Scanner es una forma radicalmente diferente de detectar amenazas en los datos de seguridad.
La mayoría de los equipos de seguridad utilizan un SIEM en el centro de su pila. Pero los SIEMs fijan precios basados en el volumen de ingesta y limitan la retención a alrededor de 30 días, lo que obliga a un doloroso compromiso: los equipos terminan desviando el 95% de sus datos de registro a almacenamiento de objetos como S3 solo para mantener los costos manejables. El resultado es un SIEM que cubre una pequeña parte de su entorno y un lago de datos lleno de registros que nadie puede buscar o ejecutar detecciones de manera práctica.
Scanner funciona de manera diferente en cada capa.
Almacenamiento: Indexamos datos de registro semi-estructurados y no estructurados directamente en sus buckets de S3. Sin tuberías de ingesta, sin re-ingesta, sin trabajo de esquemas. Sus datos permanecen donde están.
Detección: Los registros fluyen hacia una caché numéricamente eficiente donde las detecciones se ejecutan continuamente. No hay trabajos por lotes, ni consultas programadas que escaneen todo su conjunto de datos. Las detecciones operan en el propio flujo.
Investigación: Cuando un analista o agente ejecuta una consulta, Scanner activa un cómputo de corta duración que existe solo durante la duración de esa consulta y luego desaparece. Los índices reducen el espacio de búsqueda en órdenes de magnitud antes de que se lea cualquier dato, por lo que incluso las consultas a escala de petabytes se resuelven en segundos. El cómputo de consultas está activo menos del 1% del día. El resto del tiempo, no existe.
El resultado es un sistema donde petabytes de datos de seguridad son buscables en segundos, las detecciones se ejecutan continuamente y los costos escalan con el uso real en lugar del volumen de datos.
Hoy en día, los agentes de IA son los usuarios más prolíficos de Scanner, investigando alertas y cazando amenazas las 24 horas del día. Equipos en Notion, Ramp y Benchling utilizan Scanner como su capa central de datos de seguridad.
