AWS - CloudWatch Enum

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

CloudWatch

CloudWatch versamel moniterings- en operasionele data in die vorm van logboeke/metriek/gebeure wat 'n verenigde aansig van AWS-hulpbronne, toepassings en dienste bied. CloudWatch Log Gebeurte het 'n groottebeperking van 256KB op elke loglyn. Dit kan hoë resolusie alarms instel, logboeke en metrieke langs mekaar visualiseer, outomatiese aksies neem, probleme oplos, en insigte ontdek om toepassings te optimaliseer.

Jy kan byvoorbeeld logboeke van CloudTrail monitor. Gebeure wat gemonitor word:

Sleutelkonsepte

Naamruimtes

'n Naamruimte is 'n houer vir CloudWatch-metriek. Dit help om metrieke te kategoriseer en te isoleer, wat dit makliker maak om hulle te bestuur en te analiseer.

  • Voorbeelde: AWS/EC2 vir EC2-verwante metrieke, AWS/RDS vir RDS-metriek.

Metrieke

Metrieke is datapunte wat oor tyd versamel is en wat die prestasie of benutting van AWS-hulpbronne verteenwoordig. Metrieke kan versamel word van AWS-diens, aangepaste toepassings, of derdeparty-integrasies.

  • Voorbeeld: CPUUtilization, NetworkIn, DiskReadOps.

Dimensies

Dimensies is sleutel-waardepare wat deel is van metrieke. Dit help om 'n metriek uniek te identifiseer en addisionele konteks te bied, waar 30 die meeste aantal dimensies is wat met 'n metriek geassosieer kan word. Dimensies maak dit ook moontlik om metrieke te filter en saam te vat op grond van spesifieke eienskappe.

  • Voorbeeld: Vir EC2-instansies kan dimensies InstansieId, InstansieTipe, en Beskikbaarheidsone insluit.

Statistieke

Statistieke is wiskundige berekeninge wat op metriekdata uitgevoer word om dit oor tyd te sommeer. Gewone statistieke sluit in Gemiddelde, Som, Minimum, Maksimum, en Steekproeftelling.

  • Voorbeeld: Die gemiddelde CPU-benutting oor 'n tydperk van een uur bereken.

Eenhede

Eenhede is die meetsoort wat met 'n metriek geassosieer word. Eenhede help om konteks en betekenis aan die metriekdata te gee. Gewone eenhede sluit in Persentasie, Grepe, Sekondes, Telling.

  • Voorbeeld: CPUUtilization kan in Persentasie gemeet word, terwyl NetworkIn in Grepe gemeet kan word.

CloudWatch Funksies

Dashboard

CloudWatch Dashboards bied aanpasbare aansigte van jou AWS CloudWatch-metriek. Dit is moontlik om dashboards te skep en te konfigureer om data te visualiseer en hulpbronne in 'n enkele aansig te monitor, deur verskillende metrieke van verskeie AWS-diens te kombineer.

Sleutelkenmerke:

  • Widgets: Boublokke van dashboards, insluitend grafieke, teks, alarms, en meer.

  • Aanpassing: Uitleg en inhoud kan aangepas word om spesifieke moniteringsbehoeftes te pas.

Voorbeeld Gebruikgeval:

  • 'n Enkele dashboard wat sleutelmetrieke vir jou hele AWS-omgewing wys, insluitend EC2-instansies, RDS-databasisse, en S3-emmers.

Metriekstroom en Metriekdata

Metriekstrome in AWS CloudWatch stel jou in staat om voortdurend CloudWatch-metriek na 'n bestemming van jou keuse in byna-ware tyd te stroom. Dit is veral nuttig vir gevorderde monitering, analise, en aangepaste dashboards met behulp van gereedskap buite AWS.

Metriekdata binne Metriekstrome verwys na die werklike metings of datapunte wat gestroom word. Hierdie datapunte verteenwoordig verskeie metrieke soos CPU-benutting, geheugengebruik, ens., vir AWS-hulpbronne.

Voorbeeld Gebruikgeval:

  • Stuur werklike metrieke na 'n derdeparty-moniteringsdiens vir gevorderde analise.

  • Argivering van metrieke in 'n Amazon S3-emmer vir langtermyn berging en nakoming.

Alarm

CloudWatch Alarms monitor jou metrieke en voer aksies uit op grond van voorafbepaalde drempels. Wanneer 'n metriek 'n drempel oorskry, kan die alarm een of meer aksies uitvoer soos kennisgewings stuur via SNS, 'n outomatiese skaalbeleid aktiveer, of 'n AWS Lambda-funksie hardloop.

Sleutelkomponente:

  • Drempel: Die waarde waarby die alarm geaktiveer word.

  • Evaluasieperiodes: Die aantal periodes waaroor data geëvalueer word.

