Ping uma porta específica

Question

d0bry

Asked: 2025-03-28 23:14:27 +0800 CST2025-03-28 23:14:27 +0800 CST 2025-03-28 23:14:27 +0800 CST

Não consigo baixar os logs do "Defender For Endpoint" para o Wazuh

Não consigo baixar os logs do Defender For Endpoint para o SIEM-Wazuh local .

Configurei tenantId appId appSecreto defeder_for_endpoint_alerts.pyscript gerado anteriormente pelo lado da Microsoft.

O defender_for_endpoint_alerts.pyscript acima mencionado retorna o erro:

urllib.error.HTTPError: HTTP Error 403: Forbidden

O token é gerado e contém os seguintes valores:

"aud": "https://api.securitycenter.microsoft.com",

"roles": [
"Alert.Read.All"
],

O que pode estar causando isso?

d0bry · Answer 1 · 2025-04-18T19:51:49+08:00

Best Answer

d0bry

Outra abordagem é definir Alert.ReadWrite.Alluma função. Uma das funções mencionadas é suficiente.

Vá para a seção " Permissões da API " e adicione as permissões: WindowsDefenderATP→Alert.ReadWrite.All

O script de alerta defender_for_endpoint_alerts.py para Wazuh requer pequenas correções para funcionar e baixar alertas de antivírus do Windows.

No defender_for_endpoint_alerts.pyscript, você também deve alterar a linha:

# Request Token
# url = "https://login.microsoftonline.com/%s/oauth2/token" % (tenantId

para

url = "https://login.microsoftonline.com/%s/oauth2/v2.0/token" % (tenantId)

e

body = {
        'resource' : resourceAppIdUri,

para

body = {
        'scope': 'https://api.securitycenter.microsoft.com/.default',

Depois de fazer essas alterações, em /var/ossec/logs/archives/archives.json, os alertas começaram a aparecer no Microsoft Defender for Endpoint .