Vad Cribl köpte, och för hur mycket
Affären flyttar Cribl från rördragning till detektion. Den 14 juli 2026 sade Cribl, vars plattform dirigerar och omformar säkerhets- och observerbarhetsdata, att det skulle förvärva CardinalOps, ett AI-bolag inom detektionsteknik. Cribl uppgav inte priset; rapporter satte det till omkring 100 miljoner dollar. CardinalOps grundades i början av 2020 av Michael Mumcuoglu och Yair Manor, veteraner från Israels Enhet 8200 vars tidigare bolag köptes av Palo Alto Networks och Microsoft, och Cribl öppnar ett kontor i Tel Aviv för att behålla teamet.
Clint Sharp, medgrundare och verkställande direktör på Cribl, sade att säkerhetsteam inte behöver fler frånkopplade verktyg, utan ett bättre sätt att förvandla telemetri till effektiva detektioner. Mumcuoglu sade att att ansluta sig till Cribl låter hans team föra detektion direkt in i telemetrilagret. Javier Garcia Quintela, global informationssäkerhetschef på den spanska energikoncernen Repsol, berömde kombinationen för att stärka detektionen och samtidigt styra kostnaden, vilket är hela argumentet i en mening.
SIEM-kostnadsmodellen är det verkliga målet
Det som angrips är inte en konkurrentprodukt, det är en prisvana. Ett klassiskt SIEM ber dig skicka varje logg till ett centralt lager, betala per gigabyte för att behålla den där och betala igen för att köra detektioner ovanpå. När datamängderna växte med moln- och AI-belastningar blev den räkningen en av de största och minst styrbara posterna i en säkerhetsbudget, och team började kasta data de borde behålla bara för att hålla kostnaden nere.
Cribl sitter redan uppströms om det lagret och avgör vilken telemetri som går vart. Genom att lägga till detektionsteknik kan det erbjuda att köra detektionerna på data på plats, på den pipeline kunden redan driver, i stället för att tvinga allt genom ett SIEM per gigabyte först. Därför ramar bolaget in resultatet som ett öppet alternativ till klassiska SIEM-arkitekturer och inte som ännu ett verktyg fastskruvat bredvid.
Vad agentbaserad detektionsteknik betyder för ditt SOC
Detektionsteknik är det oglamorösa arbete som avgör om ett larm någonsin utlöses. Någon måste skriva reglerna som fångar en angripare, hålla dem avstämda mot verkligt angriparbeteende, avveckla dem som översköljer analytiker med brus, och hitta luckorna där ingenting vakar. I de flesta säkerhetscentraler görs detta för hand, långsamt, och det ruttnar i tysthet medan angripare ändrar sig.
CardinalOps automatiserar den slingan med AI-agenter: den mäter din detektionstäckning mot kända angreppstekniker, markerar var du är blind, och föreslår eller lagar regler. För en ägare är det praktiska löftet färre missade angrepp och färre bortkastade analytikertimmar, utan att anställa en sällsynt detektionsspecialist. Den praktiska varningen är att en automatiserad regeluppsättning ändå behöver mänskligt ägarskap, för en detektion du inte förstår är en detektion du inte kan försvara.
Avvägningen: en mindre inläsningsräkning, en större ensam leverantör
Lägre kostnad och mer koncentration är här samma beslut. Att dirigera detektion genom pipelinen du redan driver kan verkligen krympa volymen du betalar ett klassiskt SIEM för att läsa in. Men det överlämnar också mer av din säkerhetsstack till en leverantör: samma leverantör formar nu din telemetri, avgör vad du behåller och äger allt mer det du detekterar på. Det är hävstång, och hävstång dyker förr eller senare upp i en förnyelseoffert.
Inget av detta gör affären dålig. Det gör den till ett val en ägare bör fatta medvetet i stället för att glida in i det. Den rätta frågan är inte om Cribls erbjudande är lockande, det är det tydligt, utan om du är bekväm med att samma bolag håller röret, lagringsbeslutet och detektionslogiken, och hur din utgång ser ut om det paketet slutar tjäna dig.
Vad ägare bör väga nu
Du behöver inte agera detta kvartal, du måste läsa innan du förnyar. Ta fram ditt nuvarande SIEM-avtal och skilj på två tal: vad du betalar för att centralisera och lagra data, och vad du betalar för de detektioner som verkligen skyddar dig. Cribl-CardinalOps-modellen är ett vad om att de två kan kopplas isär och att de flesta köpare betalar för mycket för det första för att få det andra.
Under NIS2 och DORA är svag detektion nu lika mycket en efterlevnadsexponering som en säkerhetsmässig, för du måste upptäcka och rapportera allvarliga incidenter mot en klocka. Det höjer värdet av bättre detektionsteknik och kostnaden för att tolerera blinda fläckar. Behandla detta förvärv som en signal att fråga om ditt SOC betalar för lagring eller för resultat, före ditt nästa leverantörssamtal, inte efter.
Läs vidare: NetApp köper en färdplan utan några löften | Berlin får en garanti, 14 marknader säljs två gånger



