PuppyGraph: Real-Time Graph Analytics

Graphbasierte Analysen

Die Graphanalyse konzentriert sich auf die Struktur der Beziehungen zwischen Entitäten – wie Benutzern, IP-Adressen, Prozessen, Dateien und Cloud-Ressourcen. Anstatt Ereignisse isoliert zu analysieren, modelliert sie, wie Entitäten im Laufe der Zeit interagieren.

Beispielsweise könnte ein Angreifer auf ein Konto mit geringen Berechtigungen zugreifen, dieses nutzen, um sich lateral auf einen anderen Rechner zu bewegen, seine Berechtigungen zu erweitern und dann auf eine sensible Datenbank zuzugreifen. Diese Schritte lösen einzeln betrachtet möglicherweise keine Warnmeldungen aus, aber wenn sie als zusammenhängende Sequenz in einem Graphen betrachtet werden, offenbaren sie einen klaren Angriffspfad.

Graphenbasierte Ansätze sind besonders leistungsstark bei der Erkennung von mehrstufigen Bedrohungen, Berechtigungserweiterungen, lateralen Bewegungen und Fehlkonfigurationen von Richtlinien. Sie bieten eine natürliche Möglichkeit, Sicherheitsumgebungen darzustellen, in denen Beziehungen genauso wichtig sind wie die Ereignisse selbst.

Effektive Sicherheitsanalyseplattformen verlassen sich nicht nur auf eine dieser Techniken. Stattdessen kombinieren sie sie, indem sie Regeln für Geschwindigkeit und Klarheit, Baselines für Verhaltensänderungen, maschinelles Lernen für die Mustererkennung und Graphanalysen für Kontext und Erreichbarkeit verwenden. Diese mehrschichtige Strategie unterstützt sowohl hochgradig zuverlässige Warnmeldungen als auch tiefgreifendere Untersuchungsworkflows.

Grafikgestützte Sicherheitsanalyse mit PuppyGraph

Bei der Erkennung von Bedrohungen geht es nicht nur darum, isolierte Anomalien zu entdecken. Es geht darum, zu verstehen, wie verschiedene Ereignisse miteinander in Beziehung stehen. Laterale Bewegungen, Privilegienerweiterungen und indirekter Zugriff erstrecken sich oft über mehrere Benutzer, Systeme und Zeiträume. Ohne Einblick in diese Beziehungen verpassen herkömmliche Tools den Überblick.

PuppyGraph hilft dabei, dieses Problem zu lösen, indem es die beziehungsbasierte Erkennung praktikabel macht. PuppyGraph ist eine Echtzeit-Graph-Abfrage-Engine ohne ETL, mit der Sie verbundene Daten direkt aus Ihren bestehenden SQL-basierten Systemen modellieren und analysieren können. Anstatt eine separate Pipeline in eine Graph-Datenbank aufzubauen, verbindet sich PuppyGraph direkt mit der relationalen Datenquelle und behandelt diese Daten als Graphen. Mit PuppyGraph definieren Sie ein Graph-Schema, das die Beziehungen zwischen Entitäten wie Benutzern, Sitzungen und Ressourcen abbildet. Anschließend können Sie diese Beziehungen mit bekannten Graphensprachen wie openCypher oder Gremlin abfragen.

Dieser Ansatz bietet mehrere Vorteile für die Sicherheitsanalyse:

• Echtzeit-Untersuchung mit mehreren Hops: PuppyGraph unterstützt schnelle, rekursive Abfragen – beispielsweise die Verfolgung von Aktivitäten von einem Benutzer über eine Sitzung bis hin zu einer Ressource –, wodurch versteckte laterale Bewegungen und verkettete Zugriffe leichter aufgedeckt werden können.

• Flexible Graphmodellierung: Sie können mehrere Graphansichten für dieselben Daten definieren, sodass sich verschiedene Teams auf das konzentrieren können, was für sie wichtig ist – seien es Identitätsbeziehungen, API-Zugriffspfade oder Infrastrukturabhängigkeiten.

