安全数据管道平台的崛起：SOC新一代控制平面

快速解读：报告里的关键信号

1. 市场加速整合，收购潮全面启动

SDPP（安全数据管道平台）进入快速并购期。主流 SIEM、XDR、可观测性厂商都在买管道能力，补齐自己架构的短板。

典型收购包括：CrowdStrike 收 Onum（~2.9 亿美元）、SentinelOne 收 Observo AI（~2.25 亿美元）、Panther Labs 收 Datable、Palo Alto Networks 宣布 33 亿美元收购 Chronosphere（行业最大级别之一）。

趋势非常明确：大厂用“买”来解决多年解决不了的摄取、规范化和成本难题，管道层正在成为 SOC 的新引力中心。

但这也带来一个问题：管道平台赖以生存的“厂商中立”还能保持多久？报告里，安全从业者对中立性、迁移门槛等担忧都有深入讨论。

2. 安全数据管道正成为 SOC 的控制平面

管道不再只是搬日志。它已经负责摄取、规范化、富化、路由、分层、数据健康等关键能力，成为现代 SOC 的核心控制平面。

所有下游系统都依赖管道提供干净、统一、可信的遥测数据。报告深入评估了关键能力和新兴创新方向。

3. AI 正成为管道运营的标配

AI 的落地越来越务实：自动写解析器、修 schema 漂移、生成管道、做基线和异常检测等工程化重复任务。

团队对“自动决策的 SOC”仍然谨慎，但非常支持“用 AI 降低工程负担、提升一致性”的管道场景。

4. 遥测健康监测变成核心能力

现在团队更怕“数据缺失”而不是“数据太吵”。

现代管道提供持续的智能遥测健康监测：源头静默、schema 漂移、流量异常、基线偏离、噪声激增、目的端故障后的智能重路由等。

有了这些能力，SOC 不会陷入“盲飞”。

5. 检测开始前移

一些平台开始把轻量检测能力前移到管道层：如 IOC 快速匹配、早期模式识别等。

从业者认可“更早的上下文”，但也指出：真正影响效果的往往不是检测早晚，而是响应速度。报告里对这一趋势的行业反馈有详细拆解。

6. 管道正在成为 AI 驱动安全运营的底座

AI 要表现好，必须依赖高质量、规范化、富化且完整的数据。

管道是 AI 共驾、LLM SOC 助手、下一代关联引擎和自动化分流的准备层。数据层没打好，AI 的能力会直接折损。

SDPP 正变成未来 SOC 自动化的战略核心。

7. SDP PLUS：平台横向扩展趋势显现

除了传统管道能力，纯管道厂商开始横向扩展：

• 自带分层存储的数据湖

• 管道层检测与分析

• 跨 SIEM / 数据湖的联邦查询

• 安全与可观测性融合

• AI SOC 能力等

  SDP 不再只是“管道”，而是在向 SOC 数据与分析的基础平台进化。

给安全领导者的总结

安全数据管道已经成为现代 SOC 的核心控制平面。它们掌控数据、优化成本、提升数据质量，加速调查流程，提供更干净的富化、更可靠的遥测，以及保持对下游平台的厂商中立能力。

同时，管道也正成为下一代 AI 驱动安全运营不可或缺的数据基础。

随着收购潮加速，市场正在分化为两大阵营：独立的安全数据管道平台，以及被集成进更大安全架构中的 SDP 能力。无论走向如何，都凸显了一个事实——数据管道正成为整个安全技术栈里最关键的一层。

引言

在深入阅读本报告之前，我们先为刚接触安全数据管道平台（Security Data Pipeline Platforms，简称 SDPP）的读者建立一些背景认知。

在 Francis 的第一份报告《2025 市场指南：安全数据管道平台的崛起》中，他首次系统性描述了这一平台在安全运营中的价值——这是业内第一份专注于该品类的分析报告，尽管这些解决方案已经存在多年。它们的兴起源于一线从业者对传统 SIEM 的不满，以及长期无法解决的数据质量问题。我在《SIEM 平台收敛报告》中对这些从业者的担忧进行了详细拆解，并指出两家主流 SIEM 厂商收购管道平台，意在通过深度集成来重新定义 SIEM 的能力。此后，Panther 又收购了 Datable.io 的安全数据管道平台。而就在今天（11 月 19 日），Palo Alto Networks 宣布收购 Chronosphere。我预计这股收购浪潮还会继续，因为 SIEM 厂商正试图甩开传统架构的限制，同时应对不断升级的从业者诉求。

在这一版本的报告中，我们对安全数据管道平台展开更深入的剖析：过去一年里，这个品类如何演进、厂商的路线如何分化、平台能力与定位发生了哪些重大变化。重点是描绘它们如何从“数据路由工具”成长为“现代安全架构的核心组件”。报告在原有框架上进一步扩展，根据能力的“广度”与“成熟度”两个维度，深度分析了多个关键管道能力。