  • Datapunte tot Alarm: Die aantal periodes met 'n bereikte drempel wat nodig is om die alarm te aktiveer

  • Aksies: Wat gebeur wanneer 'n alarmtoestand geaktiveer word (bv., kennisgewing stuur via SNS).

Voorbeeld Gebruikgeval:

  • Monitering van EC2-instansie CPU-benutting en stuur 'n kennisgewing via SNS as dit 80% vir 5 aaneenlopende minute oorskry.

Anomalie-detektore

Anomalie-detektore gebruik masjienleer om outomaties anomalieë in jou metrieke te identifiseer. Jy kan anomaliedeteksie toepas op enige CloudWatch-metrieke om afwykings van normale patrone te identifiseer wat moontlik probleme aandui.

Sleutelkomponente:

  • Modelopleiding: CloudWatch gebruik historiese data om 'n model op te lei en vas te stel hoe normale gedrag lyk.

  • Anomalie-deteksieband: 'n visuele voorstelling van die verwagte reeks waardes vir 'n metriek.

Voorbeeld Gebruikgeval:

  • Identifisering van ongewone CPU-benuttingpatrone in 'n EC2-instansie wat 'n sekuriteitsversteuring of toepassingsprobleem kan aandui.

Insigreëls en Bestuurde Insigreëls

Insigreëls stel jou in staat om tendense te identifiseer, pieke te detecteer, of ander patrone van belang in jou metriekdata te gebruik deur kragtige wiskundige uitdrukkings te definieer om die toestande te bepaal waarvolgens aksies geneem moet word. Hierdie reëls kan jou help om anomalieë of ongewone gedrag in jou hulpbronprestasie en benutting te identifiseer.

Bestuurde Insigreëls is voorafgekonfigureerde insigreëls wat deur AWS voorsien word. Dit is ontwerp om spesifieke AWS-diens of algemene gevalle te monitor en kan geaktiveer word sonder om gedetailleerde konfigurasie nodig te hê.

Voorbeeld Gebruikgeval:

  • Monitering van RDS-prestasie: Aktiveer 'n bestuurde insigreël vir Amazon RDS wat sleutelprestasie-aanwysers soos CPU-benutting, geheugengebruik, en skyf I/O monitor. As enige van hierdie metrieke veilige operasionele drempels oorskry, kan die reël 'n waarskuwing aktiveer of outomatiese mitigasie-aksie.

CloudWatch Logboeke

Laat toe om logboeke van toepassings en stelsels van AWS-diens (insluitend CloudTrail) en van toepassings/stelsels te aggregeer en monitor (CloudWatch Agent kan op 'n gasheer geïnstalleer word). Logboeke kan onbepaald gestoor word (afhangende van die Loggroepinstellings) en kan uitgevoer word.

Elemente:

Loggroep

'n versameling logstrome wat dieselfde retensie, monitering, en toegangsbeheerinstellings deel

Logstroom

'n reeks loggebeure wat dieselfde bron deel

Intekenfilters

Definieer 'n filterpatroon wat gebeure koppel in 'n spesifieke loggroep, stuur hulle na 'n Kinesis Data Firehose-stroom, Kinesis-stroom, of 'n Lambda-funksie

### CloudWatch Monitorings & Gebeure

CloudWatch basiese aggregeer data elke 5min (die gedetailleerde een doen dit elke 1 min). Na die aggregering, kontroleer dit die drempels van die alarms in geval dit een moet trigger. In daardie geval kan CloudWatch voorbereid wees om 'n gebeurtenis te stuur en om enkele outomatiese aksies uit te voer (AWS lambda funksies, SNS-onderwerpe, SQS-rye, Kinesis-strome)

Agente-installasie

Jy kan agente binne jou masjiene/houers installeer om outomaties die logboeke terug te stuur na CloudWatch.

  • Skep 'n rol en heg dit aan die instansie met toestemmings wat CloudWatch toelaat om data van die instansies te versamel, bo en behalwe om met AWS-stelselbestuurder SSM te interaksieer (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)

  • Laai af en installeer die agent op die EC2-instansie (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Jy kan dit van binne die EC2 aflaai of dit outomaties installeer deur AWS-stelselbestuurder te gebruik en die pakket AWS-ConfigureAWSPackage te kies

  • Konfigureer en begin die CloudWatch-agent

'n Loggroep het baie strome. 'n Stroom het baie gebeure. En binne elke stroom is dit gewaarborg dat die gebeure in orde is.

