ThreatCrowd — это онлайн-платформа и поисковая система для расследований в области киберугроз, предназначенная для агрегации и визуализации связей между индикаторами компрометации. Платформа собирает и индексирует данные об IP-адресах, доменах, адресах электронной почты, хешах файлов и других сущностях, связанных с вредоносной активностью, позволяя аналитикам и исследователям быстро получать сводную информацию и выявлять взаимосвязи между объектами угроз.
Изначально разрабатывавшаяся как инструмент коллективной разведки, ThreatCrowd комбинирует автоматически собранные источники данных и, в некоторых вариантах, информацию, поступающую от пользователей. Интерфейс ориентирован на быстрый поиск по индикаторам, отображение связанных сущностей и предоставление метаданных (включая временные метки и типы наблюдений). В случае ограниченности или отсутствия официальной документации платформа обычно позиционируется как один из вспомогательных инструментов в экосистеме открытой разведки по безопасности.
- Агрегация индикаторов: сбор и индексирование IP-адресов, доменов, адресов электронной почты, хешей файлов и прочих сигнатур, связанных с вредоносной активностью.
- Связи между сущностями: построение графов и списков связанных объектов для выявления цепочек компрометации и инфраструктуры угроз.
- Поисковые возможности: полнотекстовый и сигнатурный поиск по базе данных индикаторов для быстрого доступа к релевантным записям.
- Метаданные наблюдений: хранение дополнительных сведений о наблюдениях — временных отметок, типов событий, источников данных и заметок исследователей.
- Визуализация данных: представление связей в удобной форме, упрощающей анализ сетей, доменов и файлов, связанных с кампаниями угроз.
- Поддержка совместной работы: механизмы для обмена информацией между аналитиками и возможность дополнения записей контекстом расследований.
- Интеграция с внешними источниками: использование данных из общедоступных репозиториев, систем обнаружения и других инструментов разведки по безопасности для расширения охвата информации.
- Эксплуатационные сценарии: применение при инцидент-реагировании, разведывательных операциях, расследованиях фишинга и анализа инфраструктуры вредоносных кампаний.