Databricks lanceert deze week Lakewatch, een AI-gedreven SIEM-oplossing in de cloud. Het systeem helpt beveiligingsteams om bedreigingen sneller te vinden en onderzoeken. De stap speelt in op strengere eisen uit de AVG, NIS2 en de Europese AI-verordening, met gevolgen voor overheid en bedrijven. Het doel is betere detectie tegen lagere kosten en langere bewaartermijnen voor logdata.
Databricks betreedt SIEM-markt
Met Lakewatch zet Databricks een duidelijke stap in cybersecurity. Een SIEM-systeem verzamelt en koppelt beveiligingslogboeken uit veel bronnen, zoals cloud, identiteiten en endpoints. Door kunstmatige intelligentie toe te passen, kunnen verdachte patronen sneller naar boven komen. Dat moet wachttijden in het Security Operations Center (SOC) verkorten.
Een SIEM verzamelt en analyseert beveiligingslogboeken om aanvallen sneller te zien en te onderzoeken.
De markt voor SIEM is volwassen en kent grote spelers als Splunk, Microsoft Sentinel en Elastic Security. Databricks positioneert zich als data-first alternatief: analyse op een lakehouse in plaats van een gesloten SIEM-datastore. Daarmee mikt het bedrijf op organisaties met veel data en strikte compliance-eisen.
Bestaande gebruikers van het Databricks-platform kunnen Lakewatch waarschijnlijk eenvoudig naast hun huidige datapijplijnen inzetten. Zij hebben vaak al datastromen uit IT- en bedrijfsapplicaties in het lakehouse. Voor hen is het aantrekkelijk om beveiligingslogs niet apart te kopiëren, maar in hetzelfde platform te verwerken.
AI bovenop het lakehouse
Lakewatch draait op de lakehouse-architectuur van Databricks, die data lake en datawarehouse combineert. Logdata komt binnen in open formaten en wordt opgeslagen in schaalbare objectopslag. Dat verlaagt de drempel om langere geschiedenis te bewaren. Voor beveiliging is dat belangrijk bij forensisch onderzoek.
De AI in Lakewatch kan patronen herkennen die met regels alleen moeilijk te vangen zijn. Denk aan anomaliedetectie, clustering en samenvattingen die analisten snel context geven. Een onderzoekshulp op basis van taalmodellen kan vragen in gewoon Nederlands of Engels beantwoorden. Zo wordt threat hunting toegankelijker voor bredere teams.
Omdat alles op hetzelfde dataplatfrom staat, hoeven minder kopieën van gevoelige data te circuleren. Dat verkleint het aanvalsoppervlak. Fijnmazig toegangsbeheer en datalabels helpen om alleen noodzakelijke gegevens te tonen, in lijn met dataminimalisatie. Voor SOC-teams is dit een manier om snelheid en governance te combineren.
Kosten en schaal centraal
Veel organisaties worstelen met de kosten van logopslag en -analyse. Hoge ingest-kosten dwingen vaak tot kortere bewaartermijnen of lagere logniveaus. Lakewatch belooft dit te verlichten door compute en opslag te scheiden en open opslag te gebruiken. Dat maakt opschalen voorspelbaarder.
Door streaming en batch te combineren kunnen incidenten in (bijna) real-time worden gedetecteerd en later diepgaand onderzocht. Lange bewaartermijnen worden haalbaarder door goedkopere opslag. Dat ondersteunt wettelijke eisen voor retentie en audit. Het vermindert ook het risico dat belangrijke signalen buiten beeld vallen.
Voor CISO’s telt naast prijs vooral transparantie over waar data staat en wie erbij kan. Een data-eerste SIEM past bij die behoefte, omdat governance centraal staat in het datapad. Organisaties kunnen hun bestaande dataplatform benutten in plaats van een extra, gesloten silo. Dat kan migraties en rapportages vereenvoudigen.