Enumerasie

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Eksploitasi / Deurlooppad

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

'n Aanvaller met hierdie regte kan aansienlik 'n organisasie se monitering en waarskuwingsinfrastruktuur ondermyn. Deur bestaande alarms te verwyder, kan 'n aanvaller kritieke waarskuwings wat administrateurs van belangrike prestasieprobleme, sekuriteitskendings of operasionele mislukkings in kennis stel, uitskakel. Verder kan die aanvaller deur metrieke alarms te skep of te wysig, administrateurs ook mislei met valse waarskuwings of regmatige alarms stilmaak, wat kwaadwillige aktiwiteite effektief verberg en voorkom dat tydige reaksies op werklike voorvalle plaasvind.

Daarbenewens, met die cloudwatch:PutCompositeAlarm reg, sou 'n aanvaller 'n lus of siklus van samegestelde alarms kan skep, waar samegestelde alarm A afhanklik is van samegestelde alarm B, en samegestelde alarm B ook afhanklik is van samegestelde alarm A. In hierdie scenario is dit nie moontlik om enige samegestelde alarm wat deel is van die siklus te verwyder nie omdat daar altyd nog 'n samegestelde alarm is wat afhanklik is van daardie alarm wat jy wil verwyder.

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

Die volgende voorbeeld toon hoe om 'n metriese alarm ondoeltreffend te maak:

  • Hierdie metriese alarm monitor die gemiddelde CPU-benutting van 'n spesifieke EC2-instansie, evalueer die metriek elke 300 sekondes en vereis 6 evaluasieperiodes (totaal van 30 minute). As die gemiddelde CPU-benutting 60% oorskry vir ten minste 4 van hierdie periodes, sal die alarm geaktiveer word en 'n kennisgewing stuur na die gespesifiseerde SNS-onderwerp.

  • Deur die Drempel te wysig om meer as 99% te wees, die Periode in te stel op 10 sekondes, die Evaluasieperiodes na 8640 te verander (aangesien 8640 periodes van 10 sekondes gelykstaande is aan 1 dag), en die Datapunte na Alarm ook na 8640 te stel, sou dit nodig wees vir die CPU-benutting om meer as 99% te wees elke 10 sekondes regdeur die hele 24-uurperiode om 'n alarm te aktiveer.

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": [
"arn:aws:sns:us-east-1:123456789012:example_sns"
],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

Potensiële Impak: Gebrek aan kennisgewings vir kritieke gebeure, potensiële onopgespoorde probleme, valse waarskuwings onderdruk en moontlik gemiste opsporing van werklike voorvalle.

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions , cloudwatch:SetAlarmState

Deur alarmaksies te verwyder, kan die aanvaller voorkom dat kritieke waarskuwings en outomatiese reaksies geaktiveer word wanneer 'n alarmtoestand bereik word, soos om administrateurs in kennis te stel of outomatiese skuifaktiwiteite te aktiveer. Die onvanpas aktiveer of heraktiveer van alarmaksies kan ook lei tot onverwagte gedrag, of deur vorige uitgeskakelde aksies te heraktiveer of deur te wysig watter aksies geaktiveer word, wat moontlik verwarring en misleiding in voorvalreaksie kan veroorsaak.

Daarbenewens kan 'n aanvaller met die reg alarmtoestande manipuleer, deur valse alarms te skep om administrateurs af te lei en in die war te bring, of egte alarms te stil om aan die gang gesette skadelike aktiwiteite of kritieke stelselmislukkings te verberg.

  • As jy SetAlarmState op 'n samegestelde alarm gebruik, word nie waarborg dat die samegestelde alarm na sy werklike toestand sal terugkeer nie. Dit keer slegs na sy werklike toestand terug sodra enige van sy kinderalarms van toestand verander. Dit word ook heroorweeg as jy sy konfigurasie opdateer.

aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

Potensiële Impak: Gebrek aan kennisgewings vir kritieke gebeure, potensiële onopgespoorde probleme, vals waarskuwings, onderdruk egte waarskuwings en moontlik gemiste opsporing van werklike voorvalle.

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

'n Aanvaller sou die vermoë hê om die opsporing en reaksie op ongewone patrone of anomalieë in metriese data te compromiteer. Deur bestaande anomaliedetektors te verwyder, sou 'n aanvaller kritieke waarskuwingsmeganismes kan deaktiveer; en deur dit te skep of te wysig, sou dit in staat wees om óf verkeerd te konfigureer óf valse positiewe te skep om die monitering te ontwrig of oorweldig.

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

Die volgende voorbeeld toon hoe om 'n metriese anomalie-detektor ondoeltreffend te maak. Hierdie metriese anomalie-detektor monitor die gemiddelde CPU-benutting van 'n spesifieke EC2-instansie, en deur net die "ExcludedTimeRanges" parameter met die gewenste tydreeks by te voeg, sal dit genoeg wees om te verseker dat die anomalie-detektor nie enige relevante data gedurende daardie tydperk analiseer of waarsku nie.

