AWS - Macie Enum
AWS - Macie Enum
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Macie
Amazon Macie se distingue comme un service conçu pour détecter, classer et identifier automatiquement les données au sein d'un compte AWS. Il utilise l'apprentissage automatique pour surveiller et analyser en continu les données, se concentrant principalement sur la détection et l'alerte contre des activités inhabituelles ou suspectes en examinant les données des événements de cloud trail et les modèles de comportement des utilisateurs.
Caractéristiques clés d'Amazon Macie :
Revue active des données : Utilise l'apprentissage automatique pour examiner activement les données à mesure que diverses actions se produisent au sein du compte AWS.
Détection d'anomalies : Identifie les activités ou les modèles d'accès irréguliers, générant des alertes pour atténuer les risques potentiels d'exposition des données.
Surveillance continue : Surveille et détecte automatiquement les nouvelles données dans Amazon S3, utilisant l'apprentissage automatique et l'intelligence artificielle pour s'adapter aux modèles d'accès aux données au fil du temps.
Classification des données avec le NLP : Utilise le traitement du langage naturel (NLP) pour classer et interpréter différents types de données, attribuant des scores de risque pour prioriser les résultats.
Surveillance de la sécurité : Identifie les données sensibles à la sécurité, y compris les clés API, les clés secrètes et les informations personnelles, aidant à prévenir les fuites de données.
Amazon Macie est un service régional et nécessite le rôle IAM 'AWSMacieServiceCustomerSetupRole' et un AWS CloudTrail activé pour fonctionner.
Système d'alerte
Macie catégorise les alertes en catégories prédéfinies telles que :
Accès anonymisé
Conformité des données
Perte de crédentiels
Escalade de privilèges
Ransomware
Accès suspect, etc.
Ces alertes fournissent des descriptions détaillées et des décompositions des résultats pour une réponse et une résolution efficaces.
Fonctionnalités du tableau de bord
Le tableau de bord catégorise les données en différentes sections, y compris :
Objets S3 (par plage de temps, ACL, PII)
Événements/utilisateurs CloudTrail à haut risque
Lieux d'activité
Types d'identité des utilisateurs CloudTrail, et plus encore.
Catégorisation des utilisateurs
Les utilisateurs sont classés en niveaux en fonction du niveau de risque de leurs appels API :
Platine : Appels API à haut risque, souvent avec des privilèges d'administrateur.
Or : Appels API liés à l'infrastructure.
Argent : Appels API à risque moyen.
Bronze : Appels API à faible risque.
Types d'identité
Les types d'identité incluent Root, utilisateur IAM, rôle assumé, utilisateur fédéré, compte AWS et service AWS, indiquant la source des demandes.
Classification des données
La classification des données englobe :
Type de contenu : Basé sur le type de contenu détecté.
Extension de fichier : Basé sur l'extension de fichier.
Thème : Catégorisé par des mots-clés dans les fichiers.
Regex : Catégorisé en fonction de modèles regex spécifiques.
Le risque le plus élevé parmi ces catégories détermine le niveau de risque final du fichier.
Recherche et analyse
La fonction de recherche d'Amazon Macie permet des requêtes personnalisées sur toutes les données Macie pour une analyse approfondie. Les filtres incluent les données CloudTrail, les propriétés des buckets S3 et les objets S3. De plus, elle prend en charge l'invitation d'autres comptes à partager Amazon Macie, facilitant la gestion collaborative des données et la surveillance de la sécurité.
Enumeration
Post Exploitation
Du point de vue d'un attaquant, ce service n'est pas conçu pour détecter l'attaquant, mais pour détecter des informations sensibles dans les fichiers stockés. Par conséquent, ce service pourrait aider un attaquant à trouver des informations sensibles à l'intérieur des buckets. Cependant, peut-être qu'un attaquant pourrait également être intéressé à le perturber afin d'empêcher la victime de recevoir des alertes et de voler ces informations plus facilement.
TODO: Les PRs sont les bienvenues !
Références
Apprenez et pratiquez le Hacking AWS :HackTricks Training AWS Red Team Expert (ARTE) Apprenez et pratiquez le Hacking GCP : HackTricks Training GCP Red Team Expert (GRTE)
Last updated