免费版本
• 大学联盟
• Databricks 学院登录

活动

• 数据 + AI 峰会
• 数据 + AI 全球巡演
• AI Days
• 活动日历

博客和播客

• Databricks 博客
• AI 博客
• Data Brew 播客
• 数据与 AI 冠军播客

关于我们

公司

• 关于我们
• 我们的团队
• Databricks Ventures
• 联系我们

职业发展

• 开放职位
• 在 Databricks 工作

新闻

• 奖项与认可
• 新闻中心

安全与信任

关于我们

公司

• 关于我们
• 我们的团队
• Databricks Ventures
• 联系我们

职业发展

• 开放职位
• 在 Databricks 工作

新闻

• 奖项与认可
• 新闻中心

安全与信任

Databricks Inc.

160 Spear Street, 15th Floor

San Francisco, CA 94105

1-866-330-0121

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

查看职业发展

在 Databricks 职业发展

• [](https://www.linkedin.com/company/databricks)
• [](https://www.facebook.com/pages/Databricks/560203607379694)
• [](https://twitter.com/databricks)
• [](https://www.databricks.com/feed)
• [](https://www.glassdoor.com/Overview/Working-at-Databricks-EI_IE954734.11,21.htm)
• [](https://www.youtube.com/@Databricks)

© Databricks 2026. 保留所有权利。Apache、Apache Spark、Spark、Spark 标志、Apache Iceberg、Iceberg 和 Apache Iceberg 标志是 Apache Software Foundation 的商标。

• 隐私声明
• |使用条款
• |现代奴隶制声明
• |加州隐私
• |您的隐私选择
• 

我们重视您的隐私

Databricks 使用 Cookie 和类似技术来增强网站导航、分析网站使用情况、个性化内容和广告，以及如我们的 Cookie 声明 中进一步描述的其他功能。要禁用非必要的 Cookie，请点击“拒绝全部”。您还可以通过点击“管理偏好”来管理您的 Cookie 设置。

管理偏好

拒绝全部 接受全部

隐私偏好中心

已尊重退出偏好信号

隐私偏好中心

• ### 您的隐私
• ### 必需的 Cookie
• ### 性能 Cookie
• ### 功能性 Cookie
• ### 定向 Cookie
• ### TOTHR

#### 您的隐私

当您访问任何网站时，它可能会在您的浏览器上存储或检索信息，通常以 Cookie 的形式。这些信息可能是关于您、您的偏好或您的设备的，并主要用于使网站按您期望的方式运行。这些信息通常不会直接识别您，但可以为您提供更个性化的网络体验。由于我们尊重您的隐私权，您可以选择不允许某些类型的 Cookie。单击不同的类别标题以了解更多信息并更改我们的默认设置。但是，阻止某些类型的 Cookie 可能会影响您对网站的体验以及我们能够提供的服务。

#### 退出销售、共享和定向广告

根据您的位置，您可能有权退出“出售”或“共享”您的个人信息或将您的个人信息用于在线“定向广告”的处理。您可以通过在此处禁用可选 Cookie 来基于 Cookie 和类似标识符退出。要基于其他标识符（例如您的电子邮件地址）退出，请在我们的 隐私请求中心 提交请求。

更多信息

#### 必需的 Cookie

始终启用

这些 Cookie 对于网站的功能至关重要，无法在我们的系统中关闭。它们协助实现基本的网站功能，例如设置您的隐私偏好、登录或填写表单。您可以将浏览器设置为阻止或提醒您有关这些 Cookie 的信息，但网站的部分功能将不再工作。

#### 性能 Cookie

• [x] 性能 Cookie

这些 Cookie 允许我们统计访问次数和流量来源，以便我们可以衡量和改进网站的性能。它们帮助我们了解哪些页面最受欢迎和最不受欢迎，并查看访问者如何浏览网站。

#### 功能性 Cookie

• [x] 功能性 Cookie

这些 Cookie 使网站能够提供增强的功能和个性化服务。它们可能由我们或添加到我们页面中的第三方提供商设置。如果您不允许这些 Cookie，则其中部分或全部服务可能无法正常运行。

#### 定向 Cookie

• [x] 定向 Cookie

这些 Cookie 可能通过我们的网站由我们的广告合作伙伴设置。它们可能被这些公司用来建立您的兴趣档案，并在其他网站上向您展示相关广告。如果您不允许这些 Cookie，您将体验到较少的定向广告。

#### TOTHR

• [x] TOTHR

Cookie 列表

同意 法律依据.利益

• [x] 复选框标签 标签

• [x] 复选框标签 标签

• [x] 复选框标签 标签

清除

• - [x] 复选框标签 标签

应用 取消

确认我的选择

允许全部