我无法将Defender For Endpoint日志下载到本地SIEM-Wazuh。
我在微软那边之前生成的脚本tenantId appId appSecret里已经设置好了。defeder_for_endpoint_alerts.py
上述defender_for_endpoint_alerts.py脚本返回错误:
urllib.error.HTTPError: HTTP Error 403: Forbidden
令牌已生成并包含以下值:
"aud": "https://api.securitycenter.microsoft.com",
"roles": [
"Alert.Read.All"
],
这可能是什么原因造成的?
另一种方法是设置
Alert.ReadWrite.All角色。上述角色之一即可。转到“ API 权限”部分并添加权限:
WindowsDefenderATP→Alert.ReadWrite.AllWazuh的defender_for_endpoint_alerts.py警报脚本需要进行微小修改才能运行并下载 Windows 防病毒警报。
在
defender_for_endpoint_alerts.py脚本中,您还应该更改以下行:到
和
到
进行这些更改后,在 中
/var/ossec/logs/archives/archives.json,警报开始从Microsoft Defender for Endpoint出现。