Reportly:一款功能强大的AzureAD用户活动报告工具
2023-6-2 09:58:49 Author: www.freebuf.com(查看原文) 阅读量:9 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

关于Reportly

Reportly是一款功能强大的AzureAD用户活动报告工具,在该工具的帮助下,广大蓝队安全研究人员可以在云端事件发生时第一时间收到通知。

在运行该工具的过程中,研究人员需要输入一个可疑用户账号和时间参数,随后便会收到一份详细的报告,其中包括下列内容:

1、与目标用户相关的信息;

2、目标用户采取的活动信息;

3、针对目标用户采取的活动信息;

4、用户登录和失败日志;

工具安装

由于该工具基于Python开发,因此我们首先需要在本地设备上安装并配置好Python环境。接下来,广大研究人员可以使用下列命令将该项目源码克隆至本地:

git clone https://github.com/sap8899/reportly.git

在使用该工具之前,我们需要一个包含下列APi权限的AzureAD应用程序:

AuditLog.Read.All

GroupMember.Read.All

RoleManagement.Read.Directory

User.Read

User.Read.All

然后授权管理员权限:

切换到“App registration”标签页,创建一个应用程序,并选择“New registration”选项:

在创建应用程序的时候,确保勾选了下列选项:

向应用程序添加一个密钥令牌:

创建好之后,我们还需要打开config.cfg文件,并按照参数修改下列内容:

clientId = 应用程序id

clientSecret = 应用程序密钥令牌

tenantId = 租户id

工具使用

在运行该工具的时候,将显示一个指向身份验证的链接和一个设备码,此时我们需要点击链接并输入身份验证码:

接下来,输入一个可以可疑用户的用户主体名称,并按下列格式输入开始和结束时间:2022-11-16。我们建议这个时间范围不要超过一个星期。

身份认证完成之后,为了创建一份完整报告,请选择选项“5”:

此时报告便生成完毕,并输出“Your report is ready!”的提示文字,生成好的报告位于项目目录中。

工具演示视频

视频地址:【点我观看

项目地址

Reportly:【GitHub传送门


文章来源: https://www.freebuf.com/articles/network/368258.html
如有侵权请联系:admin#unsafe.sh