Reportly:一款功能强大的AzureAD用户活动报告工具
2023-6-5 19:7:39 Author: FreeBuf(查看原文) 阅读量:13 收藏

 关于Reportly 

Reportly是一款功能强大的AzureAD用户活动报告工具,在该工具的帮助下,广大蓝队安全研究人员可以在云端事件发生时第一时间收到通知

在运行该工具的过程中,研究人员需要输入一个可疑用户账号和时间参数,随后便会收到一份详细的报告,其中包括下列内容:

1、与目标用户相关的信息;

2、目标用户采取的活动信息;

3、针对目标用户采取的活动信息;

4、用户登录和失败日志;

 工具安装 

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/sap8899/reportly.git

在使用该工具之前,我们需要一个包含下列APi权限的AzureAD应用程序:

AuditLog.Read.All

GroupMember.Read.All

RoleManagement.Read.Directory

User.Read

User.Read.All

然后授权管理员权限:

切换到“App registration”标签页,创建一个应用程序,并选择“New registration”选项:

在创建应用程序的时候,确保勾选了下列选项:

向应用程序添加一个密钥令牌:

创建好之后,我们还需要打开config.cfg文件,并按照参数修改下列内容:

clientId = 应用程序id

clientSecret = 应用程序密钥令牌

tenantId = 租户id

 工具使用 

在运行该工具的时候,将显示一个指向身份验证的链接和一个设备码,此时我们需要点击链接并输入身份验证码:

接下来,输入一个可以可疑用户的用户主体名称,并按下列格式输入开始和结束时间:2022-11-16。我们建议这个时间范围不要超过一个星期。

身份认证完成之后,为了创建一份完整报告,请选择选项“5”:

此时报告便生成完毕,并输出“Your report is ready!”的提示文字,生成好的报告位于项目目录中。

 工具演示视频 

视频地址:

https://user-images.githubusercontent.com/88736901/202284687-9862e097-a5d6-4557-a474-d99e37269c2e.mp4

 项目地址 

Reportly:https://github.com/sap8899/reportly


文章来源: http://mp.weixin.qq.com/s?__biz=MjM5NjA0NjgyMA==&mid=2651227498&idx=4&sn=5ec4702d966ced44c9042420ea014978&chksm=bd1d17e18a6a9ef757a441a925a29a70a7692b6a964ff93b420d15c10a5e2a5ff5334107a91a#rd
如有侵权请联系:admin#unsafe.sh