CrowdStrike斥资2.9亿美元收购Onum，强化SIEM数据摄取能力-安全KER

CrowdStrike 计划以 2.9 亿美元收购一家由 Devo 前首席技术官创立的遥测管道管理初创公司 Onum，以重塑第三方数据在其 SIEM 平台中的引入方式。

总部位于德州奥斯汀的安全巨头 CrowdStrike 表示，此次拟收购位于西班牙马德里的 Onum，将显著增强公司在第三方数据的引入、处理与响应效率方面的能力。据 CrowdStrike 首席商务官 Daniel Bernard 介绍，Onum 的技术支持“管道内检测”（in-pipeline detection），并能实现 五倍速的数据引入，从而带来更快的响应速度和更低的成本。

“最大的问题在于——你如何获取第三方数据？” Bernard 对 Information Security Media Group 表示。“市面上有很多技术方案，但我们在 Onum 身上看到的是一种能够更早、更接近数据源进行检测的方式，同时也足够易用，可以原生地帮助客户将数据引入平台。”

Onum 成立于 2022 年，目前拥有 94 名员工，累计融资近 4200 万美元。今年 4 月，Onum 完成由 Dawn Capital 领投的 2800 万美元 A 轮融资。Onum 自成立以来一直由 Pedro Castillo 领导，他是 Devo 的联合创始人，并担任其 CTO 达 11 年。CrowdStrike 将以 2.9 亿美元收购 Onum，预计交易将在 10 月底完成。

Onum 的数据引入方法有何不同？

在遥测管道与数据引入领域，已有 20 多家公司在运营，但 Bernard 表示，Onum 的突出之处在于 速度、成本效率以及早期检测能力。多数竞争对手专注于数据传输与转换，而 Onum 独特之处在于能在“数据进入管道前”就实现预检测，这意味着 CrowdStrike 能在攻击链更早的阶段阻止入侵。

“让我们真正感兴趣的是 Onum 的管道内检测能力，它可以让我们的检测更贴近数据源，从而更快阻止攻击。” Bernard 说。“甚至在数据进入管道前就能开展检测，这非常有价值。”

如今，将第三方数据引入现代安全平台一直是企业的“痛点”。庞大的数据量，以及不同厂商产品生成的遥测数据格式各异，导致数据规范化和关联分析变得困难。许多企业依赖过时的方法，例如自定义解析器或人工引入，既耗时又易出错。

“你当然可以写一个解析器，但每个产品都有自己独特的数据语言和格式。” Bernard 解释道。“最终你会面临数据量问题。如果这些数据的语言和 Falcon 使用的语言不同，你就必须重新映射，这本身又是一个挑战。”

在 Bernard 看来，Onum 恰好填补了 Falcon 平台在 第三方数据引入与编排方面的空白。CrowdStrike 一直高效处理自身的终端数据，但外部数据的接入却更复杂、成本更高。而 Onum 的管道内检测，让安全分析在数据抵达核心平台前就能启动。

Onum 如何助力多云与异构环境的数据流动？

尽管 SIEM 是 Onum 的直接应用场景，但 Bernard 表示，Onum 同样可以促进 跨超大规模云服务商（Hyperscalers）之间的数据流动，以及 云与本地、不同 SaaS 应用和数据库之间的数据迁移。未来，CrowdStrike 有望将 Onum 的作用扩展到安全领域之外，帮助企业在整个数字生态系统中进行数据管理与传输，并内置治理与合规能力。