AWS - CloudWatch Enum

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

CloudWatch

CloudWatch निगरानी और संचालन डेटा को लॉग/मेट्रिक्स/इवेंट के रूप में एकत्र करता है, जो AWS संसाधनों, अनुप्रयोगों और सेवाओं का एकीकृत दृश्य प्रदान करता है। CloudWatch लॉग इवेंट में प्रत्येक लॉग लाइन पर 256KB का आकार सीमा होती है। यह उच्च संकल्प अलार्म सेट कर सकता है, लॉग और मेट्रिक्स को एक साथ दृश्य में दिखा सकता है, स्वचालित क्रियाएँ कर सकता है, समस्याओं का समाधान कर सकता है, और अनुप्रयोगों को अनुकूलित करने के लिए अंतर्दृष्टि खोज सकता है।

आप उदाहरण के लिए CloudTrail से लॉग की निगरानी कर सकते हैं। जिन घटनाओं की निगरानी की जाती है:

सुरक्षा समूहों और NACL में परिवर्तन
EC2 उदाहरणों को प्रारंभ करना, रोकना, पुनरारंभ करना और समाप्त करना
IAM और S3 के भीतर सुरक्षा नीतियों में परिवर्तन
AWS प्रबंधन कंसोल में असफल लॉगिन प्रयास
API कॉल जो असफल प्राधिकरण में परिणत हुई
CloudWatch में खोजने के लिए फ़िल्टर: https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/FilterAndPatternSyntax.html

Key concepts

Namespaces

एक नामस्थान CloudWatch मेट्रिक्स के लिए एक कंटेनर है। यह मेट्रिक्स को वर्गीकृत और अलग करने में मदद करता है, जिससे उन्हें प्रबंधित और विश्लेषण करना आसान हो जाता है।

उदाहरण: EC2-संबंधित मेट्रिक्स के लिए AWS/EC2, RDS मेट्रिक्स के लिए AWS/RDS।

Metrics

मेट्रिक्स समय के साथ एकत्र किए गए डेटा बिंदु होते हैं जो AWS संसाधनों के प्रदर्शन या उपयोग को दर्शाते हैं। मेट्रिक्स को AWS सेवाओं, कस्टम अनुप्रयोगों, या तृतीय-पक्ष एकीकरण से एकत्र किया जा सकता है।

उदाहरण: CPUUtilization, NetworkIn, DiskReadOps।

Dimensions

Dimensions मेट्रिक्स का हिस्सा होते हैं जो कुंजी-मूल्य जोड़े होते हैं। वे एक मेट्रिक की अद्वितीय पहचान करने में मदद करते हैं और अतिरिक्त संदर्भ प्रदान करते हैं, एक मेट्रिक के साथ जुड़े अधिकतम 30 आयाम होते हैं। Dimensions विशिष्ट विशेषताओं के आधार पर मेट्रिक्स को फ़िल्टर और समेकित करने की अनुमति भी देते हैं।

उदाहरण: EC2 उदाहरणों के लिए, आयामों में InstanceId, InstanceType, और AvailabilityZone शामिल हो सकते हैं।

Statistics

Statistics मेट्रिक डेटा पर किए गए गणितीय गणनाएँ हैं जो इसे समय के साथ संक्षिप्त करती हैं। सामान्य सांख्यिकी में औसत, योग, न्यूनतम, अधिकतम, और नमूना गणना शामिल हैं।

उदाहरण: एक घंटे की अवधि में औसत CPU उपयोग की गणना करना।

Units

Units एक मेट्रिक से जुड़े मापने के प्रकार होते हैं। Units मेट्रिक डेटा को संदर्भ और अर्थ प्रदान करने में मदद करते हैं। सामान्य इकाइयों में प्रतिशत, बाइट्स, सेकंड, गणना शामिल हैं।

उदाहरण: CPUUtilization को प्रतिशत में मापा जा सकता है, जबकि NetworkIn को बाइट्स में मापा जा सकता है।

CloudWatch Features

Dashboard

CloudWatch डैशबोर्ड आपके AWS CloudWatch मेट्रिक्स के अनुकूलन योग्य दृश्यों को प्रदान करते हैं। डेटा को दृश्य में देखने और संसाधनों की निगरानी करने के लिए डैशबोर्ड बनाने और कॉन्फ़िगर करना संभव है, विभिन्न AWS सेवाओं से विभिन्न मेट्रिक्स को संयोजित करना।