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

```json { "SingleMetricAnomalyDetector": { "Namespace": "AWS/EC2", "MetricName": "CPUUtilization", "Stat": "Average", "Dimensions": [ { "Name": "InstanceId", "Value": "i-0123456789abcdefg" } ] }, "Configuration": { "ExcludedTimeRanges": [ { "StartTime": "2023-01-01T00:00:00Z", "EndTime": "2053-01-01T23:59:59Z" } ], "Timezone": "Europe/Madrid" } } ``` **Potensiële Impak**: Direkte effek in die opsporing van ongewone patrone of sekuriteitsdreigings.

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

'n Aanvaller sou die monitering en visualisering vermoëns van 'n organisasie kan benadeel deur sy dashboards te skep, wysig of verwyder. Hierdie toestemmings kan gebruik word om kritieke sigbaarheid in die prestasie en gesondheid van stelsels te verwyder, dashboards te verander om verkeerde data te vertoon of skadelike aktiwiteite te verberg.

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

Potensiële Impak: Verlies van moniteringsigbaarheid en misleidende inligting.

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

Insight-reëls word gebruik om anomalieë op te spoor, prestasie te optimaliseer, en hulpbronne doeltreffend te bestuur. Deur bestaande insigreëls te verwyder, kan 'n aanvaller kritieke moniteringsvermoëns verwyder, wat die stelsel blind kan laat vir prestasieprobleme en sekuriteitsdreigings. Daarbenewens kan 'n aanvaller insigreëls skep of wysig om misleidende data te genereer of skadelike aktiwiteite te verberg, wat kan lei tot verkeerde diagnostiek en onvanpaste reaksies van die operasiespan.

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

Potensiële Impak: Moeilikheid om prestasieprobleme en anomalieë op te spoor en daarop te reageer, verkeerde besluitneming en moontlik die versteek van skadelike aktiwiteite of stelselmislukkings.

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

Deur kritieke insigreëls uit te skakel, kan 'n aanvaller die organisasie effektief blind maak vir sleutelprestasie- en veiligheidsmetriek. Omgekeerd, deur misleidende reëls in te skakel of te konfigureer, kan dit moontlik wees om valse data te genereer, geraas te skep, of skadelike aktiwiteite te versteek.

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

Potensiële Impak: Verwarring onder die operasionele span, wat lei tot vertraagde reaksies op werklike kwessies en onnodige aksies gebaseer op valse waarskuwings.

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

'n Aanvaller met die cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream toestemmings sou in staat wees om metriese datastrome te skep en te verwyder, wat die sekuriteit, monitering en data-integriteit in gevaar sou stel:

  • Skep kwaadwillige strome: Skep metriese strome om sensitiewe data na ongemagtigde bestemmings te stuur.

  • Hulpbronmanipulasie: Die skep van nuwe metriese strome met oormatige data kan baie geraas veroorsaak, wat verkeerde waarskuwings kan veroorsaak en ware kwessies kan maskeer.

  • Moniteringsontwrigting: Deur metriese strome te verwyder, sou aanvallers die deurlopende vloei van moniteringsdata ontwrig. Op hierdie manier sou hul kwaadwillige aktiwiteite effektief versteek word.

Op soortgelyke wyse, met die cloudwatch:PutMetricData toestemming, sou dit moontlik wees om data by 'n metriese stroom te voeg. Dit kan lei tot 'n DoS as gevolg van die hoeveelheid onvanpaste data wat bygevoeg word, wat dit heeltemal nutteloos maak.

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

Voorbeeld van die toevoeging van data wat ooreenstem met 'n 70% van 'n CPU-benutting oor 'n gegewe EC2-instantie:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

Potensiële Impak: Onderbreking in die vloei van moniteringsdata, wat die opsporing van anomalieë en insidente, hulpbronmanipulasie en koste verhoog as gevolg van die skep van oormatige metriese strome, kan beïnvloed.

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

'n Aanvaller sou die vloei van die geaffekteerde metriese datastrome beheer (elke datastroom as daar geen hulpbronbeperking is nie). Met die toestemming cloudwatch:StopMetricStreams sou aanvallers hul skadelike aktiwiteite kon verberg deur kritieke metriese strome te stop.

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

Potensiële Impak: Onderbreking in die vloei van moniteringsdata, wat die opsporing van anomalieë en insidente kan beïnvloed.

cloudwatch:TagResource, cloudwatch:UntagResource

'n Aanvaller sou in staat wees om etikette by CloudWatch-bronne by te voeg, te wysig, of te verwyder (tans slegs alarms en Contributor Insights-reëls). Dit kan jou organisasie se toegangsbeheerbeleid gebaseer op etikette ontwrig.

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

Potensiële Impak: Versteuring van tag-gebaseerde toegangsbeheerbeleide.

Verwysings

Leer AWS hak vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

Last updated