Reportly是一款功能强大的AzureAD用户活动报告工具,在该工具的帮助下,广大蓝队安全研究人员可以在云端事件发生时第一时间收到通知。
在运行该工具的过程中,研究人员需要输入一个可疑用户账号和时间参数,随后便会收到一份详细的报告,其中包括下列内容:
1、与目标用户相关的信息;
2、目标用户采取的活动信息;
3、针对目标用户采取的活动信息;
4、用户登录和失败日志;
由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/sap8899/reportly.git
在使用该工具之前,我们需要一个包含下列APi权限的AzureAD应用程序:
AuditLog.Read.All
GroupMember.Read.All
RoleManagement.Read.Directory
User.Read
User.Read.All
然后授权管理员权限:
切换到“App registration”标签页,创建一个应用程序,并选择“New registration”选项:
在创建应用程序的时候,确保勾选了下列选项:
向应用程序添加一个密钥令牌:
创建好之后,我们还需要打开config.cfg文件,并按照参数修改下列内容:
clientId = 应用程序id
clientSecret = 应用程序密钥令牌
tenantId = 租户id
在运行该工具的时候,将显示一个指向身份验证的链接和一个设备码,此时我们需要点击链接并输入身份验证码:
接下来,输入一个可以可疑用户的用户主体名称,并按下列格式输入开始和结束时间:2022-11-16。我们建议这个时间范围不要超过一个星期。
身份认证完成之后,为了创建一份完整报告,请选择选项“5”:
此时报告便生成完毕,并输出“Your report is ready!”的提示文字,生成好的报告位于项目目录中。
视频地址:
https://user-images.githubusercontent.com/88736901/202284687-9862e097-a5d6-4557-a474-d99e37269c2e.mp4
Reportly:https://github.com/sap8899/reportly
文章引用微信公众号"FreeBuf",如有侵权,请联系管理员删除!
