关于Reportly

Reportly是一款功能强大的AzureAD用户活动报告工具，在该工具的帮助下，广大蓝队安全研究人员可以在云端事件发生时第一时间收到通知。

在运行该工具的过程中，研究人员需要输入一个可疑用户账号和时间参数，随后便会收到一份详细的报告，其中包括下列内容：

1、与目标用户相关的信息；

2、目标用户采取的活动信息；

3、针对目标用户采取的活动信息；

4、用户登录和失败日志；

工具安装

由于该工具基于Python开发，因此我们首先需要在本地设备上安装并配置好Python环境。接下来，广大研究人员可以使用下列命令将该项目源码克隆至本地：

git clone https://github.com/sap8899/reportly.git

在使用该工具之前，我们需要一个包含下列APi权限的AzureAD应用程序：

AuditLog.Read.All

GroupMember.Read.All

RoleManagement.Read.Directory

User.Read

User.Read.All

然后授权管理员权限：

切换到“App registration”标签页，创建一个应用程序，并选择“New registration”选项：

在创建应用程序的时候，确保勾选了下列选项：

向应用程序添加一个密钥令牌：

创建好之后，我们还需要打开config.cfg文件，并按照参数修改下列内容：

clientId = 应用程序id

clientSecret = 应用程序密钥令牌

tenantId = 租户id

工具使用

在运行该工具的时候，将显示一个指向身份验证的链接和一个设备码，此时我们需要点击链接并输入身份验证码：

接下来，输入一个可以可疑用户的用户主体名称，并按下列格式输入开始和结束时间：2022-11-16。我们建议这个时间范围不要超过一个星期。

身份认证完成之后，为了创建一份完整报告，请选择选项“5”：

此时报告便生成完毕，并输出“Your report is ready！”的提示文字，生成好的报告位于项目目录中。

工具演示视频

视频地址：【点我观看】

项目地址

Reportly：【GitHub传送门】