AWS - Macie Enum

AWS - Απαρίθμηση Macie

Μάθετε το χάκινγκ στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι υποστήριξης του HackTricks:

Macie

Το Amazon Macie ξεχωρίζει ως ένα υπηρεσία που σχεδιάστηκε για να ανιχνεύει, ταξινομεί και αναγνωρίζει αυτόματα τα δεδομένα εντός ενός λογαριασμού AWS. Χρησιμοποιεί μηχανική μάθηση για να παρακολουθεί και αναλύει συνεχώς τα δεδομένα, επικεντρώνοντας κυρίως στην ανίχνευση και την ειδοποίηση για ασυνήθιστες ή ύποπτες δραστηριότητες εξετάζοντας τα δεδομένα γεγονότων του cloud trail και τα πρότυπα συμπεριφοράς των χρηστών.

Βασικά χαρακτηριστικά του Amazon Macie:

  1. Ενεργή αναθεώρηση δεδομένων: Χρησιμοποιεί μηχανική μάθηση για να αναθεωρεί ενεργά τα δεδομένα καθώς συμβαίνουν διάφορες ενέργειες εντός του λογαριασμού AWS.

  2. Ανίχνευση ανωμαλιών: Ανιχνεύει ανεπανόρθωτες δραστηριότητες ή πρότυπα πρόσβασης, δημιουργώντας ειδοποιήσεις για την αντιμετώπιση των δυνητικών κινδύνων αποκάλυψης δεδομένων.

  3. Συνεχής παρακολούθηση: Αυτόματα παρακολουθεί και ανιχνεύει νέα δεδομένα στο Amazon S3, χρησιμοποιώντας μηχανική μάθηση και τεχνητή νοημοσύνη για να προσαρμοστεί στα πρότυπα πρόσβασης δεδομένων με τον χρόνο.

  4. Ταξινόμηση δεδομένων με NLP: Χρησιμοποιεί επεξεργασία φυσικής γλώσσας (NLP) για να ταξινομήσει και να ερμηνεύσει διάφορους τύπους δεδομένων, αντιστοιχίζοντας βαθμολογίες κινδύνου για να προτεραιοποιήσει τα ευρήματα.

  5. Παρακολούθηση ασφάλειας: Ανιχνεύει δεδομένα που είναι ευαίσθητα από πλευράς ασφάλειας, όπως κλειδιά API, μυστικά κλειδιά και προσωπικές πληροφορίες, βοηθώντας στην πρόληψη διαρροής δεδομένων.

Το Amazon Macie είναι μια περιφερειακή υπηρεσία και απαιτεί τον ρόλο IAM 'AWSMacieServiceCustomerSetupRole' και ένα ενεργοποιημένο AWS CloudTrail για τη λειτουργικότητά του.

Σύστημα ειδοποιήσεων

Το Macie κατηγοριοποιεί τις ειδοποιήσεις σε προκαθορισμένες κατηγορίες όπως:

  • Ανώνυμη πρόσβαση

  • Συμμόρφωση δεδομένων

  • Απώλεια διαπιστευτηρίων

  • Ανόδος δικαιωμάτων

  • Ransomware

  • Ύποπτη πρόσβαση, κ.λπ.

Αυτές οι ειδοποιήσεις παρέχουν λεπτομερείς περιγραφές και αναλύσεις αποτελεσμάτων για αποτελεσματική ανταπόκριση και επίλυση.

Χαρακτηριστικά πίνακα ελέγχου

Ο πίνακας ελέγχου κατηγοριοποιεί τα δεδομένα σε διάφορες ενότητες, συμπεριλαμβανομένων:

  • Αντικείμενα S3 (ανά εύρος χρόνου, ACL, PII)

  • Υψηλού κινδύνου γεγονότα/χρήστες CloudTrail

  • Τοποθεσίες δραστηριότητας

  • Τύποι ταυτότητας χρήστη CloudTrail και άλλα.

Κατηγοριοποίηση χρηστών

Οι χρήστες κατηγοριοποιούνται σε επίπεδα με βάση το επίπεδο κινδύνου των κλήσεων τους στο API:

  • Πλατίνα: Κλήσεις API υψηλού κινδύνου, συχνά με προνόμια διαχειριστή.

  • Χρυσός: Κλήσεις API που σχετίζονται με την υποδομή.

  • Ασημένιος: Κλήσεις API με μέτριο κίνδυνο.

  • Χάλκινος: Κλήσεις API χαμηλού κινδύνου.

Τύποι ταυτότητας

Οι τύποι ταυτότητας περιλαμβάνουν τη ρίζα, τον χρήστη IAM, τον υποθετικό ρόλο, τον συνδεδεμένο χρήστη, τον λογαριασμό AWS και την υπηρεσία AWS, δείχνοντας την πηγή τω

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Μετά την Εκμετάλλευση

Από την οπτική γωνία ενός επιτιθέμενου, αυτή η υπηρεσία δεν έχει σχεδιαστεί για να ανιχνεύει τον επιτιθέμενο, αλλά για να ανιχνεύει ευαίσθητες πληροφορίες στα αποθηκευμένα αρχεία. Επομένως, αυτή η υπηρεσία μπορεί να βοηθήσει έναν επιτιθέμενο να βρει ευαίσθητες πληροφορίες μέσα στα καδούς. Ωστόσο, ίσως ένας επιτιθέμενος να ενδιαφέρεται επίσης να την αναταράξει προκειμένου να εμποδίσει το θύμα από το να λαμβάνει ειδοποιήσεις και να κλέψει ευκολότερα αυτές τις πληροφορίες.

TODO: Οι PRs είναι ευπρόσδεκτες!

Αναφορές

Μάθετε το hacking στο AWS από το μηδέν μέχρι τον ήρωα με το htARTE (HackTricks AWS Red Team Expert)!

Άλλοι τρόποι για να υποστηρίξετε το HackTricks:

Last updated