TAXII connector voor Microsoft Sentinel

De taxii connector kan gebruikt worden om meer inzicht van url / ip dreigingen te krijgen. Installeer daarvoor binnen Microsoft Sentinel de TAXII connector. Via de gratis diensten van Anomali kun je gratis gebruik maken van hun feeds.

Basis-URL van API: https://limo.anomali.com/api/v1/taxii2/feeds/
Gebruikersnaam: Guest
Wachtwoord: Guest

Er zijn dan enkele collection id’s van toepassing, 107 voor phishtank, 135 en 136 voor bekende ransomware ip’s, 150 voor dhield ip’s, 313 voor malware domeinen en 68 bekende cybercrime ip’s.

Vervolgens kun je de query “union ThreatIntelligenceIndicator” gebruiken om inzicht te krijgen in het verkeer dat langs je UDM PRO is gekomen.