• Keine Datenduplizierung: Da die Abfragen direkt auf vorhandene Daten erfolgen, sind keine separaten Speichersysteme oder Synchronisationspipelines erforderlich, was sowohl die Komplexität als auch den Aufwand reduziert.

• Integrierte Visualisierung: PuppyGraph verfügt über eine native Schnittstelle zur visuellen Abfrage und Untersuchung von Graphen, sodass Analysten Bedrohungen und Beziehungen untersuchen können, ohne benutzerdefinierte Dashboards erstellen oder Daten exportieren zu müssen.

PuppyGraph modelliert Beziehungen direkt auf der Grundlage vorhandener Daten, wodurch ETL, Duplikate oder neue Infrastrukturen überflüssig werden. Dies ermöglicht eine Echtzeit-Untersuchung von Multi-Hop-Bedrohungen in großem Maßstab und hilft Analysten, Signale aufzudecken, die von herkömmlichen Tools übersehen werden.

Antivirus-Graphen

Die Integration von Graphenanalysen in Antiviren-Systeme eröffnet eine Vielzahl von Möglichkeiten, die über das einfache Scannen von Dateien hinausgehen. Durch die Analyse von Beziehungen und Verhaltensweisen können Sicherheitsteams versteckte Bedrohungen erkennen, Vorfälle gründlicher untersuchen und präziser reagieren. Hier sind einige Anwendungsfälle, in denen Antivirus-Graphen einen erheblichen Mehrwert bieten.

Verhaltensbasierte Erkennung von Bedrohungen

Antiviren-Engines erkennen Bedrohungen in der Regel zum Zeitpunkt der Ausführung oder des Zugriffs. Viele Bedrohungen offenbaren ihre bösartige Natur jedoch erst durch eine Abfolge von Aktionen. Mit einem Antivirus-Graph können Analysten diese Verhaltensweisen als Kette verfolgen, z. B. ein makrofähiges Dokument, das PowerShell startet, das wiederum eine unbekannte Binärdatei herunterlädt und ausführt. Selbst wenn kein einzelner Schritt mit einer bekannten Signatur übereinstimmt, offenbart der gesamte Pfad die Bedrohung. Graphen decken seltene oder riskante Muster auf, die sonst möglicherweise unbemerkt bleiben würden.

Verbindung zwischen Malware-Kampagnen

Wenn sich Malware weiterentwickelt, ändern sich ihre Artefakte (wie Datei-Hashes oder Domänen) – aber die Infrastruktur und das Verhalten bleiben oft unverändert. Antivirus-Diagramme können verwandte Infektionen anhand gemeinsamer Indikatoren wie wiederverwendeter Command-and-Control-Server, ähnlicher Prozessbäume oder gemeinsamer Datei-Drop-Pfade miteinander verknüpfen. Dies hilft Teams, koordinierte Kampagnen zu erkennen, anstatt Vorfälle als isolierte Ereignisse zu behandeln.

Seitliche Bewegung und Kartierung der Eindämmung

Nach der ersten Infektion bewegen sich Angreifer häufig seitlich durch die Umgebung. Antivirus-Graphen modellieren, wie Anmeldedaten, Sitzungen und Vertrauensbeziehungen den Zugriff auf verschiedene Systeme ermöglichen. So können Verteidiger den gesamten Bewegungsweg nachverfolgen und erkennen, ob die Bedrohung eingedämmt ist oder sich noch weiter ausbreitet.

Bedrohungssuche und Mustererkennung

Mit Diagrammabfragen können Analysten nach Aktivitäten suchen, die vom normalen Verhalten abweichen. Sie können beispielsweise nach allen Instanzen von Office-Anwendungen suchen, die Skript-Engines starten, oder nach Prozessen, die kurz vor einer ausgehenden Verbindung zu einer seltenen IP ausgeführt wurden. Antivirus-Diagramme erleichtern die Formulierung und Ausführung solcher explorativen Abfragen in großem Maßstab.