मुख्य विशेषताएँ:

विजेट्स: डैशबोर्ड के निर्माण खंड, जिसमें ग्राफ़, पाठ, अलार्म, और अधिक शामिल हैं।
कस्टमाइज़ेशन: लेआउट और सामग्री को विशिष्ट निगरानी आवश्यकताओं के अनुसार अनुकूलित किया जा सकता है।

उदाहरण उपयोग मामला:

आपके पूरे AWS वातावरण के लिए प्रमुख मेट्रिक्स दिखाने वाला एकल डैशबोर्ड, जिसमें EC2 उदाहरण, RDS डेटाबेस, और S3 बकेट शामिल हैं।

Metric Stream and Metric Data

Metric Streams AWS CloudWatch में आपको लगभग वास्तविक समय में CloudWatch मेट्रिक्स को आपके द्वारा चुने गए गंतव्य पर निरंतर स्ट्रीम करने की अनुमति देते हैं। यह उन्नत निगरानी, विश्लेषण, और AWS के बाहर के उपकरणों का उपयोग करके कस्टम डैशबोर्ड के लिए विशेष रूप से उपयोगी है।

Metric Data Metric Streams के भीतर उन वास्तविक मापों या डेटा बिंदुओं को संदर्भित करता है जो स्ट्रीम किए जा रहे हैं। ये डेटा बिंदु विभिन्न मेट्रिक्स जैसे CPU उपयोग, मेमोरी उपयोग, आदि का प्रतिनिधित्व करते हैं, AWS संसाधनों के लिए।

उदाहरण उपयोग मामला:

उन्नत विश्लेषण के लिए एक तृतीय-पक्ष निगरानी सेवा को वास्तविक समय के मेट्रिक्स भेजना।
दीर्घकालिक भंडारण और अनुपालन के लिए Amazon S3 बकेट में मेट्रिक्स का संग्रहण करना।

Alarm

CloudWatch अलार्म आपके मेट्रिक्स की निगरानी करते हैं और पूर्वनिर्धारित थ्रेशोल्ड के आधार पर क्रियाएँ करते हैं। जब कोई मेट्रिक एक थ्रेशोल्ड को पार करता है, तो अलार्म एक या एक से अधिक क्रियाएँ कर सकता है जैसे कि SNS के माध्यम से सूचनाएँ भेजना, ऑटो-स्केलिंग नीति को सक्रिय करना, या AWS Lambda फ़ंक्शन चलाना।

मुख्य घटक:

थ्रेशोल्ड: वह मान जिस पर अलार्म सक्रिय होता है।
मूल्यांकन अवधि: वह अवधि जिसमें डेटा का मूल्यांकन किया जाता है।
अलार्म के लिए डेटा बिंदु: अलार्म को सक्रिय करने के लिए आवश्यक पहुंची थ्रेशोल्ड के साथ अवधि की संख्या।
क्रियाएँ: जब अलार्म स्थिति सक्रिय होती है तो क्या होता है (जैसे, SNS के माध्यम से सूचित करना)।

उदाहरण उपयोग मामला:

EC2 उदाहरण CPU उपयोग की निगरानी करना और यदि यह 80% के लिए 5 लगातार मिनटों तक बढ़ता है तो SNS के माध्यम से एक सूचना भेजना।

Anomaly Detectors

Anomaly Detectors मशीन लर्निंग का उपयोग करके आपके मेट्रिक्स में स्वचालित रूप से विसंगतियों का पता लगाते हैं। आप किसी भी CloudWatch मेट्रिक पर विसंगति पहचान लागू कर सकते हैं ताकि सामान्य पैटर्न से विचलनों की पहचान की जा सके जो समस्याओं का संकेत दे सकती हैं।

मुख्य घटक:

मॉडल प्रशिक्षण: CloudWatch ऐतिहासिक डेटा का उपयोग करके एक मॉडल को प्रशिक्षित करता है और यह स्थापित करता है कि सामान्य व्यवहार कैसा दिखता है।
विसंगति पहचान बैंड: एक मेट्रिक के लिए अपेक्षित मानों की सीमा का दृश्य प्रतिनिधित्व।

उदाहरण उपयोग मामला:

EC2 उदाहरण में असामान्य CPU उपयोग पैटर्न का पता लगाना जो सुरक्षा उल्लंघन या अनुप्रयोग समस्या का संकेत दे सकता है।

