AWS - Macie Enum

AWS - Macie Enum

Macie

Amazon Macie एक सेवा के रूप में उभरता है जो AWS खाते के भीतर डेटा को स्वचालित रूप से पहचानने, वर्गीकृत करने और पहचानने के लिए डिज़ाइन की गई है। यह मशीन लर्निंग का उपयोग करता है ताकि डेटा की निरंतर निगरानी और विश्लेषण किया जा सके, मुख्य रूप से क्लाउड ट्रेल इवेंट डेटा और उपयोगकर्ता व्यवहार पैटर्न की जांच करके असामान्य या संदिग्ध गतिविधियों का पता लगाने और अलर्ट करने पर ध्यान केंद्रित करता है।

Amazon Macie की प्रमुख विशेषताएँ:

1. सक्रिय डेटा समीक्षा: AWS खाते के भीतर विभिन्न क्रियाओं के दौरान डेटा की सक्रिय रूप से समीक्षा करने के लिए मशीन लर्निंग का उपयोग करता है।

2. असामान्य गतिविधि पहचान: असामान्य गतिविधियों या पहुंच पैटर्न की पहचान करता है, संभावित डेटा एक्सपोज़र जोखिमों को कम करने के लिए अलर्ट उत्पन्न करता है।

3. निरंतर निगरानी: Amazon S3 में नए डेटा की स्वचालित रूप से निगरानी और पहचान करता है, समय के साथ डेटा एक्सेस पैटर्न के अनुकूलन के लिए मशीन लर्निंग और आर्टिफिशियल इंटेलिजेंस का उपयोग करता है।

4. NLP के साथ डेटा वर्गीकरण: विभिन्न डेटा प्रकारों को वर्गीकृत और व्याख्या करने के लिए प्राकृतिक भाषा प्रसंस्करण (NLP) का उपयोग करता है, खोजों को प्राथमिकता देने के लिए जोखिम स्कोर असाइन करता है।

5. सुरक्षा निगरानी: API कुंजी, गुप्त कुंजी, और व्यक्तिगत जानकारी सहित सुरक्षा-संवेदनशील डेटा की पहचान करता है, डेटा लीक को रोकने में मदद करता है।

Amazon Macie एक क्षेत्रीय सेवा है और कार्यक्षमता के लिए 'AWSMacieServiceCustomerSetupRole' IAM भूमिका और सक्षम AWS CloudTrail की आवश्यकता होती है।

अलर्ट प्रणाली

Macie अलर्ट को पूर्वनिर्धारित श्रेणियों में वर्गीकृत करता है जैसे:

• अनामित पहुंच

• डेटा अनुपालन

• क्रेडेंशियल हानि

• विशेषाधिकार वृद्धि

• रैंसमवेयर

• संदिग्ध पहुंच, आदि।

ये अलर्ट प्रभावी प्रतिक्रिया और समाधान के लिए विस्तृत विवरण और परिणाम विभाजन प्रदान करते हैं।

डैशबोर्ड विशेषताएँ

डैशबोर्ड डेटा को विभिन्न अनुभागों में वर्गीकृत करता है, जिसमें शामिल हैं:

• S3 ऑब्जेक्ट (समय सीमा, ACL, PII द्वारा)

• उच्च-जोखिम क्लाउडट्रेल घटनाएँ/उपयोगकर्ता

• गतिविधि स्थान

• क्लाउडट्रेल उपयोगकर्ता पहचान प्रकार, और अधिक।

उपयोगकर्ता वर्गीकरण

उपयोगकर्ताओं को उनके API कॉल के जोखिम स्तर के आधार पर स्तरों में वर्गीकृत किया जाता है:

• प्लैटिनम: उच्च-जोखिम API कॉल, अक्सर प्रशासनिक विशेषाधिकार के साथ।

• गोल्ड: अवसंरचना से संबंधित API कॉल।

• सिल्वर: मध्यम-जोखिम API कॉल।

• ब्रॉन्ज: निम्न-जोखिम API कॉल।

पहचान प्रकार

पहचान प्रकारों में रूट, IAM उपयोगकर्ता, अनुमोदित भूमिका, संघीय उपयोगकर्ता, AWS खाता, और AWS सेवा शामिल हैं, जो अनुरोधों के स्रोत को इंगित करते हैं।

डेटा वर्गीकरण

डेटा वर्गीकरण में शामिल हैं:

• सामग्री-प्रकार: पहचान की गई सामग्री प्रकार के आधार पर।

• फ़ाइल एक्सटेंशन: फ़ाइल एक्सटेंशन के आधार पर।

• विषय: फ़ाइलों के भीतर कीवर्ड द्वारा वर्गीकृत।

• Regex: विशिष्ट regex पैटर्न के आधार पर वर्गीकृत।

इन श्रेणियों में सबसे उच्च जोखिम फ़ाइल के अंतिम जोखिम स्तर को निर्धारित करता है।

अनुसंधान और विश्लेषण

Amazon Macie का अनुसंधान कार्य सभी Macie डेटा के लिए गहन विश्लेषण के लिए कस्टम क्वेरी की अनुमति देता है। फ़िल्टर में क्लाउडट्रेल डेटा, S3 बकेट गुण, और S3 ऑब्जेक्ट शामिल हैं। इसके अलावा, यह अन्य खातों को Amazon Macie साझा करने के लिए आमंत्रित करने का समर्थन करता है, सहयोगात्मक डेटा प्रबंधन और सुरक्षा निगरानी को सुविधाजनक बनाता है।

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

TODO: PRs are welcome!

References

• https://cloudacademy.com/blog/introducing-aws-security-hub/