Концепция киберразведки или TI-сервиса состоит в следующем: владелец сервиса следит за преступной деятельностью хакерских группировок, анализирует из методы предварительного анализа информации, внедрения и закрепления в информационных системах, а также перемещения внутри взломанной инфраструктуры и совершения вредоносной активности, которая часто связана с воровством данных, нарушением работы информационных систем жертвы или запуском шифровальщика-вымогателя. Ключевым элементом TI являются индикаторы компрометации (Indicator of Compromise - IoC), то есть сочетание признаков того, что в информационной системе присутствует хакерская активность одной из известных APT-группировок. Описания IoC готовятся по результатам анализа вредоносной деятельности хакерских групп в других инфраструктурах - для этого используются результаты расследования аналогичных случаев атак. Именно подготовкой таких описаний признаков и занимаются TI-операторы.