Insight Rules and Managed Insight Rules

Insight Rules आपको अपने मेट्रिक डेटा में रुझानों की पहचान करने, स्पाइक्स का पता लगाने, या अन्य रुचि के पैटर्न का पता लगाने की अनुमति देते हैं, शक्तिशाली गणितीय अभिव्यक्तियों का उपयोग करके उन स्थितियों को परिभाषित करते हैं जिनके तहत क्रियाएँ की जानी चाहिए। ये नियम आपको अपने संसाधन प्रदर्शन और उपयोग में विसंगतियों या असामान्य व्यवहार की पहचान करने में मदद कर सकते हैं।

Managed Insight Rules पूर्व-निर्धारित Insight Rules हैं जो AWS द्वारा प्रदान की जाती हैं। ये विशिष्ट AWS सेवाओं या सामान्य उपयोग मामलों की निगरानी के लिए डिज़ाइन की गई हैं और बिना विस्तृत कॉन्फ़िगरेशन की आवश्यकता के सक्षम की जा सकती हैं।

उदाहरण उपयोग मामला:

RDS प्रदर्शन की निगरानी: Amazon RDS के लिए एक प्रबंधित अंतर्दृष्टि नियम सक्षम करें जो CPU उपयोग, मेमोरी उपयोग, और डिस्क I/O जैसे प्रमुख प्रदर्शन संकेतकों की निगरानी करता है। यदि इनमें से कोई भी मेट्रिक सुरक्षित संचालन थ्रेशोल्ड को पार करता है, तो नियम एक अलर्ट या स्वचालित शमन क्रिया को सक्रिय कर सकता है।

CloudWatch Logs

अनुप्रयोगों और सिस्टमों से लॉग को एकत्रित और निगरानी करने की अनुमति देता है AWS सेवाओं (जिसमें CloudTrail शामिल है) और ऐप्स/सिस्टम से (CloudWatch एजेंट को एक होस्ट पर स्थापित किया जा सकता है)। लॉग को अनिश्चितकालीन (लॉग समूह सेटिंग्स के आधार पर) संग्रहीत किया जा सकता है और निर्यात किया जा सकता है।

तत्व:

लॉग समूह

एक लॉग स्ट्रीम का संग्रह जो समान रिटेंशन, निगरानी, और एक्सेस नियंत्रण सेटिंग्स साझा करता है

लॉग स्ट्रीम

एक लॉग इवेंट्स का अनुक्रम जो समान स्रोत साझा करता है

सदस्यता फ़िल्टर

एक फ़िल्टर पैटर्न परिभाषित करें जो घटनाओं से मेल खाता है एक विशेष लॉग समूह में, उन्हें Kinesis डेटा फायरहोज़ स्ट्रीम, Kinesis स्ट्रीम, या एक Lambda फ़ंक्शन पर भेजें

CloudWatch Monitoring & Events

CloudWatch बुनियादी हर 5 मिनट में डेटा को एकत्रित करता है (वह विस्तृत हर 1 मिनट में करता है)। एकत्रण के बाद, यह अलार्म के थ्रेशोल्ड की जांच करता है यदि इसे एक को सक्रिय करने की आवश्यकता है। इस मामले में, CloudWatch एक इवेंट भेजने और कुछ स्वचालित क्रियाएँ करने के लिए तैयार हो सकता है (AWS Lambda फ़ंक्शन, SNS विषय, SQS कतारें, Kinesis स्ट्रीम)

Agent Installation

आप अपने मशीनों/कंटेनरों के अंदर एजेंट स्थापित कर सकते हैं ताकि स्वचालित रूप से लॉग को CloudWatch पर वापस भेजा जा सके।

एक भूमिका बनाएं और इंस्टेंस से संलग्न करें जिसमें CloudWatch को इंस्टेंस से डेटा एकत्र करने के लिए अनुमति देने वाले अनुमतियाँ हों, इसके अलावा AWS सिस्टम प्रबंधक SSM के साथ बातचीत करने के लिए (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
एजेंट को EC2 उदाहरण पर डाउनलोड और स्थापित करें (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). आप इसे EC2 के अंदर से डाउनलोड कर सकते हैं या AWS सिस्टम प्रबंधक का उपयोग करके स्वचालित रूप से स्थापित कर सकते हैं, पैकेज AWS-ConfigureAWSPackage का चयन करके।
CloudWatch एजेंट को कॉन्फ़िगर और शुरू करें।

