Systém se skládá z hlavního Warden serveru, obstarávajícího veškerou zásadní činnosti, a dvou typů klientů. Prvním typem je Odesílající klient, který se stará o dodávání informací poskytovaných zapojenou organizací na Warden server. Druhý typ představuje Odebírající klient určený pro získávaní informací požadovaných zapojenou organizací. Klienta je možné nastavit pro příjem konkrétního typu události požadovaného organizací.

Serverová strana systému Warden (centrum) zajišťuje přijetí a ukládání informací zasílaných klienty. Poskytuje také rozhraní pro přístup ke všem platným uloženým událostem. Vlastní odesílání a přístup k událostem uloženým na serveru je chráněno autentizací pomocí X.509 certifikátu.

Odesílající klient poskytuje základní funkcionalitu potřebnou pro odeslání informací o hrozbě zachycené zapojenou organizací na hlavní server systému Warden. V balíčku je dostupný jednoduchý demonstrační klient společně s bohatou dokumentací. Organizace tak může jednoduše odesílat ze svých detekčních nástrojů informace do systému Warden.

Odebírající klient poskytuje organizaci jednoduchý nástroj umožňující stáhnout z Warden serveru požadované informace a zobrazit, případně je zapsat do souboru. V balíčku je společně s tímto klientem dostupná rozsáhlá dokumentace umožňující organizaci vytvořit si propojení systému Warden se svými vnitřními systémy.

Klientský software je volně dostupný na stránce Ke stažení.

Událost v systému Warden představuje informace o zdroji hrozby zaznamenaná některým ze zapojených členů. Informace jsou získávány z různých zdrojů. Mohou to být detekční systémy provozované v síti spolupracující organizace, jako jsou například IDS, síťové pasti (honeypoty) a monitoring útoků na autentizaci SSH, data třetích stran (jako například Shadowserver, Honeynet či další), či agregovaná/korelovaná data (zdroje dat lze jednoznačně odlišit). Reálný obsah jednotlivých událostí se liší dle typu, použit je strukturovaný formát IDEA.