Architektura systému SABU je postavená nad systémem Warden, kde systém Warden a jeho klientské konektory se stávají základními komponentami projektu SABU. Systém Warden se v kontextu SABU stává přenosovým infrastrukturním prvkem, který umožňuje sběr a sdílení informací sebraných z bezpečnostních nástrojů typu IDS, IPS, sondy, honeypoty.

V rámci projektu SABU dojde k návrhu a implementaci modulů pro obohacování informací, inteligentní analýzu a vstupně-výstupních konektorů a následně sestavení modulů do funkčního vzorku, který bude sbírat, obohacovat, analyzovat a distribuovat získaná data zpět do komunity zapojených organizací.

Logická architektura funkčního vzorku se sestává z konektorů, které napojují zdroje síťových bezpečnostních událostí, dále ze systému pro dohledání dalších kontextových informací k IP adresám a dalším identifikátorům, které jsou uloženy v bezpečnostních událostech, a ze software pro inteligentní analýzu událostí.

Ukázka množství bezpečnostních událostí proudících do systému SABU za jeden den, rozdělena podle země, do které náleží útočící IP adresa.