AWS - Macie Enum

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy jou maatskappy in HackTricks wil adverteer of HackTricks in PDF wil aflaai, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou hacking-truuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-repos.

Macie

Amazon Macie steek uit as 'n diens wat ontwerp is om outomaties data binne 'n AWS-rekening te ontdek, klassifiseer en identifiseer. Dit maak gebruik van masjienleer om deurlopend data te monitor en analiseer, met die primêre fokus op die opspoor en waarsku teen ongewone of verdagte aktiwiteite deur die ondersoek van wolkspoorgebeurtenis-data en gebruikersgedragspatrone.

Kernkenmerke van Amazon Macie:

Aktiewe Data-oorsig: Maak gebruik van masjienleer om data aktief te oorsien terwyl verskeie aksies binne die AWS-rekening plaasvind.
Anomaliedeteksie: Identifiseer onreëlmatige aktiwiteite of toegangspatrone en genereer waarskuwings om potensiële blootstellingsrisiko's van data te verminder.
Deurlopende Monitering: Monitor outomaties en ontdek nuwe data in Amazon S3 deur masjienleer en kunsmatige intelligensie te gebruik om aan te pas by data-toegangspatrone oor tyd.
Dataklassifikasie met NLP: Maak gebruik van natuurlike taalverwerking (NLP) om verskillende datatipes te klassifiseer en te interpreteer, en ken risikoskore toe om bevindinge te prioritiseer.
Sekuriteitsmonitering: Identifiseer data wat sensitief is vir sekuriteit, insluitend API-sleutels, geheime sleutels en persoonlike inligting, om datalekke te voorkom.

Amazon Macie is 'n streekdiens en vereis die 'AWSMacieServiceCustomerSetupRole' IAM Rol en 'n geaktiveerde AWS CloudTrail vir funksionaliteit.

Waarskuwingstelsel

Macie kategoriseer waarskuwings in vooraf gedefinieerde kategorieë soos:

Geanonimiseerde toegang
Data-nakoming
Verlies van geloofsbriewe
Bevoorregte eskalasie
Ransomware
Verdagte toegang, ens.

Hierdie waarskuwings bied gedetailleerde beskrywings en resultaatontledings vir effektiewe reaksie en oplossing.

Dashboardkenmerke

Die dashboard kategoriseer data in verskeie afdelings, insluitend:

S3-voorwerpe (volgens tydperk, ACL, PII)
Hoë-risiko CloudTrail-gebeurtenisse/gebruikers
Aktiwiteitsplekke
CloudTrail-gebruikersidentiteitstipes, en meer.

Gebruikersklassifikasie

Gebruikers word geklassifiseer in vlakke gebaseer op die risikovlak van hul API-oproepe:

Platinum: Hoë-risiko API-oproepe, dikwels met administratiewe voorregte.
Goud: API-oproepe verband hou met infrastruktuur.
Silwer: Medium-risiko API-oproepe.
Brons: Lae-risiko API-oproepe.

Identiteitstipes

Identiteitstipes sluit in Root, IAM-gebruiker, Aanvaarde Rol, Gefedereerde Gebruiker, AWS-rekening en AWS-diens, wat die bron van versoeke aandui.

Dataklassifikasie

Dataklassifikasie behels:

Inhoudstipe: Gebaseer op opgespoorde inhoudstipe.
Lêeruitbreiding: Gebaseer op lêeruitbreiding.
Tema: Gekategoriseer deur sleutelwoorde binne lêers.
Regex: Gekategoriseer op grond van spesifieke regex-patrone.

Die hoogste risiko onder hierdie kategorieë bepaal die finale risikovlak van die lêer.

Navorsing en Analise

Die navorsingsfunksie van Amazon Macie maak dit moontlik om aangepaste navrae oor alle Macie-data vir diepgaande analise uit te voer. Filtre sluit CloudTrail-data, S3-emmer-eienskappe en S3-voorwerpe in. Dit ondersteun ook die uitnodiging van ander rekeninge om Amazon Macie te deel, wat samewerkende datamanagement en sekuriteitsmonitering fasiliteer.

Enumerasie

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Na-Exploit

Vanuit 'n aanvaller se perspektief is hierdie diens nie ontwerp om die aanvaller op te spoor nie, maar om sensitiewe inligting in die gestoorde lêers op te spoor. Daarom kan hierdie diens 'n aanvaller help om sensitiewe inligting binne die emmers te vind. Dalk kan 'n aanvaller egter ook belangstel om dit te ontwrig ten einde te voorkom dat die slagoffer waarskuwings ontvang en om daardie inligting makliker te steel.

TODO: PR's is welkom!

Verwysings

https://cloudacademy.com/blog/introducing-aws-security-hub/

Leer AWS-hacking van nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

As jy wil sien dat jou maatskappy geadverteer word in HackTricks of HackTricks aflaai in PDF-formaat, kyk na die SUBSCRIPTION PLANS!
Kry die amptelike PEASS & HackTricks swag
Ontdek The PEASS Family, ons versameling eksklusiewe NFTs
Sluit aan by die 💬 Discord-groep of die telegram-groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel jou hacktruuks deur PR's in te dien by die HackTricks en HackTricks Cloud github-opslag.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 9 months ago