AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macieは、AWSアカウント内のデータを自動的に検出、分類、特定するために設計されたサービスです。機械学習を活用してデータを継続的に監視・分析し、主にクラウドトレイルイベントデータやユーザー行動パターンを調査することで、異常または疑わしい活動を検出し、警告を発します。
Amazon Macieの主な機能:
アクティブデータレビュー:AWSアカウント内でさまざまなアクションが発生する際に、機械学習を使用してデータを積極的にレビューします。
異常検出:不規則な活動やアクセスパターンを特定し、潜在的なデータ露出リスクを軽減するための警告を生成します。
継続的監視:Amazon S3内の新しいデータを自動的に監視・検出し、時間の経過とともにデータアクセスパターンに適応するために機械学習と人工知能を使用します。
NLPによるデータ分類:自然言語処理(NLP)を利用して異なるデータタイプを分類・解釈し、リスクスコアを割り当てて発見の優先順位を付けます。
セキュリティ監視:APIキー、シークレットキー、個人情報などのセキュリティに敏感なデータを特定し、データ漏洩を防ぐ手助けをします。
Amazon Macieは地域サービスであり、機能には「AWSMacieServiceCustomerSetupRole」IAMロールと有効なAWS CloudTrailが必要です。
Macieは、アラートを以下のような事前定義されたカテゴリに分類します:
匿名化されたアクセス
データコンプライアンス
認証情報の喪失
権限の昇格
ランサムウェア
疑わしいアクセスなど
これらのアラートは、効果的な対応と解決のための詳細な説明と結果の内訳を提供します。
ダッシュボードは、データをさまざまなセクションに分類します:
S3オブジェクト(時間範囲、ACL、PIIによる)
高リスクのCloudTrailイベント/ユーザー
アクティビティの場所
CloudTrailユーザーIDタイプなど。
ユーザーは、API呼び出しのリスクレベルに基づいて階層に分類されます:
プラチナ:高リスクのAPI呼び出し、しばしば管理者権限を持つ。
ゴールド:インフラ関連のAPI呼び出し。
シルバー:中リスクのAPI呼び出し。
ブロンズ:低リスクのAPI呼び出し。
IDタイプには、Root、IAMユーザー、仮想ロール、フェデレーテッドユーザー、AWSアカウント、AWSサービスが含まれ、リクエストのソースを示します。
データ分類には以下が含まれます:
コンテンツタイプ:検出されたコンテンツタイプに基づく。
ファイル拡張子:ファイル拡張子に基づく。
テーマ:ファイル内のキーワードによって分類される。
正規表現:特定の正規表現パターンに基づいて分類される。
これらのカテゴリの中で最も高いリスクがファイルの最終リスクレベルを決定します。
Amazon Macieの研究機能は、すべてのMacieデータに対してカスタムクエリを実行し、詳細な分析を可能にします。フィルターにはCloudTrailデータ、S3バケットプロパティ、S3オブジェクトが含まれます。さらに、他のアカウントを招待してAmazon Macieを共有することをサポートし、共同データ管理とセキュリティ監視を促進します。
攻撃者の視点から見ると、このサービスは攻撃者を検出するためではなく、保存されたファイル内の機密情報を検出するために作られています。したがって、このサービスは攻撃者がバケット内の機密情報を見つけるのを助けるかもしれません。 しかし、攻撃者は被害者がアラートを受け取るのを防ぎ、その情報をより簡単に盗むために、これを妨害することにも興味があるかもしれません。
TODO: PRsは歓迎です!
AWSハッキングを学び、実践する:HackTricks Training AWS Red Team Expert (ARTE) GCPハッキングを学び、実践する:HackTricks Training GCP Red Team Expert (GRTE)