同时，报告也呈现了不同 SDP 厂商的分化路径：

• 有些正进一步强化与 SIEM 的深度集成，定位为“数据路由中枢”；

• 另一些则向自带数据湖的“SDP PLUS”方向演进，试图在更广的安全架构中承担核心角色。

内容来自大量从业者对话、用户访谈及深度技术简报，旨在还原这些平台在真实 SOC 环境中的落地方式与演进趋势。

回顾 SDPP 报告第一版：数据层如何成为现代 SOC 的心脏

在最初的报告中，我们对安全数据管道平台（SDPP）给出了清晰定义：安全数据管道平台（SDPP）是一类专为安全场景打造的系统，能够在混合与云环境中高效完成安全遥测数据的摄取、规范化、富化、过滤与路由。它们位于数据源（如 EDR、云日志、防火墙）与数据目的地（如 SIEM、数据湖、XDR、分析工具）之间，目标是在降低成本与复杂度的同时，提高检测与响应的速度与准确性。

当第一版 SDPP 报告发布时，它点中了许多安全团队长期心照不宣的痛点：SIEM 虽未消失，却已逼近极限。

随着组织不断扩大数据收集规模，“把所有数据都喂给 SIEM”这种旧模式已经无法维持。报告指出，这标志着现代 SOC 架构正在经历深层转型——数据层引入了新的基础设施角色：安全数据管道平台。

报告的核心结论，是 SDPP 的崛起。

我们把这些平台称作现代 SOC 的“安全炼油厂”：它们把原始遥测清洗、规范、富化、分流，最终产出分析师真正能用得上的高质量结构化数据，成为 SIEM、数据湖和 XDR 之前的关键中间层。

报告也揭示了这个市场为何迅速扩大：数据爆炸、合规要求攀升、工具碎片化 ——正持续压迫 SOC 团队寻找更高效的数据管理方式。SDPP 不只降本，还显著提升数据质量，从而加速威胁检测。

报告还提出一个重要观察：SIEM 本身正在进化。从单体式平台转向模块化架构，逐步解耦“存储”与“分析”：

• 数据可放在廉价存储

• 分析按需查询

  这种新模式允许企业在不爆预算的情况下无限扩展。

这份报告也提前预见了一个趋势：管道、数据湖、SIEM 的融合即将发生。

未来的安全数据架构将把摄取、存储、分析统一成一个数据底座。行业的讨论焦点因此从“买哪个 SIEM”转向“如何搭建正确的数据架构”。

简而言之：安全数据管道平台正在成为现代组织的必备基础设施，因为它们彻底改变了安全数据的收集、处理与使用方式。

接下来，我们将深入解析它们为何如此重要，以及它们如何演进成为现代 SOC 的真正控制平面。

收购潮：SDPP 厂商进入快速整合阶段

好的安全，必须建立在好的数据之上。正因如此，SIEM 和 XDR 厂商正在迅速抢占掌控权，把负责清洗、塑形、路由遥测数据的“管道层”纳入自己的技术版图。

这一趋势标志着市场进入新阶段：数据质量的重要性已经与检测和响应本身并驾齐驱。

过去两年里，多家安全与可观测性巨头陆续收购管道与遥测平台，行业对“数据管道是核心能力”的认知彻底形成。现代安全平台想要提供强分析与 AI 结果，前提是拥有高质量、标准化、结构化的数据。因此，大厂不再依赖第三方，而是加速把管道技术收进自家体系中。

以下按时间顺序梳理主要收购事件：

• Tarsal：2025 年 7 月，Monad 收购 Tarsal，强化其安全运营与数据管理能力，是最早的一批收购动作之一。

• Onum：CrowdStrike 以约 2.9 亿美元 收购 Onum。

• Observo AI：SentinelOne 以约 2.25 亿美元（现金+股票） 收购 Observo AI，补强其数据管道与 SIEM 能力。

• Datable：Panther Labs 宣布收购安全数据管道平台 Datable（金額未披露）。

• Chronosphere：2025 年 11 月 19 日，Palo Alto Networks 宣布以 33 亿美元 收购具备强大管道能力的可观测性平台 Chronosphere ——这是行业内规模最大的一笔之一。

这一系列收购背后，清晰传递出一个信号：SDPP 已成为现代安全平台的核心竞争力，管道层正快速成为安全行业的战略高地。

收购对更大安全平台意味着什么

这些收购显示出一个明显趋势：安全数据管道正成为现代安全运营的控制平面。

厂商希望更靠近数据源，因为强大的 AI和分析能力依赖干净、结构化的遥测数据。企业不再比拼仪表盘或检测内容，而是在数据质量、一致性和准备度上展开竞争。

这一变化为大型平台的客户——尤其是 SIEM 用户——带来明显好处：性能更高、噪声更少、存储成本下降。核心逻辑很清楚：谁掌握数据质量与路由，谁就在现代解耦 SOC 架构中占据更大优势。

