Scanner è un modo radicalmente diverso di rilevare minacce nei dati di sicurezza.
La maggior parte dei team di sicurezza utilizza un SIEM al centro del loro stack. Ma i SIEM si basano sul volume di ingestione e limitano la conservazione a circa 30 giorni, il che impone un compromesso doloroso: i team finiscono per deviare il 95% dei loro dati di log verso uno storage oggetto come S3 solo per mantenere i costi gestibili. Il risultato è un SIEM che copre una sottile fetta del tuo ambiente e un data lake pieno di log che nessuno può praticamente cercare o utilizzare per rilevamenti.
Scanner funziona diversamente a ogni livello.
Storage: Indichiamo i dati di log semi-strutturati e non strutturati direttamente nei tuoi bucket S3. Nessun pipeline di ingestione, nessuna re-ingestione, nessun lavoro di schema. I tuoi dati rimangono dove sono.
Rilevamento: I log fluiscono in una cache numericamente efficiente dove i rilevamenti vengono eseguiti continuamente. Non c'è nessun lavoro batch, nessuna query programmata che scansiona l'intero dataset. I rilevamenti operano direttamente sul flusso.
Indagine: Quando un analista o un agente esegue una query, Scanner avvia un calcolo di breve durata che esiste solo per la durata di quella query e poi scompare. Gli indici restringono lo spazio di ricerca di ordini di grandezza prima che qualsiasi dato venga letto, quindi anche le query su scala petabyte si risolvono in pochi secondi. Il calcolo delle query è attivo meno dell'1% del giorno. Il resto del tempo, non esiste.
Il risultato è un sistema in cui petabyte di dati di sicurezza sono ricercabili in pochi secondi, i rilevamenti vengono eseguiti continuamente e i costi scalano con l'uso effettivo piuttosto che con il volume dei dati.
Oggi, gli agenti AI sono gli utenti più prolifici di Scanner, investigando sugli allarmi e cacciando minacce 24 ore su 24. I team di Notion, Ramp e Benchling utilizzano Scanner come loro livello principale di dati di sicurezza.