एक लॉग समूह में कई स्ट्रीम होते हैं। एक स्ट्रीम में कई इवेंट होते हैं। और प्रत्येक स्ट्रीम के अंदर, इवेंट क्रम में होने की गारंटी होती है।

Enumeration

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Exploitation / Bypass

`cloudwatch:DeleteAlarms`,`cloudwatch:PutMetricAlarm` , `cloudwatch:PutCompositeAlarm`

इस अनुमति के साथ एक हमलावर एक संगठन की निगरानी और अलर्टिंग अवसंरचना को महत्वपूर्ण रूप से कमजोर कर सकता है। मौजूदा अलार्मों को हटाकर, एक हमलावर महत्वपूर्ण प्रदर्शन मुद्दों, सुरक्षा उल्लंघनों, या संचालन विफलताओं के बारे में प्रशासकों को सूचित करने वाले महत्वपूर्ण अलर्ट को निष्क्रिय कर सकता है। इसके अलावा, मेट्रिक अलार्मों को बनाने या संशोधित करके, हमलावर प्रशासकों को गलत अलर्ट के साथ भ्रामक जानकारी दे सकता है या वैध अलार्मों को चुप करा सकता है, प्रभावी रूप से दुर्भावनापूर्ण गतिविधियों को छिपा सकता है और वास्तविक घटनाओं के लिए समय पर प्रतिक्रिया को रोक सकता है।

इसके अलावा, cloudwatch:PutCompositeAlarm अनुमति के साथ, एक हमलावर समग्र अलार्मों का एक लूप या चक्र बनाने में सक्षम होगा, जहां समग्र अलार्म A समग्र अलार्म B पर निर्भर करता है, और समग्र अलार्म B भी समग्र अलार्म A पर निर्भर करता है। इस परिदृश्य में, चक्र का हिस्सा होने वाले किसी भी समग्र अलार्म को हटाना संभव नहीं है क्योंकि हमेशा एक समग्र अलार्म होता है जो उस अलार्म पर निर्भर करता है जिसे आप हटाना चाहते हैं।

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

The following example shows how to make a metric alarm ineffective:

यह मेट्रिक अलार्म एक विशिष्ट EC2 इंस्टेंस की औसत CPU उपयोगिता की निगरानी करता है, हर 300 सेकंड में मेट्रिक का मूल्यांकन करता है और 6 मूल्यांकन अवधियों की आवश्यकता होती है (कुल 30 मिनट)। यदि औसत CPU उपयोगिता इन अवधियों में से कम से कम 4 के लिए 60% से अधिक हो जाती है, तो अलार्म ट्रिगर होगा और निर्दिष्ट SNS विषय को एक सूचना भेजेगा।
थ्रेशोल्ड को 99% से अधिक, पीरियड को 10 सेकंड, मूल्यांकन अवधियों को 8640 (क्योंकि 10 सेकंड के 8640 अवधियों का मतलब 1 दिन है), और डाटापॉइंट्स को अलार्म के लिए 8640 सेट करके, CPU उपयोगिता को पूरे 24 घंटे की अवधि में हर 10 सेकंड में 99% से अधिक होना आवश्यक होगा ताकि अलार्म ट्रिगर हो सके।

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": [
"arn:aws:sns:us-east-1:123456789012:example_sns"
],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0645d6d414dadf9f8"
}
],
"AlarmActions": [],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 8640,
"EvaluationPeriods": 8640,
"Period": 10,
"Statistic": "Average",
"Threshold": 99,
"AlarmDescription": "CPU Utilization of i-01234567890123456 with 60% as threshold",
"AlarmName": "Instance i-0645d6d414dadf9f8 CPU Utilization"
}

संभावित प्रभाव: महत्वपूर्ण घटनाओं के लिए सूचनाओं की कमी, संभावित अनदेखी समस्याएँ, झूठी चेतावनियाँ, वास्तविक चेतावनियों को दबाना और वास्तविक घटनाओं की पहचान को संभावित रूप से चूकना।

`cloudwatch:DeleteAlarmActions`, `cloudwatch:EnableAlarmActions`, `cloudwatch:SetAlarmState`