因此，管道层正在成为 SOC 的心脏，也是团队决定哪些数据重要、如何加工、去向何处的操作层。它掌控数据质量、路由、富化和生命周期管理，直接影响下游工具的表现。未来，能够与安全数据管道平台原生集成的平台，将定义下一代现代分析平台。

这些收购进一步确认了一个事实：SIEM、XDR 和 AI SOC 的未来，都将依赖管道层构建的强大统一控制平面。谁掌控这一层，谁就掌控了整个 SOC 技术栈的质量、成本和智能化水平。

收购带来的中立性担忧

虽然收购增强了大平台的能力，但也引发了 SDPP 用户对中立性的担忧。

随着越来越多 SDPP 被大型 SIEM、XDR 和可观测性平台收购，安全领导者开始表达明确关切。最大的问题是中立性可能丧失。许多组织选择独立管道平台，是因为它们提供灵活性、透明的路由，以及自由选择或更换目的地的能力。当这些平台成为大厂生态的一部分时，其优先级可能偏向母厂集成，而弱化独立功能。这可能限制多目的地路由、降低可移植性，并重新产生 SDPP 原本要消除的厂商锁定问题。

人们还担心，一旦被收购的平台融入更大的产品路线图，创新速度可能放缓。独立 SDPP 往往响应快速，直接面向从业者需求；进入大厂后，开发可能更多受平台战略驱动，而非用户选择。目前，多家被收购的公司表示，将继续支持独立 SDPP 用户，而不强制锁定。未来这一趋势是否会持续，仍有待观察。

安全数据管道平台作为独立品类的演进

管道能力有时会被整合进更大的平台，如 SIEM、可观测性工具或 XDR。但本报告主要关注我们所称的“纯粹型”安全数据管道平台（Pure Play SDPP）。

纯粹型安全数据管道平台

这些平台主要聚焦于数据源与数据目的地之间的数据转换层。在报告后续部分，我们会看到这些平台逐步扩展到相邻能力的趋势，我们称之为“SDP PLUS”。但在现阶段，它们仍然主要属于“纯粹型”安全数据管道平台。

Cribl（2018 年成立）是目前领先的 E 轮企业，融资超过 6 亿美元，估值 35 亿美元，体现了从日志路由到完整安全数据管道平台的更广泛转型。Cribl 仍是 SDPP 市场的核心，无论在技术还是商业上都最成熟、最具影响力。许多受访从业者提到 SDP 市场时，首先想到的就是 Cribl。

新兴参与者

除了 Cribl，本报告还对这些新兴的安全数据管道平台进行了深入分析。按字母顺序如下：

• Abstract Security：2023 年成立，2024 年完成 A 轮融资 1500 万美元

• Axoflow：2023 年成立，2025 年 1 月完成种子轮 700 万美元

• Beacon Security：2025 年 11 月脱离暗箱模式

• Brava Security：目前仍处于暗箱阶段

• CeTu：2024 年成立

• Databahn：2023 年成立，2025 年 1 月完成 A 轮融资 1700 万美元

• Datadog：2022 年 6 月推出 Observability Pipelines

• Datable：2023 年成立

• Onum：2022 年成立，被 CrowdStrike 收购

• Observo AI：2022 年成立，被 SentinelOne 收购

• Tenzir：2017 年成立，种子轮融资 330 万美元

• Realm Security：2024 年成立，A 轮融资 1500 万美元

• VirtualMetric：2025 年成立，种子轮融资 259 万美元

早期基础设施厂商集中在可观测性和日志管理上，而如今这些平台开始聚焦安全，解决 SOC 的具体痛点：安全数据质量、摄取成本、AI 规范化以及跨平台路由。

安全数据管道领域投资持续增长

洞察

• 这些厂商从种子轮到 A/D 轮的估值平均增长 4 倍到 10 倍，显示出投资者对 SDPP 平台的高度信心。

• 整合步伐加快：Observo AI、Datable 和 Onum 已被主要安全厂商收购（分别为 SentinelOne、Panther Labs 和 CrowdStrike）。

• 2025 年 11 月 19 日，Palo Alto Networks 宣布以 33 亿美元收购 Chronosphere。

• 未来三年，我们预计资本将持续流向以管道为核心的生态系统，这些生态系统结合了遥测管理、AI 准备度和成本效率，将成为下一代安全数据经济的基础。

安全领导者声音

回顾了上次研究后，我们整理了过去几个月从大量从业者电话访谈、安全厂商深度采访、产品简报以及涵盖平台能力细节的问卷中获得的洞察。

安全数据管道最初是一个节约成本的中介，但现在已成为战略性的策略引擎，用于可视化、控制和敏捷性。采用这些平台的从业者并不是追逐“自主 SOC”的概念，而是在构建有纪律、可确定的系统，并辅以选择性自动化。未来的威胁检测将属于那些以同样严谨管理数据的团队，而 SDPP 正在成为实现这一目标的重要层。数据控制就是新的检测能力。