Integration von Bedrohungsinformationen

Antivirus-Graphen können externe Bedrohungsinformationen einbeziehen, um lokale Daten anzureichern. Eine bekannte bösartige IP-Adresse aus einem Bedrohungsfeed wird zu einem Knoten im Graphen, der mit Prozessen oder Systemen verbunden ist, die mit ihr kommuniziert haben. Diese Korrelation stärkt die Erkennung und erleichtert die Priorisierung von Warnmeldungen auf der Grundlage externer Kontexte.

Zusammen zeigen diese Anwendungsfälle, wie Antivirus-Graphen und Graphenanalysen Antivirus von einem reaktiven Tool in eine umfassendere Untersuchungs- und Erkennungsplattform verwandeln können, die sowohl bekannte als auch unbekannte Bedrohungen mit größerer Klarheit bewältigen kann.

Wie Antivirus-Graphen aufgebaut sind

Um über isolierte Warnmeldungen hinauszugehen und komplexe Angriffsverhalten zu erkennen, können Sicherheitsteams ihre Telemetrie als Antivirus-Graph strukturieren. Dazu werden Dateien, Prozesse, Benutzer und Netzwerkaktivitäten als verbundene Einheiten modelliert, wodurch es einfacher wird, Ausführungsabläufe, Zugriffsmuster und mehrstufige Bedrohungen, die sich im Laufe der Zeit entwickeln, nachzuverfolgen.

Wie PuppyGraph graphgestützte Antivirenprogramme praktisch einsetzbar macht

Das Potenzial von Graphanalysen in Antivirenprogrammen ist offensichtlich, aber Hindernisse wie Datensilos, komplexe Modellierung und Leistungsgrenzen haben viele Unternehmen davon abgehalten, es zu nutzen. PuppyGraph wurde entwickelt, um diese Hindernisse zu beseitigen und graphgestützte Analysen zugänglich, schnell und produktionsreif zu machen.

Kein ETL, keine Duplizierung

Herkömmliche Graph-Lösungen erfordern den Export von Sicherheitsprotokollen aus Antiviren-Tools und deren Übertragung in eine separate Graph-Datenbank. Dies führt nicht nur zu Verzögerungen, sondern auch zur Erstellung mehrerer Kopien sensibler Daten. PuppyGraph vermeidet dies vollständig. Es verbindet sich direkt mit bestehenden relationalen Datenbanken und Sicherheits-Data-Lakes und ermöglicht es Teams, Graph-Modelle auf der Grundlage bestehender Tabellen zu definieren. Es ist nicht erforderlich, Daten zu erfassen, zu synchronisieren oder zu duplizieren – Abfragen werden direkt an der Quelle ausgeführt.

Mehrere Graph-Ansichten aus denselben Daten

Antivirenprotokolle können in verschiedenen Kontexten verwendet werden: Bedrohungserkennung, Incident Response, Compliance-Audits. Mit PuppyGraph können verschiedene Teams unterschiedliche Graphschemata für dieselben zugrunde liegenden Daten definieren. Ein Graphmodell kann sich beispielsweise auf Prozessbäume zur Erkennung von Malware-Verhalten konzentrieren, während ein anderes Benutzer mit den aufgerufenen Ressourcen für die Analyse lateraler Bewegungen verknüpft. Diese Ansichten werden durch Metadaten definiert, nicht durch fest codierte Pipelines, und können bei Bedarf schnell aktualisiert werden.

Effiziente Ausführung komplexer Diagrammabfragen

PuppyGraph wurde entwickelt, um Multi-Hop-Abfragen ohne die bei herkömmlichen Diagrammsystemen übliche Leistungseinbuße zu unterstützen. Durch die Trennung von Rechenleistung und Speicher wird sichergestellt, dass intensive Abfragen – wie das Verfolgen von Prozessketten oder systemübergreifenden Zugriffspfaden – keine Engpässe verursachen. Diese Architektur ermöglicht es der Abfrage-Engine, nur die erforderlichen Daten abzurufen, wodurch der Overhead von Anfang an reduziert wird.

