Azure 政府获取事件返回 401 禁止

Question

我正在尝试使用 Azure 政府云获取事件，如下所述：https://learn.microsoft.com/en-us/rest/api/securityinsights/incidents/list?view=rest-securityinsights-2024- 09-01&tabs=HTTP

请求获取token：

curl --location 'https://login.microsoftonline.us/TENANT_ID/oauth2/v2.0/token' \
--header 'Content-Type: application/x-www-form-urlencoded' \
--data-urlencode 'client_id=CLIENT_ID' \
--data-urlencode 'client_secret=CLIENT_SECRET' \
--data-urlencode 'grant_type=client_credentials' \
--data-urlencode 'scope=https://management.usgovcloudapi.net//.default'

回复：

{"token_type":"Bearer","expires_in":3599,"ext_expires_in":3599,"access_token":"..."}

请求获取事件：

curl --location 'https://management.usgovcloudapi.net/subscriptions/SUBSCRIPTION_ID/resourceGroups/GROUP_NAME/providers/Microsoft.OperationalInsights/workspaces/WORKSPACE_NAME/providers/Microsoft.SecurityInsights/incidents?api-version=2024-04-01-preview&$filter=(properties/lastModifiedTimeUtc ge 2024-12-20T10:23:00Z and properties/lastModifiedTimeUtc le 2024-12-20T10:25:00Z)&$top=100' \
--header 'Authorization: Bearer ey...'

响应：401禁止

相同的 API 调用对于 Global Azure (management.azure.com) 可以正常工作，并且事件已返回。

Answer 1

Azure 政府获取事件返回 401 禁止

当您没有适当的权限或在 Rest API URL 中传递了错误的值时，就会出现上述错误。

将

Reader

或

Microsoft Sentinel Contributor

角色分配给订阅下的 Azure 服务主体以获取事件。

传送门：

enter image description here

此外，您在

2024-04-01-preview

查询中使用

incidents

API 版本，但您共享的文档引用了

2024-09-01

。请确保使用正确的API版本

enter image description here

现在您可以尝试在您的环境中使用正确的值和权限来请求请求，

参考： 事件 - 列表 - REST API (Azure Sentinel) |微软学习

Azure 政府获取事件返回 401 禁止

问题描述投票：0回答：1

1个回答

最新问题

Azure 政府获取事件返回 401 禁止

问题描述 投票：0回答：1

1个回答

最新问题

问题描述投票：0回答：1