Scanner est une manière radicalement différente de détecter les menaces dans les données de sécurité.
La plupart des équipes de sécurité utilisent un SIEM au centre de leur pile. Mais les SIEM facturent en fonction du volume d'ingestion et limitent la rétention à environ 30 jours, ce qui impose un compromis douloureux : les équipes finissent par détourner 95 % de leurs données de journal vers un stockage d'objets comme S3 juste pour garder les coûts gérables. Le résultat est un SIEM qui couvre une fine tranche de votre environnement et un lac de données plein de journaux que personne ne peut pratiquement rechercher ou utiliser pour des détections.
Scanner fonctionne différemment à chaque niveau.
Stockage : Nous indexons les données de journal semi-structurées et non structurées directement dans vos buckets S3. Pas de pipelines d'ingestion, pas de ré-ingestion, pas de travail de schéma. Vos données restent là où elles sont.
Détection : Les journaux sont diffusés dans un cache numériquement efficace où les détections fonctionnent en continu. Il n'y a pas de tâche par lots, pas de requête programmée scannant l'ensemble de votre ensemble de données. Les détections opèrent sur le flux lui-même.
Investigation : Lorsqu'un analyste ou un agent exécute une requête, Scanner lance un calcul de courte durée qui n'existe que pour la durée de cette requête puis disparaît. Les index réduisent l'espace de recherche de plusieurs ordres de grandeur avant que toute donnée ne soit lue, de sorte que même les requêtes à l'échelle du pétaoctet se résolvent en quelques secondes. Le calcul de requête est actif moins de 1 % de la journée. Le reste du temps, il n'existe pas.
Le résultat est un système où des pétaoctets de données de sécurité sont consultables en quelques secondes, les détections fonctionnent en continu, et les coûts évoluent en fonction de l'utilisation réelle plutôt que du volume de données.
Aujourd'hui, les agents d'IA sont les utilisateurs les plus prolifiques de Scanner, enquêtant sur les alertes et chassant les menaces 24 heures sur 24. Les équipes de Notion, Ramp et Benchling utilisent Scanner comme leur couche de données de sécurité principale.