अलार्म क्रियाओं को हटाकर, हमलावर महत्वपूर्ण अलर्ट और स्वचालित प्रतिक्रियाओं को रोक सकता है जब अलार्म स्थिति प्राप्त होती है, जैसे कि प्रशासकों को सूचित करना या ऑटो-स्केलिंग गतिविधियों को सक्रिय करना। अनुचित रूप से अलार्म क्रियाओं को सक्षम या पुनः सक्षम करना भी अप्रत्याशित व्यवहार का कारण बन सकता है, या तो पहले से अक्षम की गई क्रियाओं को फिर से सक्रिय करके या यह संशोधित करके कि कौन सी क्रियाएँ सक्रिय होती हैं, संभावित रूप से घटनाओं की प्रतिक्रिया में भ्रम और गलत दिशा का कारण बनता है।

इसके अलावा, एक हमलावर जिसके पास अनुमति है, अलार्म स्थितियों में हेरफेर कर सकता है, झूठे अलार्म बनाने में सक्षम हो सकता है ताकि प्रशासकों को विचलित और भ्रमित किया जा सके, या चल रही दुर्भावनापूर्ण गतिविधियों या महत्वपूर्ण प्रणाली विफलताओं को छिपाने के लिए वास्तविक अलार्मों को चुप करा सके।

यदि आप SetAlarmState का उपयोग करते हैं एक समग्र अलार्म पर, तो समग्र अलार्म को इसकी वास्तविक स्थिति पर लौटने की गारंटी नहीं है। यह केवल तब अपनी वास्तविक स्थिति पर लौटता है जब इसके किसी भी बच्चे अलार्म की स्थिति बदलती है। यदि आप इसकी कॉन्फ़िगरेशन को अपडेट करते हैं तो इसे फिर से मूल्यांकित किया जाता है।

aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

संभावित प्रभाव: महत्वपूर्ण घटनाओं के लिए सूचनाओं की कमी, संभावित अप्रयुक्त मुद्दे, गलत अलर्ट, वास्तविक अलर्ट को दबाना और वास्तविक घटनाओं की संभावित पहचान को चूकना।

`cloudwatch:DeleteAnomalyDetector`, `cloudwatch:PutAnomalyDetector`

एक हमलावर मेट्रिक डेटा में असामान्य पैटर्न या विसंगतियों का पता लगाने और प्रतिक्रिया देने की क्षमता को कमजोर कर सकेगा। मौजूदा विसंगति डिटेक्टर्स को हटाकर, एक हमलावर महत्वपूर्ण अलर्टिंग तंत्र को निष्क्रिय कर सकता है; और उन्हें बनाने या संशोधित करके, यह या तो गलत कॉन्फ़िगर कर सकेगा या ध्यान भटकाने या निगरानी को अभिभूत करने के लिए गलत सकारात्मक बना सकेगा।

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

उदाहरण दिखाता है कि एक मैट्रिक विसंगति डिटेक्टर को कैसे अप्रभावी बनाया जाए। यह मैट्रिक विसंगति डिटेक्टर एक विशिष्ट EC2 उदाहरण के औसत CPU उपयोग की निगरानी करता है, और बस “ExcludedTimeRanges” पैरामीटर को वांछित समय सीमा के साथ जोड़ने से यह सुनिश्चित करने के लिए पर्याप्त होगा कि विसंगति डिटेक्टर उस अवधि के दौरान किसी भी प्रासंगिक डेटा का विश्लेषण या अलर्ट नहीं करता है।

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
},
"Configuration": {
"ExcludedTimeRanges": [
{
"StartTime": "2023-01-01T00:00:00Z",
"EndTime": "2053-01-01T23:59:59Z"
}
],
"Timezone": "Europe/Madrid"
}
}

संभावित प्रभाव: असामान्य पैटर्न या सुरक्षा खतरों की पहचान पर प्रत्यक्ष प्रभाव।

`cloudwatch:DeleteDashboards`, `cloudwatch:PutDashboard`

एक हमलावर संगठन की निगरानी और दृश्यता क्षमताओं को उसके डैशबोर्ड बनाने, संशोधित करने या हटाने के द्वारा समझौता कर सकता है। इस अनुमति का उपयोग सिस्टम के प्रदर्शन और स्वास्थ्य की महत्वपूर्ण दृश्यता को हटाने, डैशबोर्ड को गलत डेटा प्रदर्शित करने के लिए बदलने या दुर्भावनापूर्ण गतिविधियों को छिपाने के लिए किया जा सकता है।

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

संभावित प्रभाव: निगरानी दृश्यता का नुकसान और भ्रामक जानकारी।

`cloudwatch:DeleteInsightRules`, `cloudwatch:PutInsightRule` ,`cloudwatch:PutManagedInsightRule`