在各行各业，从金融机构到托管服务提供商，再到工业运营，反馈一致安全数据管道不再是后台工具，而是遥测、成本管理和检测敏捷性的操作控制平面。

从业者最初进入这一领域是为了降低日志成本，但留下来是为了掌控。通过集中管理路由、转换和生命周期，管道已从基础设施转向智能化。一位领导者直言：“我们不只是压缩数据，而是在决定什么重要，以及它应该存放在哪里。”

这些对话显示了从工具中心思维向结果中心设计的转变。从业者最关注三件事：

• 降低 SIEM 数据摄取量并自动执行数据转换

• 多层智能路由，将存储成本与数据用途对齐

• 内置可观测性，衡量摄取完整性与源健康

易于管理正在成为关键差异化因素。管理多个客户环境的团队（MSSP）偏好集中模板，一次管道更新可覆盖所有租户。小型组织更关注与自身部署方式（尤其是基础设施即代码）的契合度。

预算管理作为切入点

最初动机是预算压力，这仍然是最大原因之一。团队在不丢失上下文的前提下设定减少目标，削减摄取量同时提升数据精度。一位领导者提到，他们每天处理超过 3TB 数据，但经过过滤后转发不到一半。SDP 平台直接带来的好处是目的地成本下降，更深层的变化操作自由度。正如一位领导者所说：“你无法自动化垃圾数据。”低质量数据仍是 SOC 中最昂贵的问题。

规范化成为新常态

每位从业者的现代化故事都从数据规范化开始。他们认为一致的模式是任何成熟检测或分析程序的前提。当规范化在最开始就到位时，跨整个技术栈的厂商内容和关联逻辑才能按设计正常工作。

智能管道

现代设计偏好数据邻近而非集中。从业者希望管道平台能够采用 AI 能力或智能路由，根据数据特点将其导向最具成本效益、符合策略的存储，无论是本地、云端还是冷存档，而不绑定分析到单一生态系统。他们希望掌控完整数据生命周期，明确决定哪些保持热数据、哪些滚入温数据、哪些归档为冷数据，并在调查开始时有清晰的复原路径。

沉默才是敌人，而非噪声

访谈中反复出现的主题是安静系统的危险。从业者更担心缺失的遥测，而非过量告警。他们描述了集成休眠、收购后缺乏可见性以及日志静默停止转发的问题。新兴用例是“沉默检测”，管道监控每个数据源的健康状态，并标记活动水平或模式新鲜度的异常。

AI 越来越熟悉

行业对具代理性的 AI 或协作助手越来越接受，但仍未完全认可“自主”概念。领导者强调，他们尚未准备好将决策交给自主智能体。但他们欢迎针对性自动化，以消除重复性工作。希望 AI 能在格式变化时生成解析器、检测版本漂移、聚类相似事件、对关闭调查执行质量检查。他们需要可解释的自动化，而非隐形推理。理想状态是代理辅助，而非完全自主控制——至少目前如此。

将检测前置到数据流

部分 SDPP 平台尝试在数据流中基于 IOC 检测威胁。通过将检测逻辑前置到管道中，更接近数据源，避免在 SIEM 目的地的后索引成本或延迟，实现更快的威胁检测并降低 MTTD。

理论上这一概念令人印象深刻，但访谈反馈不一。一些从业者欢迎更早的威胁可见性，但也有人表示，在响应速度尚未跟上的情况下，流中检测速度并非优先关注。看到价值的组织正在实验轻量级流中检测逻辑，以为目的地路由的数据增加更多上下文。目标不是取代集中分析，而是缩短滞留时间并提前阶段性响应。一些团队已使用管道在触发条件出现时自动收集取证，流中检测可消除后索引延迟，节省检测和响应时间。

收购与中立性问题

早期采用者选择 SDPP，是因为它们位于系统之间，提供架构控制、灵活性和成本节约，而不会锁定客户到单一平台。中立性是其差异化所在。如今，随着主要 SIEM 与数据基础设施厂商收购管道公司或复制其特性，市场有可能回到 SDPP 旨在消除的厂商依赖状态。

正如一位从业者所言：“我们最终可能回到起点，一切被重新捆绑到一个大平台。”

最有价值的提供商将跨 SIEM、可观测性和数据湖层广泛集成，同时将控制权留在从业者手中。差异化不在于谁拥有数据，而在于谁能实现透明、供应商中立的数据流。

如果管道厂商继续优先开放性与集成，它们可保持作为现代安全架构的连接组织。若转而追求全栈所有权，则可能沦为别人平台上的一个功能模块。

管道成为控制平面

安全数据管道常被误解为安全领域的 ETL，仅是将数据从 A 点路由到 B 点的简单中介。但现代平台提供的远不止于此。它们正成为安全团队管理、治理和信任遥测数据的控制平面，覆盖 SIEM、检测、响应、AI、可观测性以及长期分析。

