Cobalt Strike有多种报告选项，可帮助你理解数据并向客户传达信息。你可以配置大多数报告中显示的标题、描述和主机。

进入 “Reporting ”菜单，选择要生成的报告之一。Cobalt Strike 会将报告导出为MS Word或 PDF 文档。

#15.1、活动报告

活动报告提供了红队活动的时间表。你的每项后渗透活动都记录在此处。

#15.2、主机报告

主机报告总结了 Cobalt Strike 按主机收集的信息。此处还列出了服务、凭证和会话。

#15.3、入侵指标(IOC)

该报告类似于威胁情报报告中的IoC附录。内容包括对你的 Malleable C2 配置文件的生成分析、你使用的域以及你上传的文件的 MD5 哈希值。

#15.4、会话报告

该报告按会话记录指标和活动。该报告包括：每个会话用于与你联系的通信路径、该会话期间放入磁盘的文件的 MD5 哈希值、杂项指标（如服务名称）以及漏洞利用后活动的时间表。该报告是帮助网络防御团队了解所有红色活动并将他们的传感器与你的活动相匹配的绝佳工具。

#15.5、社会工程学

社会工程报告记录了每轮鱼叉式网络钓鱼电子邮件、点击者以及从每个点击用户收集的内容。此报告还显示系统分析器发现的应用程序。

#15.6、策略、技术和程序

该报告将你的 Cobalt Strike 行动映射到 MITRE 的 ATT&CK 矩阵中的战术。 ATT&CK 矩阵描述了每种策略以及检测和缓解策略。你可以通过以下网址了解有关 MITRE ATT&CK 的更多信息：https://attack.mitre.org/

#15.7、日志

Cobalt Strike 将其所有活动记录在团队服务器上。这些日志位于你启动团队服务器的同一目录中的logs/文件夹中。所有Beacon活动都记录在此处，并带有日期和时间戳。

控制日期格式

你可以通过 TeamServer.Prop 文件中的以下字段控制日志输出中某些日期和时间戳的格式。

注意：TeamServer.prop 是一个可选文件，包含许多参数，可用于自定义设置。该文件不包含在发行版中，因为默认值是推荐设置。如果需要修改设置，请从 https://github.com/Cobalt-Strike/teamserver-prop 源下载默认的 TeamServer.prop 文件到 Cobalt Strike 安装目录。修改后重启团队服务器。

logfile.timestamp.pattern

该选项控制日志中使用的时间戳格式。默认值为“MM/dd HH:mm:ss zzz”。文本值必须符合为 Java DateTimeFormatter 模式定义的规则。

logfile.timezone

用于控制日志中使用的时间戳的时区。这也控制了如何确定用于日常日志文件的文件系统路径的日期。示例：.../logs/[date]/events.log示例：.../logs/[date]/[target-IP]/screenshots.log默认为 UTC。可以使用 “*default ”特殊值来继承系统值。文本值必须符合标准 java TimeZone 值。

TeamServer.prop 定义示例

logfile.timestamp.pattern=yyyy-MM-dd HH:mm:ss zzz logfile.timezone=America/Los_Angeles# logfile.timezone=*default#15.8、自定义报告中的Logo

Cobalt Strike 报告在第一页顶部显示 Cobalt Strike 徽标。你可以用自己选择的图片替换它。进入Cobalt Strike -> Preferences -> Reporting。在Logo选项那里进行替换。

自定义图像应为 1192x257px，设置为 300dpi。报告引擎需要 300dpi 设置才能以正确的尺寸呈现图像。

你还可以设置强调色。此强调色是报告第一页图像下方粗线的颜色。报告内的链接也使用强调色。

#15.9、自定义报告

Cobalt Strike 使用特定领域语言来定义报告。你可以通过 “Report Preferences ”对话框载入自己的报告。要进一步了解这项功能，请参阅 Aggressor 脚本章节中的自定义报告章节(14.14 自定义报告)。

#说明

本文由笔者在Cobalt Strike官方用户指南原文(https://hstechdocs.helpsystems.com/manuals/cobaltstrike/current/userguide/content/topics/welcome_main.htm)基础上编译，如需转载请注明来源。