Insight नियमों का उपयोग विसंगतियों का पता लगाने, प्रदर्शन को अनुकूलित करने और संसाधनों का प्रभावी ढंग से प्रबंधन करने के लिए किया जाता है। मौजूदा insight नियमों को हटाकर, एक हमलावर महत्वपूर्ण निगरानी क्षमताओं को हटा सकता है, जिससे प्रणाली प्रदर्शन मुद्दों और सुरक्षा खतरों के प्रति अंधी हो जाती है। इसके अतिरिक्त, एक हमलावर भ्रामक डेटा उत्पन्न करने या दुर्भावनापूर्ण गतिविधियों को छिपाने के लिए insight नियमों को बना या संशोधित कर सकता है, जिससे गलत निदान और संचालन टीम से अनुपयुक्त प्रतिक्रियाएँ हो सकती हैं।

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

संभावित प्रभाव: प्रदर्शन मुद्दों और विसंगतियों का पता लगाने और प्रतिक्रिया देने में कठिनाई, गलत जानकारी के आधार पर निर्णय लेना और संभावित रूप से दुर्भावनापूर्ण गतिविधियों या प्रणाली विफलताओं को छिपाना।

`cloudwatch:DisableInsightRules`, `cloudwatch:EnableInsightRules`

महत्वपूर्ण अंतर्दृष्टि नियमों को निष्क्रिय करके, एक हमलावर संगठन को प्रमुख प्रदर्शन और सुरक्षा मैट्रिक्स के प्रति अंधा कर सकता है। इसके विपरीत, भ्रामक नियमों को सक्षम या कॉन्फ़िगर करके, गलत डेटा उत्पन्न करना, शोर बनाना, या दुर्भावनापूर्ण गतिविधि को छिपाना संभव हो सकता है।

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

संभावित प्रभाव: संचालन टीम के बीच भ्रम, वास्तविक मुद्दों के प्रति देरी से प्रतिक्रिया और झूठे अलर्ट के आधार पर अनावश्यक कार्रवाई।

`cloudwatch:DeleteMetricStream` , `cloudwatch:PutMetricStream` , `cloudwatch:PutMetricData`

एक हमलावर के पास cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream अनुमतियाँ होने पर वह मेट्रिक डेटा स्ट्रीम बनाने और हटाने में सक्षम होगा, जिससे सुरक्षा, निगरानी और डेटा की अखंडता प्रभावित होगी:

दुष्ट स्ट्रीम बनाना: संवेदनशील डेटा को अनधिकृत स्थलों पर भेजने के लिए मेट्रिक स्ट्रीम बनाना।
संसाधन हेरफेर: अत्यधिक डेटा के साथ नए मेट्रिक स्ट्रीम बनाने से बहुत शोर उत्पन्न हो सकता है, जिससे गलत अलर्ट उत्पन्न होते हैं, और वास्तविक मुद्दों को छिपा दिया जाता है।
निगरानी में विघटन: मेट्रिक स्ट्रीम को हटाने से, हमलावर निरंतर निगरानी डेटा के प्रवाह को बाधित करेंगे। इस तरह, उनकी दुष्ट गतिविधियाँ प्रभावी रूप से छिपी रहेंगी।

इसी तरह, cloudwatch:PutMetricData अनुमति के साथ, मेट्रिक स्ट्रीम में डेटा जोड़ना संभव होगा। इससे DoS हो सकता है क्योंकि जो गलत डेटा जोड़ा गया है, उसकी मात्रा के कारण यह पूरी तरह से बेकार हो जाएगा।

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

EC2 इंस्टेंस पर CPU उपयोग के 70% के अनुरूप डेटा जोड़ने का उदाहरण:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

संभावित प्रभाव: निगरानी डेटा के प्रवाह में बाधा, असामान्यताओं और घटनाओं का पता लगाने पर प्रभाव, संसाधन हेरफेर और अत्यधिक मैट्रिक स्ट्रीम के निर्माण के कारण लागत में वृद्धि।

`cloudwatch:StopMetricStreams`, `cloudwatch:StartMetricStreams`

एक हमलावर प्रभावित मैट्रिक डेटा स्ट्रीम के प्रवाह को नियंत्रित करेगा (यदि कोई संसाधन प्रतिबंध नहीं है तो हर डेटा स्ट्रीम)। अनुमति cloudwatch:StopMetricStreams के साथ, हमलावर महत्वपूर्ण मैट्रिक स्ट्रीम को रोककर अपनी दुर्भावनापूर्ण गतिविधियों को छिपा सकते हैं।