Nahtlose Visualisierung und Erkundung

PuppyGraph enthält native Visualisierungstools und unterstützt die Integration mit externen Graph-Bibliotheken. Das bedeutet, dass Analysten einen einmal erkannten Bedrohungspfad visuell erkunden können – sie sehen, wie ein Prozess mit einer Datei verbunden ist, wie diese Datei von einer URL stammt und welche anderen Endpunkte sie berührt hat. Dies verkürzt die Untersuchungszeit drastisch und verringert das Risiko, wichtige Verbindungen zu übersehen.

Passt in die bestehende Sicherheitsarchitektur

PuppyGraph erfordert nicht, dass Teams ihre Antiviren-Tools aufgeben oder eine benutzerdefinierte Infrastruktur aufbauen. Es passt zu bestehenden Erkennungssystemen und erweitert diese um einen beziehungsorientierten Kontext. Unabhängig davon, ob sich die Protokolle in PostgreSQL-, MySQL-, Snowflake- oder S3-gestützten Tabellen befinden, kann PuppyGraph innerhalb von Minuten eine Verbindung herstellen und mit der Abfrage beginnen.

Technische Vorteile von PuppyGraph

• Zero ETL: Mit PuppyGraph können Sie Ihre Daten als Graph abfragen, indem Sie eine direkte Verbindung zu Ihren Data Warehouses und Data Lakes herstellen. Dadurch entfällt die Notwendigkeit, zeitaufwändige ETL-Pipelines zu erstellen und zu warten, die bei einer herkömmlichen Graphdatenbank-Konfiguration erforderlich sind. Bereitstellung für Abfragen in 10 Minuten.

• Spaltenbasiertes Datenformat: Während Graphdatenbanken in der Regel über zeilenbasierten Speicher oder Schlüsselwertspeicher verfügen, eignen sie sich eher zum Hinzufügen/Aktualisieren/Entfernen von Knoten/Kanten als zum Ausführen komplexer Abfragen zur Datenanalyse. PuppyGraph verfügt über keinen eigenen Speicher. Stattdessen ist es die einzige Graphlösung, die spaltenbasierten Speicher nutzt, um komplexe Abfragen in großem Maßstab zu beschleunigen.

• Optimierte Abfrageausführung: Zusätzlich zum spaltenbasierten Speicher bietet PuppyGraph massiv parallele Verarbeitung und vektorisierte Auswertungstechnologie, die die Berechnung auch ohne effiziente Indizierung und Zwischenspeicherung beschleunigt. Die Leistung kann durch die Nutzung interner (im Speicher des PuppyGraph-Rechenknotens) und externer (vorhandener Speicher des Benutzers) Indizierungs- und Zwischenspeichertechnologien noch weiter gesteigert werden. Während die Abfrage-Engine des Relational Data Warehouse für SQL-Abfragen optimiert ist, ist PuppyGraph für Graph-Abfragen optimiert.

• Verteiltes Design: Die Rechen-Engine von PuppyGraph ist verteilt – das bedeutet: mehr Maschinen = bessere Leistung. Durch das verteilte Design kann PuppyGraph problemlos große Datenmengen und komplexe Abfragen wie 10-Hop-Nachbarn verarbeiten.

Was ist Graph RAG?

Graph RAG = RAG x Knowledge Graph

• Graph RAG baut auf dem Konzept von RAG auf und nutzt dabei Knowledge Graphs (KGs).
• Graph RAG ermöglicht die Integration der strukturierten Daten aus KGs in die Verarbeitung des LLM und bietet so eine differenziertere und fundiertere Grundlage für die Antworten des Modells.

Graph-Based Analytics

Graph analytics focuses on the structure of relationships between entities—such as users, IP addresses, processes, files, and cloud resources. Rather than analyzing events in isolation, it models how entities interact over time.

For instance, an attacker might access a low-privilege account, use it to move laterally to another machine, escalate privileges, and then access a sensitive database. These steps may not trigger alerts individually, but when viewed as a connected sequence in a graph, they reveal a clear attack path.