今天的安全领导者面临着数据量激增、模式频繁变化、噪声日志、沉默数据丢失、不一致的富化，以及不断攀升的 SIEM 与数据湖成本。传统的摄取或基础过滤已无法跟上。新兴的一类专为安全数据设计的平台正在现，这些平台在不丢失安全上下文的情况下减少噪声，实现大规模规范化和富化，自动生成解析器，检测模式漂移，监控数据源健康（包括静默失败），并应用 AI 实现管道自优化。

整个行业都清楚一点：安全数据管道平台正从优化工具，演变为 SOC 架构的基础控制层。 它们位于架构中心，决定每个下游工具的表现。

以下是这些平台带来的关键能力简要概览，以及随着该品类演进，安全领导者应关注的创新点。

读者示：以下部分提到的一些功能，可能仅由更高级的安全数据管道平台提供。在供应商章节，你将找到详细描述和深入评估，便于安全领导者对比并理解各平台提供的能力。

核心管道能力

大多数安全数据管道平台的核心能力包括以下几个方面：

超越简单过滤的高级数据减少

数据减少不仅仅是缩减数据量。在安全领域，它意味着在消除噪声和不必要成本的同时，保留调查价值。本节介绍现代管道如何智能地减少数据，同时保持检测精度。

早期管道优势来自于成本节约，但现在的数据减少已远超简单字段删除。

SDPP 实际能力

• 上下文感知抑制：移除重复或重复事件，同时保留指标和安全上下文

• 条件减少：可在字段和事件级别进行

• 自适应采样：根据高峰摄取时间动态调整采样率

• 载荷裁剪：去除非安全相关的元数据，如冗长调试字段或过大载荷

• 模式感知减少：保留检测相关字段，同时裁剪高量噪声

• 摘要与度量化：将冗长日志转为紧凑指标，同时保留调查价值

• 优先级驱动减少：根据日志类型调整逻辑

• 实时形态校正：在数据到达下游系统前转换为正确格式

• 这些技术确保数据减少既节约成本，又兼顾安全，而非盲目裁剪

新兴创新

• 根据威胁上下文或事件状态进行动态减少

• 基于历史告警模式的 AI 辅助减少建议

• 用户可配置的减少层级，与检测关键性对齐

• 自动验证，确保减少操作不会剥离调查所需字段

意义

安全团队在降低 SIEM 成本的同时，保持调查所需的精度。领导者反复强调，他们希望工具能在不降低安全性的前提下，实现“少而精”的工作方式。

规范化与模式管理

规范化确保每个日志源使用统一语言，使检测、分析和调查在不同目的地系统间可靠运行。模式管理防止系统中断，并支持大规模关联。

几乎每位从业者都将其列为首要任务。

SDPP 可提供的能力

• 自动规范化为 OCSF、ECS、UDM 或自定义模式

• 当数据源静默更改格式时，检测模式漂移

• 使用 AI 自动生成解析器，支持新版本或未文档化日志

• 跨所有数据源统一字段命名，解锁 SIEM 内容和关联

新兴创新

• 基于样本日志和目标模式的 AI 解析器生成

• 自动检测新增或缺失字段

• 版本感知规范化：厂商日志更新时自动适应

• 规范化信心评分，用于标记高风险转换

意义

如果数据不干净或不一致，SIEM、XDR、SOAR、UEBA、AI SOC 以及检测都将受影响。高质量数据解锁整个检测库。

上下文与威胁情报富化

原始日志缺乏分析所需上下文。富化增加意义，为日志添加身份、资产和威胁相关信息，使告警和查询更精准、可操作。

SDP 平台作为富化中心，在数据流中添加丰富上下文，增强下游分析能力。

示例

• 环境上下文：GeoIP、云账号或区域

• 身份上下文：用户、部门、权限等级

• 资产上下文：所有者、业务应用、关键性

• 威胁情报匹配：IP、域名、哈希

新兴创新

