CrowdSec propose un système qui fonctionne en 4 étapes:

1/ La solution, au travers de son agent (en Golang) lit les logs des services (journald, syslog, splunk, cloudtrails, elk, etc.)

2/ L'agent recherche des scénarios dans les sources de logs qui sont analysées

3/ Le composant détectant les tentatives de piratage (IDS) et celui protégeant lesmachines (IPS) sont volontairement séparés. Une vingtaine d'IPS différents sont disponibles pour couvrir tous les cas d'usages. Ce composant peut bloquer (fw / lb / rp), lancer un captcha (pour les applications Web), une alerte par HTTP ou encore un multi-factor authenticité, voir exécuter un script de votre choix.

4/ Une fois l'IP agressive identifiée, elle est remontée à CrowdSec pour éliminer les faux-positifs et les tentatives d'empoisonnement puis redistribuée à l'ensemble des participants au réseau CrowdSec.

De cette façon, les machines sont protégées à la fois par l'analyse comportementale et par l'analyse réputationnelle. La solution fonctionne de manière similaire à un Waze des Firewalls. Son architecture moderne permet de défendre des IoT (avec des calls API) tout comme des infrastructures ou des serveurs isolés. Les packages existent pour la plupart des architectures et un portage sur Windows est en cour. Elle propose aussi une console Web permettant d'avoir une visibilité sur l'ensemble de son parc et d'accéder aux fonctions de CTI collective.