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

संभावित प्रभाव: निगरानी डेटा के प्रवाह में बाधा, जो असामान्यताओं और घटनाओं की पहचान को प्रभावित करता है।

`cloudwatch:TagResource`, `cloudwatch:UntagResource`

एक हमलावर CloudWatch संसाधनों (वर्तमान में केवल अलार्म और Contributor Insights नियम) से टैग जोड़ने, संशोधित करने या हटाने में सक्षम होगा। इससे आपके संगठन की टैग के आधार पर पहुंच नियंत्रण नीतियों में बाधा आ सकती है।

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

संभावित प्रभाव: टैग-आधारित एक्सेस नियंत्रण नीतियों में विघटन।

संदर्भ

HackTricks का समर्थन करें

सदस्यता योजनाएँ देखें!
💬 Discord समूह या telegram समूह में शामिल हों या Twitter 🐦 पर हमें फॉलो करें @hacktricks_live.**
हैकिंग ट्रिक्स साझा करें और HackTricks और HackTricks Cloud गिटहब रिपोजिटरी में PR सबमिट करें।

PreviousAWS - CloudTrail Enum NextAWS - Config Enum

Last updated 3 days ago

CloudWatch

Key concepts

Namespaces

Metrics

Dimensions

Statistics

Units

CloudWatch Features

Dashboard

Metric Stream and Metric Data

Alarm

Anomaly Detectors

Insight Rules and Managed Insight Rules

CloudWatch Logs

CloudWatch Monitoring & Events

Agent Installation

Enumeration

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions, cloudwatch:SetAlarmState

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

cloudwatch:TagResource, cloudwatch:UntagResource

संदर्भ

CloudWatch

Key concepts

Namespaces

Metrics

Dimensions

Statistics

Units

CloudWatch Features

Dashboard

Metric Stream and Metric Data

Alarm

Anomaly Detectors

Insight Rules and Managed Insight Rules

CloudWatch Logs

CloudWatch Monitoring & Events

Agent Installation

Enumeration

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions, cloudwatch:SetAlarmState

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule ,cloudwatch:PutManagedInsightRule

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

cloudwatch:TagResource, cloudwatch:UntagResource

संदर्भ

`cloudwatch:DeleteAlarms`,`cloudwatch:PutMetricAlarm` , `cloudwatch:PutCompositeAlarm`

`cloudwatch:DeleteAlarmActions`, `cloudwatch:EnableAlarmActions`, `cloudwatch:SetAlarmState`

`cloudwatch:DeleteAnomalyDetector`, `cloudwatch:PutAnomalyDetector`

`cloudwatch:DeleteDashboards`, `cloudwatch:PutDashboard`

`cloudwatch:DeleteInsightRules`, `cloudwatch:PutInsightRule` ,`cloudwatch:PutManagedInsightRule`

`cloudwatch:DisableInsightRules`, `cloudwatch:EnableInsightRules`

`cloudwatch:DeleteMetricStream` , `cloudwatch:PutMetricStream` , `cloudwatch:PutMetricData`

`cloudwatch:StopMetricStreams`, `cloudwatch:StartMetricStreams`

`cloudwatch:TagResource`, `cloudwatch:UntagResource`

`cloudwatch:DeleteAlarms`,`cloudwatch:PutMetricAlarm` , `cloudwatch:PutCompositeAlarm`

`cloudwatch:DeleteAlarmActions`, `cloudwatch:EnableAlarmActions`, `cloudwatch:SetAlarmState`

`cloudwatch:DeleteAnomalyDetector`, `cloudwatch:PutAnomalyDetector`

`cloudwatch:DeleteDashboards`, `cloudwatch:PutDashboard`

`cloudwatch:DeleteInsightRules`, `cloudwatch:PutInsightRule` ,`cloudwatch:PutManagedInsightRule`

`cloudwatch:DisableInsightRules`, `cloudwatch:EnableInsightRules`

`cloudwatch:DeleteMetricStream` , `cloudwatch:PutMetricStream` , `cloudwatch:PutMetricData`

`cloudwatch:StopMetricStreams`, `cloudwatch:StartMetricStreams`

`cloudwatch:TagResource`, `cloudwatch:UntagResource`