EntraFalcon 项目启动与配置教程

1. 项目目录结构及介绍

EntraFalcon 是一个基于 PowerShell 的安全评估工具，其项目目录结构如下：

EntraFalcon/
├── images/                # 存储项目相关的图片文件
├── modules/               # 包含 PowerShell 模块
├── LICENSE                # 项目许可证文件
├── README.md              # 项目说明文件
├── run_EntraFalcon.ps1    # 项目的主执行脚本

• images/: 存储该项目使用的所有图片资源，如示例报告截图等。
• modules/: 包含项目所需的 PowerShell 模块文件。
• LICENSE: 项目的 MIT 许可证文件，说明项目的版权和授权信息。
• README.md: 项目说明文件，介绍了项目的基本信息、功能和使用方法。
• run_EntraFalcon.ps1: 该项目的主脚本文件，用于执行安全评估。

2. 项目的启动文件介绍

项目的启动文件是 run_EntraFalcon.ps1。这个 PowerShell 脚本负责执行安全评估的主要流程。以下是启动文件的基本介绍：

• 脚本功能: 执行对 Microsoft Entra ID 环境的安全评估，包括检查特权对象、风险分配和潜在的配置错误。
• 运行环境: 需要 PowerShell 5.1 或 7，支持 Windows 和 Linux 环境。
• 依赖性: 无外部依赖，但需要能够认证到 Microsoft Graph API 和可选的 Azure ARM API。

使用以下命令运行脚本：

.\run_EntraFalcon.ps1

根据需要，可以选择不同的认证方法，如默认的 Auth Code Flow，或者 Device Code Authentication。

3. 项目的配置文件介绍

EntraFalcon 项目主要通过命令行参数进行配置。以下是一些主要的配置选项：

• -AuthMethod: 指定认证方法，例如 "DeviceCode" 或 "ManualCode"。
• -IncludeMsApps: 包含 Microsoft 企业应用程序在评估中。
• -SkipPimForGroups: 跳过对组的 PIM 分配的枚举，以减少需要的认证步骤。
• -UserAgent: 用于请求令牌端点和 API 调用的用户代理字符串。
• -DisableCAE: 禁用请求连续访问评估（CAE）令牌。
• -Tenant: 指定要认证的租户（ID 或域名）。
• -OutputFolder: 指定输出报告的文件夹。
• -LimitResults: 限制报告中显示的用户和组的数量。
• -Verbose: 启用详细输出，以便于故障排除和监控进度。

通过在命令行中添加这些参数，可以自定义脚本的运行行为。例如：

.\run_EntraFalcon.ps1 -AuthMethod "DeviceCode" -OutputFolder "C:\MyReports" -LimitResults 100 -Verbose

以上是 EntraFalcon 项目的启动和配置基本教程。按照这些步骤操作，您可以顺利运行项目并进行安全评估。