Scanner é uma maneira radicalmente diferente de detectar ameaças em dados de segurança.
A maioria das equipes de segurança utiliza um SIEM no centro de sua pilha. Mas os SIEMs cobram com base no volume de ingestão e limitam a retenção a cerca de 30 dias, o que força um trade-off doloroso: as equipes acabam desviando 95% de seus dados de log para armazenamento de objetos como o S3 apenas para manter os custos gerenciáveis. O resultado é um SIEM que cobre uma fatia fina do seu ambiente e um data lake cheio de logs que ninguém pode pesquisar ou executar detecções de forma prática.
O Scanner funciona de maneira diferente em cada camada.
Armazenamento: Indexamos dados de log semi-estruturados e não estruturados diretamente em seus buckets S3. Sem pipelines de ingestão, sem re-ingestão, sem trabalho de esquema. Seus dados permanecem onde estão.
Detecção: Os logs são transmitidos para um cache numericamente eficiente onde as detecções são executadas continuamente. Não há trabalho em lote, nem consulta agendada escaneando todo o seu conjunto de dados. As detecções operam no próprio fluxo.
Investigação: Quando um analista ou agente executa uma consulta, o Scanner ativa uma computação de curta duração que existe apenas durante a execução dessa consulta e depois desaparece. Os índices reduzem o espaço de busca em ordens de magnitude antes que qualquer dado seja lido, de modo que até mesmo consultas em escala de petabytes são resolvidas em segundos. A computação de consulta está ativa menos de 1% do dia. No restante do tempo, ela não existe.
O resultado é um sistema onde petabytes de dados de segurança são pesquisáveis em segundos, as detecções são executadas continuamente e os custos escalam com o uso real em vez do volume de dados.
Hoje, agentes de IA são os usuários mais prolíficos do Scanner, investigando alertas e caçando ameaças 24 horas por dia. Equipes da Notion, Ramp e Benchling usam o Scanner como sua camada central de dados de segurança.