• 基于日志类型或威胁等级的预富化策略

• 高速富化的内联查找优化

• 基于行为模式的自动资产标记

• 仅在检测相关性高时进行动态富化

意义

富化将原始事件转化为可操作信号。通过在管道中添加身份、资产和威胁上下文，团队可减少分类时间、提升关联质量，使 AI 驱动用例更可靠，无需后续额外步骤。

智能路由与多层存储控制

并非所有数据都应一视同仁。智能路由确保每条日志发送到合适位置和成本层级，同时保持跨 SIEM、数据湖和分析工具的灵活性。

管道由此成为 控制平面。

SDP 平台提供能力

• 根据日志价值路由至热、温、冷存储

• 将数据流拆分至多个 SIEM、检测工具或云湖

• 根据目的地应用不同的数据减少策略

新兴创新

• 成本感知路由：根据云提供商成本差异选择存储

• 供应商中立的 SIEM 迁移路径

意义

路由与存储决策直接影响成本、性能与灵活性。智能路由让安全团队掌控数据存放位置，保持调查路径快速，同时避免锁定单一 SIEM 或存储供应商。

智能集成健康监控

噪声并非唯一敌人，有时沉默更危险。安全团队不仅需要了解发生了什么，还需确保关键遥测始终流动。监控噪声、错误和静默丢失可防止可视性空白导致未被发现的事件。

SDP 平台提供能力

• 检测源静默退出——源级集成健康

• 对比历史基线监控摄取量

• 管道阻塞或目的地问题告警

值得关注的创新

• 自动发现新启用或不活跃的源

• 数据源健康评分随时间变化

• 正常遥测流的行为基线

• 源失效时自动响应

• 检测字段或事件类型突然下降

意义

若关键源消失或降级，SOC 指标可能看似健康，但实际存在盲点。源与管道健康监控让遥测可靠性可见，使团队能够快速响应。

AI 辅助管道

AI 为历史上缓慢、手动、易错的管道任务带来速度与自动化。从业者逐渐接受在管道平台中使用 AI 的想法。AI 在管道中的高价值应用并非“自主 SOC”，而是通过提供管道优化建议、加速新数据源接入、在检测前提升数据质量，减轻运营负担。

AI 解决的长期痛点

1.新日志源接入过慢，尤其在平台迁移或连接新环境时。AI 生成解析器和自动规范化大幅缩短从原始日志到可用遥测的时间。

2.高告警量常因数据质量、聚类和关联工作不完整，而非 SOC 流程薄弱。AI 自动分组相关事件、生成干净模式、保证日志结构化和富化，减轻下游告警队列压力。

3.遥测静默故障。AI 驱动的基线与异常检测可识别源消失、格式漂移或异常流量，解决关键可视性空白。

早期创新

• AI 生成解析器

• AI 驱动的管道创建

• 传输中自动异常检测

• 日志类型语义分类

值得关注的创新

• 管道优化建议

• 验证模式漂移与转换状态的 AI 分析

• 预测缺失日志集成

• 检测到目的地健康失败时自动重路由

意义

AI 辅助管道承担重复工程工作和供应商格式变化，让稀缺的安全工程师与分析师专注于检测、调查和架构，而非管道管理。

统一安全数据控制平面

随着能力融合，安全管道正在成为战略控制层，治理整个 SecOps 栈中遥测的形态、富化和使用。

提供能力

• 数据质量集中治理

• 一处执行模式、减少和路由策略

• 为一致的 AI 与分析提供基础

• 外部编排的控制平面 API

• 数据治理的策略即代码

• 显示安全、成本和性能影响的统一仪表盘

• 每个事件的端到端自动血统追踪

意义

将管道视为统一控制平面，为 CISO 提供单一位置管理数据质量、成本与访问权限。这一基础便于演进工具、采纳新分析和 AI，并应对监管或业务变更，无需不断重构集成。

