Scanner ist eine radikal andere Methode, um Bedrohungen in Sicherheitsdaten zu erkennen. Die meisten Sicherheitsteams betreiben ein SIEM im Zentrum ihres Stacks. Aber SIEMs berechnen nach dem Volumen der Datenaufnahme und begrenzen die Aufbewahrung auf etwa 30 Tage, was zu einem schmerzhaften Kompromiss führt: Teams leiten 95% ihrer Protokolldaten in Objektspeicher wie S3 um, nur um die Kosten überschaubar zu halten. Das Ergebnis ist ein SIEM, das nur einen kleinen Teil Ihrer Umgebung abdeckt, und ein Data Lake voller Protokolle, die niemand praktisch durchsuchen oder für Erkennungen nutzen kann. Scanner funktioniert auf jeder Ebene anders. Speicherung: Wir indexieren semi-strukturierte und unstrukturierte Protokolldaten direkt in Ihren S3-Buckets. Keine Aufnahme-Pipelines, keine erneute Aufnahme, keine Schema-Arbeit. Ihre Daten bleiben dort, wo sie sind. Erkennung: Protokolle strömen in einen numerisch effizienten Cache, in dem Erkennungen kontinuierlich laufen. Es gibt keinen Batch-Job, keine geplante Abfrage, die Ihren gesamten Datensatz scannt. Erkennungen arbeiten direkt auf dem Stream. Untersuchung: Wenn ein Analyst oder Agent eine Abfrage ausführt, startet Scanner eine kurzlebige Berechnung, die nur für die Dauer dieser Abfrage existiert und dann verschwindet. Die Indizes verengen den Suchraum um Größenordnungen, bevor irgendwelche Daten gelesen werden, sodass selbst Abfragen im Petabyte-Bereich in Sekunden gelöst werden. Die Abfrageberechnung ist weniger als 1% des Tages aktiv. Die restliche Zeit existiert sie nicht. Das Ergebnis ist ein System, in dem Petabytes an Sicherheitsdaten in Sekunden durchsuchbar sind, Erkennungen kontinuierlich laufen und die Kosten sich nach der tatsächlichen Nutzung und nicht nach dem Datenvolumen richten. Heute sind KI-Agenten die produktivsten Nutzer von Scanner, die rund um die Uhr Alarme untersuchen und Bedrohungen aufspüren. Teams bei Notion, Ramp und Benchling nutzen Scanner als ihre zentrale Sicherheitsdatenebene.