Community threat intelligence platform built for analysts, researchers and developers.
1. What is CRAABS?
CRAABS (Cyber Risk Analysis and Adversary Behavior Surveillance) is an open community platform for threat intelligence. It lets analysts collect, enrich, correlate and share indicators of compromise (IOCs) in a centralized workspace.
The platform is designed around three core principles:
- Openness - community members contribute to a shared knowledge base
- Automation - feeds, enrichment and MITRE mapping run without manual intervention
- Interoperability - native STIX 2.1, CEF, Syslog export and a honeypot protocol (CHP) open to any sensor
2. Membership plans
| Feature | Community | Developer | Pro |
|---|---|---|---|
| Quick Check | Free | Dev | Pro |
| Threat feed access | Free | Dev | Pro |
| IOC browsing | Free | Dev | Pro |
| MITRE ATT&CK overview | Free | Dev | Pro |
| REST API access | No | Dev | Pro |
| Honeypot network (CHP) | No | Dev | Pro |
| STIX 2.1 export | No | No | Pro |
| SIEM export (CEF/Syslog) | No | No | Pro |
| Threat hunting queries | No | No | Pro |
| Playbooks and webhooks | No | No | Pro |
3. Platform features
3.1 IOC management
IOCs are the core unit of the platform. Supported types include: IP address, domain, URL, MD5, SHA1, SHA256. Each IOC carries a malicious score (0-100), geolocation data, MITRE ATT&CK mapping, TLP classification, tags and enrichment records.
The auto-feeder runs every 6 hours and pulls from Feodo Tracker, URLhaus and ThreatFox. Each ingested IOC is automatically scored using the ML engine and mapped to MITRE techniques.
3.2 Threat hunting
The hunting query language supports the following operators:
TYPE:ip Filter by IOC type (ip, domain, url, md5, sha256) SCORE>70 Score above a threshold COUNTRY:RU Filter by country code MITRE:T1071 Filter by MITRE technique ASN:amazon Filter by AS name BEFORE:2026-01-01 Created before a date AFTER:2026-01-01 Created after a date NOT term Exclude a term
3.3 Honeypot network
The CHP protocol (CRAABS Honeypot Protocol) allows any honeypot to send events to CRAABS via a simple REST API. Each event is automatically converted to an IOC with geolocation, MITRE mapping and a severity score. See section 5 for the full protocol documentation.
3.4 Export and integrations
- STIX 2.1 - generates a bundle with Indicators, Observables and Relationships. Compatible with OpenCTI, MISP, Cortex XSOAR and TheHive.
- CEF - ArcSight and QRadar compatible format
- Syslog - direct forwarding to Wazuh, ELK or any syslog receiver
- Splunk CSV - ready for Splunk lookup tables and dashboards
4. API reference
The REST API is available at /api/v1/. Authentication uses a personal API key passed in the header:
X-API-Key: your_api_key_here
GET /api/v1/iocs
Returns a paginated list of IOCs. Optional filters: type, score_min, country.
curl -H "X-API-Key: your_key" https://cti.craabs.com/api/v1/iocs?type=ip&score_min=70
GET /api/v1/iocs/:id
Returns full details for a single IOC including enrichments.
POST /api/v1/iocs
Add a new IOC. Body: {"value": "1.2.3.4", "ioc_type": "ip", "tags": "scanner", "tlp": "AMBER"}
5. Honeypot protocol (CHP)
See the dedicated page: CHP Protocol Documentation
6. Getting started
- Create your account at cti.craabs.com/join
- Wait for administrator approval (usually within 24 hours)
- Log in and run a Quick Check on any suspicious IP or domain
- If you are a Developer member, retrieve your API key from your profile page
- Connect your honeypot using the CHP protocol documentation
Plateforme communautaire de renseignement sur les menaces, conçue pour les analystes, chercheurs et développeurs.
1. Qu'est-ce que CRAABS ?
CRAABS (Cyber Risk Analysis and Adversary Behavior Surveillance) est une plateforme communautaire ouverte de renseignement sur les menaces. Elle permet aux analystes de collecter, enrichir, corréler et partager des indicateurs de compromission (IOCs) dans un espace de travail centralisé.
