AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie se destaca como un servicio diseñado para detectar, clasificar e identificar datos automáticamente dentro de una cuenta de AWS. Aprovecha el aprendizaje automático para monitorear y analizar continuamente los datos, enfocándose principalmente en detectar y alertar sobre actividades inusuales o sospechosas al examinar los datos de eventos de cloud trail y los patrones de comportamiento de los usuarios.
Características clave de Amazon Macie:
Revisión activa de datos: Emplea aprendizaje automático para revisar datos activamente a medida que ocurren diversas acciones dentro de la cuenta de AWS.
Detección de anomalías: Identifica actividades o patrones de acceso irregulares, generando alertas para mitigar posibles riesgos de exposición de datos.
Monitoreo continuo: Monitorea y detecta automáticamente nuevos datos en Amazon S3, empleando aprendizaje automático e inteligencia artificial para adaptarse a los patrones de acceso a los datos con el tiempo.
Clasificación de datos con NLP: Utiliza procesamiento de lenguaje natural (NLP) para clasificar e interpretar diferentes tipos de datos, asignando puntajes de riesgo para priorizar hallazgos.
Monitoreo de seguridad: Identifica datos sensibles a la seguridad, incluidos claves API, claves secretas e información personal, ayudando a prevenir filtraciones de datos.
Amazon Macie es un servicio regional y requiere el 'AWSMacieServiceCustomerSetupRole' IAM Role y un AWS CloudTrail habilitado para su funcionalidad.
Macie categoriza las alertas en categorías predefinidas como:
Acceso anonimizado
Cumplimiento de datos
Pérdida de credenciales
Escalación de privilegios
Ransomware
Acceso sospechoso, etc.
Estas alertas proporcionan descripciones detalladas y desgloses de resultados para una respuesta y resolución efectivas.
El panel categoriza los datos en varias secciones, incluyendo:
Objetos S3 (por rango de tiempo, ACL, PII)
Eventos/usuarios de CloudTrail de alto riesgo
Ubicaciones de actividad
Tipos de identidad de usuario de CloudTrail, y más.
Los usuarios se clasifican en niveles según el nivel de riesgo de sus llamadas a la API:
Platino: Llamadas a la API de alto riesgo, a menudo con privilegios de administrador.
Oro: Llamadas a la API relacionadas con la infraestructura.
Plata: Llamadas a la API de riesgo medio.
Bronce: Llamadas a la API de bajo riesgo.
Los tipos de identidad incluyen Root, usuario IAM, Rol Asumido, Usuario Federado, Cuenta AWS y Servicio AWS, indicando la fuente de las solicitudes.
La clasificación de datos abarca:
Tipo de Contenido: Basado en el tipo de contenido detectado.
Extensión de Archivo: Basado en la extensión del archivo.
Tema: Clasificado por palabras clave dentro de los archivos.
Regex: Clasificado según patrones regex específicos.
El mayor riesgo entre estas categorías determina el nivel de riesgo final del archivo.
La función de investigación de Amazon Macie permite consultas personalizadas en todos los datos de Macie para un análisis profundo. Los filtros incluyen Datos de CloudTrail, propiedades de Bucket S3 y Objetos S3. Además, admite invitar a otras cuentas a compartir Amazon Macie, facilitando la gestión colaborativa de datos y el monitoreo de seguridad.
Desde la perspectiva de un atacante, este servicio no está diseñado para detectar al atacante, sino para detectar información sensible en los archivos almacenados. Por lo tanto, este servicio podría ayudar a un atacante a encontrar información sensible dentro de los buckets. Sin embargo, tal vez un atacante también podría estar interesado en interrumpirlo para evitar que la víctima reciba alertas y robar esa información más fácilmente.
TODO: ¡Se aceptan PRs!
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)