Privacy en EU-regels
Beveiligingslogs bevatten vaak persoonsgegevens, zoals IP-adressen en gebruikers-ID’s. De AVG vereist daarom dataminimalisatie, versleuteling en duidelijke bewaartermijnen. In een lakehouse-architectuur zijn versleuteling, toegangsbeheer en doelbinding cruciaal. Dat helpt om alleen noodzakelijke velden te bewaren en te delen.
De Europese AI-verordening (AI Act) vraagt, op het moment van schrijven, om transparantie en menselijk toezicht bij AI-toepassingen met risico’s. Een AI-gedreven SIEM valt niet vanzelf in de hoogrisicocategorie, maar moet wel uitlegbaar zijn. Organisaties doen er goed aan beslislogboeken en modeldocumentatie te bewaren. Dat ondersteunt audits en interne verantwoording.
Dataresidency is in Europa een praktisch aandachtspunt. Veel instellingen eisen dat beveiligingsdata in EU-regio’s van hun cloudleverancier blijft. Contracten, verwerkersovereenkomsten en DPIA’s moeten dat borgen. Lakewatch zal in dat kader moeten passen binnen bestaande compliance-kaders van de klant.
NIS2 en DORA verhogen de lat voor detectie, meldplicht en weerbaarheid. Langere retentie en snellere triage zijn daardoor geen luxe, maar noodzaak. Een schaalbaar SIEM met AI kan daarbij helpen, mits governance en audit op orde zijn. Anders raakt een organisatie alsnog in de knel bij toezicht of incidentonderzoek.
Gevolgen voor Nederland
Nederlandse overheden, zorginstellingen en vitale sectoren vallen onder NIS2. Zij moeten aantoonbaar sneller detecteren en rapporteren. Lakewatch kan relevant zijn waar logvolumes snel groeien en budget krap is. SOC’s kunnen zo meer signalen meenemen zonder meteen opslag te schrappen.
Voor financiële instellingen speelt DORA vanaf 2025 nadrukkelijk mee. Continue testen, rapporteren en herstelvermogen vragen om breed en diep loggen. Een lakehouse-benadering kan hierbij het verschil maken in kosten en hergebruik van data. Dat vereenvoudigt ook rapportages richting toezichthouders.
AI kan analisten ontlasten door ruis te verminderen en context te geven. Tegelijk ontstaan risico’s op valse positieven en blinde vlekken. Menselijk toezicht en duidelijke drempelwaarden blijven nodig. Organisaties moeten daarom procedures en training aanpassen, niet alleen de tooling.
Bij inkoop zijn open standaarden en uitwisselbaarheid belangrijk. Denk aan regelsets die in meerdere SIEM’s bruikbaar zijn, en brede API-koppelingen met ticketing en SOAR. Ook een migratiepad vanaf bestaande SIEM’s hoort op de checklist. Dat voorkomt nieuwe afhankelijkheden en verrassingen in kosten.
Nog veel vragen open
Belangrijke praktische details zijn, op het moment van schrijven, nog onduidelijk. Denk aan prijsmodellen, beschikbaarheid in specifieke EU-regio’s en certificeringen zoals ISO 27001 en SOC 2. Ook de mate van 24/7-ondersteuning in Europa is relevant voor SOC’s. Deze punten bepalen mede de totale eigendomskosten.
Daarnaast is de diepte van integraties cruciaal voor adoptie. Hoe snel sluit Lakewatch aan op bestaande EDR/XDR, identiteitsbronnen, ticketing en SOAR? En hoe eenvoudig is het om regels, dashboards en detecties uit een bestaand SIEM over te zetten? Antwoorden hierop bepalen de migratierisico’s.
Tot slot vraagt de AI Act om aantoonbare modelgovernance. Organisaties willen weten hoe modellen worden geüpdatet, beoordeeld en uitgelegd. Uitleg en audittrails per alert zijn essentieel voor vertrouwen en compliance. Databricks zal hier helderheid over moeten geven richting Europese klanten.