La plateforme est construite autour de trois principes fondamentaux :
- Ouverture - les membres de la communauté contribuent a une base de connaissance partagee
- Automatisation - les feeds, l'enrichissement et le mapping MITRE fonctionnent sans intervention manuelle
- Interoperabilite - export natif STIX 2.1, CEF, Syslog et un protocole honeypot (CHP) ouvert a tout type de capteur
2. Plans d'abonnement
| Fonctionnalite | Communaute | Developpeur | Pro |
|---|---|---|---|
| Quick Check | Gratuit | Dev | Pro |
| Acces aux feeds de menaces | Gratuit | Dev | Pro |
| Navigation dans les IOCs | Gratuit | Dev | Pro |
| Vue d'ensemble MITRE ATT&CK | Gratuit | Dev | Pro |
| Acces API REST | Non | Dev | Pro |
| Reseau de honeypots (CHP) | Non | Dev | Pro |
| Export STIX 2.1 | Non | Non | Pro |
| Export SIEM (CEF/Syslog) | Non | Non | Pro |
| Requetes de threat hunting | Non | Non | Pro |
| Playbooks et webhooks | Non | Non | Pro |
3. Fonctionnalites
3.1 Gestion des IOCs
Les IOCs sont l'unite centrale de la plateforme. Les types supportes sont : adresse IP, domaine, URL, MD5, SHA1, SHA256. Chaque IOC dispose d'un score de malveillance (0-100), d'une geolocalisation, d'un mapping MITRE ATT&CK, d'une classification TLP, de tags et d'enregistrements d'enrichissement.
L'auto-feeder s'execute toutes les 6 heures et collecte les donnees depuis Feodo Tracker, URLhaus et ThreatFox. Chaque IOC ingere est automatiquement score par le moteur ML et mappe aux techniques MITRE.
3.2 Threat hunting
Le langage de requete de chasse aux menaces supporte les operateurs suivants :
TYPE:ip Filtrer par type d'IOC (ip, domain, url, md5, sha256) SCORE>70 Score au-dessus d'un seuil COUNTRY:RU Filtrer par code pays MITRE:T1071 Filtrer par technique MITRE ASN:amazon Filtrer par nom d'AS BEFORE:2026-01-01 Cree avant une date AFTER:2026-01-01 Cree apres une date NOT terme Exclure un terme
3.3 Reseau de honeypots
Le protocole CHP (CRAABS Honeypot Protocol) permet a n'importe quel honeypot d'envoyer des evenements a CRAABS via une API REST simple. Chaque evenement est automatiquement converti en IOC avec geolocalisation, mapping MITRE et score de severite. Voir la section 5 pour la documentation complete du protocole.
3.4 Export et integrations
- STIX 2.1 - genere un bundle avec Indicators, Observables et Relations. Compatible avec OpenCTI, MISP, Cortex XSOAR et TheHive.
- CEF - format compatible ArcSight et QRadar
- Syslog - transfert direct vers Wazuh, ELK ou tout recepteur syslog
- Splunk CSV - pret pour les lookup tables et dashboards Splunk
4. Reference API
L'API REST est disponible sur /api/v1/. L'authentification utilise une cle API personnelle passee dans le header :
X-API-Key: votre_cle_api_ici
GET /api/v1/iocs
Retourne une liste paginee d'IOCs. Filtres optionnels : type, score_min, country.
curl -H "X-API-Key: votre_cle" https://cti.craabs.com/api/v1/iocs?type=ip&score_min=70
GET /api/v1/iocs/:id
Retourne le detail complet d'un IOC, y compris les enrichissements.
POST /api/v1/iocs
Ajoute un nouvel IOC. Corps : {"value": "1.2.3.4", "ioc_type": "ip", "tags": "scanner", "tlp": "AMBER"}
5. Protocole honeypot (CHP)
Voir la page dedicee : Documentation du protocole CHP
6. Premiers pas
- Creez votre compte sur cti.craabs.com/join
- Attendez l'approbation d'un administrateur (generalement sous 24 heures)
- Connectez-vous et lancez un Quick Check sur une IP ou un domaine suspect
- Si vous etes membre Developpeur, recuperez votre cle API depuis votre page de profil
- Connectez votre honeypot via la documentation du protocole CHP