AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie si distingue come un servizio progettato per rilevare, classificare e identificare automaticamente i dati all'interno di un account AWS. Sfrutta l'apprendimento automatico per monitorare e analizzare continuamente i dati, concentrandosi principalmente sul rilevamento e sull'allerta contro attività insolite o sospette esaminando i dati degli eventi di cloud trail e i modelli di comportamento degli utenti.
Caratteristiche principali di Amazon Macie:
Revisione attiva dei dati: Utilizza l'apprendimento automatico per rivedere attivamente i dati mentre si verificano varie azioni all'interno dell'account AWS.
Rilevamento delle anomalie: Identifica attività irregolari o modelli di accesso, generando avvisi per mitigare i potenziali rischi di esposizione dei dati.
Monitoraggio continuo: Monitora e rileva automaticamente nuovi dati in Amazon S3, impiegando l'apprendimento automatico e l'intelligenza artificiale per adattarsi ai modelli di accesso ai dati nel tempo.
Classificazione dei dati con NLP: Utilizza l'elaborazione del linguaggio naturale (NLP) per classificare e interpretare diversi tipi di dati, assegnando punteggi di rischio per dare priorità ai risultati.
Monitoraggio della sicurezza: Identifica dati sensibili per la sicurezza, inclusi chiavi API, chiavi segrete e informazioni personali, aiutando a prevenire perdite di dati.
Amazon Macie è un servizio regionale e richiede il ruolo IAM 'AWSMacieServiceCustomerSetupRole' e un AWS CloudTrail abilitato per funzionare.
Macie categorizza gli avvisi in categorie predefinite come:
Accesso anonimizzato
Conformità dei dati
Perdita di credenziali
Escalation dei privilegi
Ransomware
Accesso sospetto, ecc.
Questi avvisi forniscono descrizioni dettagliate e suddivisioni dei risultati per una risposta e una risoluzione efficaci.
Il dashboard categorizza i dati in varie sezioni, tra cui:
Oggetti S3 (per intervallo di tempo, ACL, PII)
Eventi/utenti CloudTrail ad alto rischio
Località delle attività
Tipi di identità utente CloudTrail, e altro ancora.
Gli utenti sono classificati in livelli in base al livello di rischio delle loro chiamate API:
Platino: Chiamate API ad alto rischio, spesso con privilegi di amministratore.
Oro: Chiamate API relative all'infrastruttura.
Argento: Chiamate API a rischio medio.
Bronzo: Chiamate API a basso rischio.
I tipi di identità includono Root, utente IAM, Ruolo Assunto, Utente Federato, Account AWS e Servizio AWS, indicando la fonte delle richieste.
La classificazione dei dati comprende:
Tipo di contenuto: Basato sul tipo di contenuto rilevato.
Estensione del file: Basato sull'estensione del file.
Tema: Categorizzato per parole chiave all'interno dei file.
Regex: Categorizzato in base a specifici modelli regex.
Il rischio più alto tra queste categorie determina il livello di rischio finale del file.
La funzione di ricerca di Amazon Macie consente query personalizzate su tutti i dati di Macie per un'analisi approfondita. I filtri includono Dati CloudTrail, proprietà del bucket S3 e Oggetti S3. Inoltre, supporta l'invito di altri account a condividere Amazon Macie, facilitando la gestione collaborativa dei dati e il monitoraggio della sicurezza.
Dal punto di vista di un attaccante, questo servizio non è progettato per rilevare l'attaccante, ma per rilevare informazioni sensibili nei file memorizzati. Pertanto, questo servizio potrebbe aiutare un attaccante a trovare informazioni sensibili all'interno dei bucket. Tuttavia, forse un attaccante potrebbe anche essere interessato a interromperlo per impedire alla vittima di ricevere avvisi e rubare più facilmente quelle informazioni.
TODO: PRs sono benvenuti!
Impara e pratica AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Impara e pratica GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)