Graph-based approaches are particularly powerful for detecting multi-stage threats, privilege escalation, lateral movement, and policy misconfigurations. They provide a natural way to represent security environments where relationships matter as much as the events themselves.

Effective security analytics platforms don’t rely on just one of these techniques. Instead, they layer them by using rules for speed and clarity, baselines for behavioral shifts, machine learning for pattern recognition, and graph analytics for context and reachability. This layered strategy supports both high-confidence alerts and deeper investigation workflows.

Graph-Powered Security Analytics with PuppyGraph

Detecting threats isn’t just about spotting isolated anomalies. It’s about understanding how different events relate to one another. Lateral movement, privilege escalation, and indirect access often span multiple users, systems, and timeframes. Without visibility into these relationships, traditional tools miss the larger picture.

PuppyGraph helps solve this by making relationship-based detection practical. PuppyGraph is a real-time, zero-ETL graph query engine that lets you model and analyze connected data directly from your existing SQL-based systems. Instead of building a separate pipeline into a graph database, PuppyGraph connects to the relational data source directly and treats that data as graphs. With PuppyGraph, you define a graph schema that maps how entities like users, sessions, and resources relate to each other. You can then query those relationships using familiar graph languages like openCypher or Gremlin.

This approach offers several advantages for security analytics:

• Real-time, multi-hop investigation: PuppyGraph supports fast, recursive queries—such as tracing activity from a user to a session to a resource—making it easier to uncover hidden lateral movement and chained access.
• Flexible graph modeling: You can define multiple graph views over the same data, allowing different teams to focus on what matters to them—whether it’s identity relationships, API access paths, or infrastructure dependencies.
• No data duplication: Because it queries directly against existing data, there’s no need for separate storage systems or synchronization pipelines—reducing both complexity and overhead.
• Built-in visualization: PuppyGraph includes a native interface for querying and exploring graphs visually, so analysts can investigate threats and relationships without building custom dashboards or exporting data.

PuppyGraph models relationships directly on top of existing data, which avoids the need for ETL, duplication, or new infrastructure. This enables real-time, multi-hop threat investigation at scale and helps analysts uncover the signals that traditional tools overlook.

Antivirus Graphs

Integrating graph analytics with antivirus systems opens up a wide range of capabilities that go beyond simple file scanning. By analyzing relationships and behaviors, security teams can detect hidden threats, investigate incidents more thoroughly, and respond with greater precision. Here are several use cases where antivirus graphs add significant value.

Behavior-Based Threat Detection

Antivirus engines typically detect threats at the moment of execution or access. But many threats only reveal their malicious nature through a sequence of actions. An antivirus  graph allows analysts to trace these behaviors as a chain, such as a macro-enabled document spawning PowerShell, which downloads and executes an unknown binary. Even if no individual step matches a known signature, the full path reveals the threat. Graphs expose rare or risky patterns that might otherwise go unnoticed.

Malware Campaign Linkage

When malware evolves, its artifacts (like file hashes or domains) change—but infrastructure and behavior often remain consistent. Antivirus graphs can link related infections through shared indicators such as reused command-and-control servers, similar process trees, or common file drop paths. This helps teams recognize coordinated campaigns rather than treating incidents as isolated.

Lateral Movement and Containment Mapping

After initial infection, attackers often move laterally through the environment. Antivirus graphs model how credentials, sessions, and trust relationships enable access across systems. This allows defenders to trace the full path of movement and understand whether the threat is contained—or still spreading.

Threat Hunting and Pattern Discovery

With graph queries, analysts can search for activity that deviates from normal behavior. For example, they might query for all instances of office applications spawning scripting engines, or processes that executed shortly before an outbound connection to a rare IP. Antivirus graphs make it easier to express and execute these kinds of exploratory queries at scale.

Threat Intelligence Integration

Antivirus graphs can incorporate external threat intelligence to enrich local data. A known malicious IP from a threat feed becomes a node in the graph, connected to processes or systems that communicated with it. This correlation strengthens detection and makes it easier to prioritize alerts based on external context.

