AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie hebt sich als ein Dienst hervor, der automatisch Daten innerhalb eines AWS-Kontos erkennen, klassifizieren und identifizieren kann. Er nutzt maschinelles Lernen, um Daten kontinuierlich zu überwachen und zu analysieren, wobei der Schwerpunkt auf der Erkennung und Alarmierung bei ungewöhnlichen oder verdächtigen Aktivitäten liegt, indem CloudTrail-Ereignisdaten und Benutzerverhaltensmuster untersucht werden.
Wichtige Funktionen von Amazon Macie:
Aktive Datenüberprüfung: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen im AWS-Konto stattfinden.
Anomalieerkennung: Identifiziert unregelmäßige Aktivitäten oder Zugriffsverhalten und generiert Alarme, um potenzielle Risiken für die Datensicherheit zu mindern.
Kontinuierliche Überwachung: Überwacht und erkennt automatisch neue Daten in Amazon S3 und verwendet maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Zugriffsverhalten anzupassen.
Datenklassifizierung mit NLP: Nutzt die Verarbeitung natürlicher Sprache (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, wobei Risikopunkte zugewiesen werden, um die Ergebnisse zu priorisieren.
Sicherheitsüberwachung: Identifiziert sicherheitsrelevante Daten, einschließlich API-Schlüssel, geheimer Schlüssel und persönlicher Informationen, um Datenlecks zu verhindern.
Amazon Macie ist ein regionaler Dienst und erfordert die IAM-Rolle 'AWSMacieServiceCustomerSetupRole' sowie einen aktivierten AWS CloudTrail für die Funktionalität.
Macie kategorisiert Alarme in vordefinierte Kategorien wie:
Anonymisierter Zugriff
Datenkonformität
Verlust von Anmeldeinformationen
Privilegieneskalation
Ransomware
Verdächtiger Zugriff usw.
Diese Alarme bieten detaillierte Beschreibungen und Ergebnisanalysen für eine effektive Reaktion und Lösung.
Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich:
S3-Objekte (nach Zeitbereich, ACL, PII)
Hochrisiko-CloudTrail-Ereignisse/-Benutzer
Aktivitätsstandorte
CloudTrail-Benutzeridentitätstypen und mehr.
Benutzer werden basierend auf dem Risikoniveau ihrer API-Aufrufe in Kategorien eingeteilt:
Platin: Hochrisiko-API-Aufrufe, oft mit Administratorrechten.
Gold: Infrastrukturbezogene API-Aufrufe.
Silber: Mittelrisiko-API-Aufrufe.
Bronze: Niedrigrisiko-API-Aufrufe.
Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen.
Die Datenklassifizierung umfasst:
Inhaltstyp: Basierend auf dem erkannten Inhaltstyp.
Dateierweiterung: Basierend auf der Dateierweiterung.
Thema: Kategorisiert nach Schlüsselwörtern innerhalb von Dateien.
Regex: Kategorisiert basierend auf spezifischen Regex-Mustern.
Das höchste Risiko unter diesen Kategorien bestimmt das endgültige Risikoniveau der Datei.
Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es die Einladung anderer Konten zur gemeinsamen Nutzung von Amazon Macie, um die gemeinsame Datenverwaltung und Sicherheitsüberwachung zu erleichtern.
Aus der Perspektive eines Angreifers ist dieser Dienst nicht dazu gedacht, den Angreifer zu erkennen, sondern um sensible Informationen in den gespeicherten Dateien zu erkennen. Daher könnte dieser Dienst einem Angreifer helfen, sensible Informationen in den Buckets zu finden. Vielleicht könnte ein Angreifer jedoch auch daran interessiert sein, ihn zu stören, um zu verhindern, dass das Opfer Warnungen erhält und diese Informationen leichter stehlen kann.
TODO: PRs sind willkommen!
Lerne & übe AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Lerne & übe GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)