当减少、规范化、富化、模式治理、路由、数据健康与 AI 自动化融合时，管道成为决策遥测在终端系统中如何使用的核心控制平面。

近期收购显示，SIEM 厂商已认识到这一点。管道是战略性瓶颈，控制数据层意味着影响整个 SOC 堆栈。

新兴趋势

以下是我们在一些现代安全数据管道平台中观察到的新兴趋势——

部署与分布灵活性

这些平台提供灵活的部署选项，通常采用控制平面与管道引擎分离的模式。许多厂商还支持多租户，以满足 MSSP 和大型企业的需求。

高级规范化、富化与上下文结构

各厂商的规范化和富化能力日益丰富且自动化。

• Abstract：支持多模式规范化，富化身份、资产、漏洞与威胁情报，并通过 ASE 自动修正漂移

• Databahn：使用 AI 将数据转换为 CIM、OCSF、UDM、ASIM、LEEF 等模式，并富化 STIX/TAXII 威胁情报

• Axoflow：自动分类日志、应用模式映射并添加元数据

• Beacon：对齐 ECS、OCSF、CIM、UDM，并通过 Recipes 结合跨源上下文

• CeTu：提供 AI 辅助规范化、查找富化及威胁情报叠加

• Brava：为遥测数据添加攻击模拟上下文、相关性评分及 MITRE 映射

• Cribl：通过查找、Redis、GeoIP 和 DNS 富化数据，未来将支持模式漂移检测

智能路由与多目的地控制

路由决策越来越基于价值和策略意识。

• Abstract：根据检测价值和成本推荐路由

• Axoflow：使用分类标签驱动自动路由

• Beacon：AI 指导将日志按重要性路由至 SIEM、数据湖或冷存储

• CeTu：Zoe 助理根据分析相关性、成本和检测需求选择路径

• Databahn：Cruz AI 评估查询模式与检测影响，推荐分层和路由路径

• Brava：高效日志前置传输，同时汇总或过滤低价值数据

• Cribl Stream：支持从任意源到任意目的地的细粒度路由，并用 Copilot 生成逻辑

集成健康与覆盖洞察

厂商提供深度数据覆盖、稳定性与静默故障洞察。

• Abstract：检测静默丢失、模式漂移和量异常，并自动修正解析器

• Beacon：Logging Posture 利用 Collectopedia 知识库显示缺失遥测和覆盖空白

• Databahn：根据质量、完整性、漂移和目的地稳定性评估源健康

• Axoflow：告警缺失源、新增意外源及消息丢失

• Brava：通过攻击模拟映射覆盖空白，与 MITRE 技术对齐

• CeTu VISION：分析 SIEM 覆盖并突出环境盲点

• Cribl Insights：展示 Stream、Edge 和 Lake 部署的背压、丢失、延迟及健康问题

AI 辅助管道管理

• AI 正在几乎所有厂商中成为核心操作层。

• Databahn：AI 能力和成熟度领先

• Abstract ASE：生成解析器、管理漂移、构建管道、富化检测

• Axoflow：使用监督 AI 进行分类、模式映射和自然语言管道创建

• Databahn Cruz：自动生成解析器、修正、智能路由及生态特定模型转换

• Cribl Copilot：协助模式映射、路由逻辑和查询生成

• Beacon：应用智能推理到 Recipes、姿态、模式映射和规范化

• CeTu Zoe 与 DEPTH 引擎：支持路由决策、漂移检测和模式智能

• Brava：通过攻击模拟和相关性评分评估遥测效能

SDP PLUS 平台

除了核心管道功能，我们看到纯粹 SDP 平台正逐渐扩展至传统管道能力之外的功能，包括内部数据湖选项与分层存储、AI 辅助能力、管道层的威胁检测与分析、跨 SIEM 与数据湖的联合搜索和查询、可观测性融合以及 AI SOC 类能力。以下是我们分析厂商中观察到的一些特性——

数据湖与分层存储

厂商提供存储与回放层，将管道延伸至长期保留。

• Abstract：Lake Villa 提供热、温、冷分层及实时查询

• Cribl：Cribl Lake 和 Lakehouse 支持开放格式保留及近期数据快速访问

• Axoflow：AxoStore、AxoLocker、AxoLake 构成多层存储设计

• Databahn：可选分层湖存储，用于集中历史记录

• Brava：支持直接通过 SIEM 从低成本存储无缝检索

• CeTu：提供统一架构，可路由至对象存储或归档平台

• Beacon：不自有存储，但可路由至客户控制的冷存储桶

搜索、查询与联合可视性

搜索与查询能力直接从管道层扩展。

• Cribl Search：支持在 S3、Edge、Lake 和外部对象存储中原位搜索

• CeTu：跨系统查询，无需查询语言，可覆盖 SIEM 与数据湖

• Brava：在 SIEM 内嵌自然语言查询，可透明检索冷数据

• Databahn：支持微索引，实现快速原始管道搜索

• Abstract：可通过 Lake Villa 对规范化数据进行实时查询

• Axoflow：调试与检查工具支持原始与解析数据并排查看

• Beacon：提供转换预览和探索性数据分析，验证管道准确性

将检测移至数据流

流内威胁检测意味着在数据通过管道时识别恶意活动，而非等数据到达 SIEM 或数据湖后再处理。

理念是实时评估事件，应用轻量关联、IOC 检查和上下文信号，在日志索引前降低停留时间，并提供更早的可疑行为可见性。

这种方式还允许检测携带富化上下文下行，提高告警和调查质量。

团队认可其速度和接近源头的优势，但大多数认为流内检测不是替代 SIEM 分析，而是补充层，用于揭示高价值信号、减少噪声并提前启动调查。

• Abstract Security、VirtualMetric（收购管道平台）、Tenzir 已提供部分威胁检测能力

• Realm Security 是新入场者，计划近期将此功能加入路线图

评估框架

安全数据管道平台至少能降低 SIEM 和存储成本，同时还提供更高的检测质量、更好的数据治理、更快的调查响应、更安全的 AI 采用、更稳健的遥测能力，以及摆脱厂商锁定的自由。

最重要的是，它们将团队从被动处理数据摄取问题转向主动控制整个数据生命周期。它们不是附属工具，而正在成为现代 SecOps 架构的骨干。

为了对这些厂商进行深入评估，我们进行了多次深度平台演示，使用详细问卷并附带证据和截图验证回答，同时采访了其客户以确认我们的发现。以下是评估厂商的主要类别：

厂商

免责声明

上图并非严格排名，请参考下方排名。我们提供了包含技术和市场拓展（GTM）评估的电子表格。表格未包含详细信息以保持清晰格式，但每家厂商的章节中都有详细说明，证明排名依据。