Together, these use cases show how antivirus graphs and graph analytics can transform antivirus from a reactive tool into a broader investigative and detection platform, capable of handling both known and unknown threats with greater clarity.

How Antivirus Graphs Are Built

To move beyond isolated alerts and detect complex attack behaviors, security teams can structure their telemetry as an antivirus graph. This involves modeling files, processes, users, and network activity as connected entities—making it easier to trace execution flows, access patterns, and multi-stage threats that unfold over time.

How PuppyGraph Makes Graph-Enhanced Antivirus Practical

The promise of graph analytics in antivirus is clear, but the barriers—data silos, modeling complexity, and performance limits—have kept many organizations from realizing it. PuppyGraph is designed to eliminate these barriers and make graph-powered analysis accessible, fast, and production-ready.

No ETL, No Duplication

Traditional graph solutions require exporting security logs from antivirus tools and moving them into a separate graph database. This not only adds delay, but also creates multiple copies of sensitive data. PuppyGraph avoids this entirely. It connects directly to existing relational databases and security data lakes, letting teams define graph models on top of existing tables. There’s no need to ingest, sync, or duplicate data—queries run directly on the source.

Multiple Graph Views from the Same Data

Antivirus logs might be used in multiple contexts: threat detection, incident response, compliance audits. PuppyGraph allows different teams to define different graph schemas on the same underlying data. For example, one graph model might focus on process trees for detecting malware behavior, while another links users to accessed resources for lateral movement analysis. These views are defined by metadata, not hardcoded pipelines, and can be updated quickly as needs evolve.

Efficient Execution for Complex Graph Queries

PuppyGraph is designed to support multi-hop queries without the performance degradation common in traditional graph systems. By separating compute from storage, it ensures that intensive queries—like tracing process chains or cross-system access paths—don’t bottleneck. This architecture allows the query engine to fetch only the necessary data, reducing overhead from the start.

Seamless Visualization and Exploration

PuppyGraph includes native visualization tools and supports integration with external graph libraries. This means that once a threat path is detected, analysts can explore it visually—seeing how a process connects to a file, how that file came from a URL, and which other endpoints it touched. This drastically shortens investigation time and reduces the risk of missing key connections.

Fits into Existing Security Architecture

PuppyGraph doesn’t require teams to abandon their antivirus tools or build custom infrastructure. It fits alongside existing detection systems, enhancing them with relationship-aware context. Whether logs live in PostgreSQL, MySQL, Snowflake, or S3-backed tables, PuppyGraph can connect and start querying in minutes.

PuppyGraph’s Technical Advantages

• Zero ETL: PuppyGraph enables you to query your data as a graph by directly connecting to your data warehouses and lakes. This eliminates the need to build and maintain time-consuming ETL pipelines needed with a traditional graph database setup. Deploy to query in 10 minutes.
• Column-based data file format: While a graph database usually have row-based storage or key-value storage, it is good at adding/updating/removing a vertex/edge rather than running a complex query to do data analysis. PuppyGraph doesn’t have its own storage. Instead, it’s the only graph solution that leverages the column-based storage to speed up complex queries at scale.
• Optimized query execution: On top of column-based storage, PuppyGraph offers massively parallel processing and vectorized evaluation technology that makes the computation fast even when lacking efficient indexing and caching. The performance can be even faster by leveraging internal (in-memory of PuppyGraph compute node) and external (user’s existing storage) indexing and caching technologies. While the relation data warehouse’s query engine is optimized for SQL queries, PuppyGraph is optimized for graph queries.

• Distributed design: PuppyGraph’s compute engine is distributed – it means more machines = better performance. The distributed design allows PuppyGraph to handle huge size of data and complex queries like 10-hop neighbor with ease. 

What is Graph RAG?

Graph RAG = RAG x Knowledge Graph

• Graph RAG builds on the concept of RAG by leveraging on knowledge graphs (KGs).
• Graph RAG allows integration of the structured data from KGs into the LLM’s processing, providing a more nuanced and informed basis for the model’s responses.