通过深入分析，我们发现管道平台的排名如下：

整体市场与类别领导者：Cribl

管道领导者：Databahn、Datadog OP、Abstract Security、Observo AI、Onum

新兴领导者：Cetu、VirtualMetric、Tenzir、Axoflow、Datable

创新者：Realm Security、Brava、Beacon Security

以下顶级厂商均通过全面平台演示、深入问卷（答案通过演示和截图验证）以及直接客户/从业者反馈进行评估。

按字母顺序列出，非特定排名，厂商详细信息如下——（由于文章篇幅限制，下面部分省略，感兴趣的朋友可以参考原文）

分析师观点——安全数据管道平台行业的未来

安全数据管道平台市场正进入关键发展阶段。在过去一年里，这些平台已从被视为有用的路由工具，演变为现代 SOC 的核心数据控制层。下一阶段将取决于平台能力的增长、如何融入更大生态系统，以及 AI 如何改变安全团队的工作方式。根据我们的分析，有五大趋势值得关注。

持续的收购与整合

随着越来越多厂商收购 SDPP，行业将分化为两类：

• 独立的、保持厂商中立的 SDPP

• 作为大型 SIEM、XDR 和可观测性平台内部功能的集成 SDPP

第一类趋势类似于过去几十年日志管理的发展：最初作为独立产品的能力最终成为平台内置组件。

第二类趋势是持续整合。主要的 SIEM、可观测性和 XDR 厂商正在收购管道公司，以便在自家平台中控制数据层。随着核心管道能力被纳入生态系统，SDPP 将从中立的独立产品转变为大平台的内置功能。对于购买这些大平台的用户，这带来了简化和更紧密的集成，但也可能降低厂商灵活性，并随着时间推移限制多目的地路由。

智能管道与自主数据架构的崛起

AI 正开始改变管道的工作方式，这将成为该类别未来最大的变革之一。管道正从人工系统转向智能、具代理能力的层，能够理解数据流动方式，并在分析师介入前修复问题。早期迹象显示，管道已能够实时监控数据、检测健康问题、纠正模式漂移、优化路由、丰富上下文、发现覆盖盲点并推荐数据缩减。随着厂商在核心平台中构建更高级的 AI，这些能力将进一步增强。

下一步演进是半自主数据架构。在此模型中，管道足够智能，可以无需持续人工调优而自我维护。新格式的解析器自动生成，缺失目的地实时检测并重路由，破损映射被修正，字段自动补充正确上下文，事件异常模式自动标注并丰富。数据根据检测需求进行塑形，路由决策根据价值和成本调整。分析师无需再花时间处理数据问题，管道保持数据清洁和一致，使下游 SOC 工具可以依赖高质量信号。

这一智能化转变重要在于减轻了长期拖慢安全团队的运营负担，也为 AI 驱动的 SOC 打下基础。数据的清洁与健康是高级检测、调查、自动化和推理的燃料。随着 SDPP 发展，最具竞争力的平台将是将 AI 纳入整体架构以解决 SOC 痛点的平台，而不仅仅是面向用户的功能。

横向扩展 SOC 堆栈

安全数据管道平台正在成为控制平面。由于位于架构中心，它们将开始承接 SOC 架构中相邻层的更多功能——分析引擎、数据湖、查询层以及 AI SOC 平台。

部分平台已经开始吸收传统 SIEM、XDR 和 SOC 平台的任务，包括数据湖与存储分层、威胁检测、集中或联合查询以及 AI 驱动的 SOC 功能。随着管道承担更多关于数据重要性、形态和去向的决策，它们天然具备可扩展的基础。

安全与可观测性融合

安全与可观测性正在融合。未来，厂商将把日志、指标、追踪和身份数据整合到同一管道中。此类 SDPP 将统一 IT、云、身份和安全遥测，形成单一数据层，使组织能够用同一数据层进行性能监控、威胁检测、合规和 AI 操作。

这也意味着安全数据平台与可观测性平台的边界将模糊。能够支持多模态遥测的厂商将拥有明显优势。

数据健康与遥测质量成为核心期望

安全团队希望管道保证数据清洁且完整。这推动 SDPP 演变为持续测量遥测健康的平台，检测静默源、模式漂移、缺失字段、故障目的地及可能削弱检测的盲点。一些厂商已提供实时健康评分、漂移检测、安全重放传输和策略控制，确保端到端数据可靠。

这很重要，因为低质量数据会拖慢 SOC 各环节。团队更担心信号缺失，而非噪声过多。未来的 SDPP 将作为整个安全堆栈的数据质量层，让分析师相信工具接收到完整可信的遥测。随着更多 AI 进入 SOC，这一对数据健康的关注将愈加重要。

最终展望

安全数据管道平台市场的未来是扩展与融合。管道不再是后台工具，而是塑造数据流动、驱动 AI 学习和优化检测引擎的核心控制平面。厂商将继续在 SOC 中纵向和横向成长——纵向深入数据层，横向通过收购与整合扩展。

提前投资强大管道的安全团队，将获得更高可视性、更低成本、更健康数据，以及支撑未来十年 AI 驱动安全运营的基础。

原文链接：

https://softwareanalyst.substack.com/p/the-rise-of-security-data-pipeline

声明：本文来自安全喵喵站，版权归作者所有。文章内容仅代表作者独立观点，不代表安全内参立场，转载目的在于传递更多信息。如有侵权，请联系 anquanneican@163.com。