AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie는 AWS 계정 내 데이터를 자동으로 감지, 분류 및 식별하도록 설계된 서비스로 두드러집니다. 이는 기계 학습을 활용하여 데이터를 지속적으로 모니터링하고 분석하며, 주로 클라우드 트레일 이벤트 데이터와 사용자 행동 패턴을 검토하여 비정상적이거나 의심스러운 활동을 감지하고 경고하는 데 중점을 둡니다.
Amazon Macie의 주요 기능:
활성 데이터 검토: AWS 계정 내에서 다양한 작업이 발생할 때 데이터를 능동적으로 검토하기 위해 기계 학습을 사용합니다.
이상 탐지: 비정상적인 활동이나 접근 패턴을 식별하여 잠재적인 데이터 노출 위험을 완화하기 위한 경고를 생성합니다.
지속적인 모니터링: Amazon S3의 새로운 데이터를 자동으로 모니터링하고 감지하며, 시간이 지남에 따라 데이터 접근 패턴에 적응하기 위해 기계 학습과 인공지능을 사용합니다.
NLP를 통한 데이터 분류: 자연어 처리(NLP)를 활용하여 다양한 데이터 유형을 분류하고 해석하며, 발견 사항의 우선 순위를 매기기 위해 위험 점수를 할당합니다.
보안 모니터링: API 키, 비밀 키 및 개인 정보를 포함한 보안 민감 데이터를 식별하여 데이터 유출을 방지하는 데 도움을 줍니다.
Amazon Macie는 지역 서비스이며, 기능을 위해 'AWSMacieServiceCustomerSetupRole' IAM 역할과 활성화된 AWS CloudTrail이 필요합니다.
Macie는 경고를 다음과 같은 미리 정의된 범주로 분류합니다:
익명화된 접근
데이터 준수
자격 증명 손실
권한 상승
랜섬웨어
의심스러운 접근 등
이러한 경고는 효과적인 대응 및 해결을 위한 자세한 설명과 결과 분석을 제공합니다.
대시보드는 데이터를 다양한 섹션으로 분류합니다:
S3 객체 (시간 범위, ACL, PII별)
고위험 CloudTrail 이벤트/사용자
활동 위치
CloudTrail 사용자 신원 유형 등.
사용자는 API 호출의 위험 수준에 따라 계층으로 분류됩니다:
플래티넘: 높은 위험의 API 호출, 종종 관리자 권한을 가진.
골드: 인프라 관련 API 호출.
실버: 중간 위험의 API 호출.
브론즈: 낮은 위험의 API 호출.
신원 유형에는 Root, IAM 사용자, 가정된 역할, 연합 사용자, AWS 계정 및 AWS 서비스가 포함되어 요청의 출처를 나타냅니다.
데이터 분류는 다음을 포함합니다:
콘텐츠 유형: 감지된 콘텐츠 유형에 따라.
파일 확장자: 파일 확장자에 따라.
주제: 파일 내 키워드에 따라 분류.
정규 표현식: 특정 정규 표현식 패턴에 따라 분류.
이러한 범주 중 가장 높은 위험이 파일의 최종 위험 수준을 결정합니다.
Amazon Macie의 연구 기능은 모든 Macie 데이터에 대한 사용자 정의 쿼리를 허용하여 심층 분석을 가능하게 합니다. 필터에는 CloudTrail 데이터, S3 버킷 속성 및 S3 객체가 포함됩니다. 또한, 다른 계정을 초대하여 Amazon Macie를 공유할 수 있어 협력적인 데이터 관리 및 보안 모니터링을 촉진합니다.
공격자의 관점에서 이 서비스는 공격자를 탐지하기 위해 만들어진 것이 아니라 저장된 파일에서 민감한 정보를 탐지하기 위해 만들어졌습니다. 따라서 이 서비스는 공격자가 버킷 내에서 민감한 정보를 찾는 데 도움을 줄 수 있습니다. 그러나 공격자는 피해자가 경고를 받지 못하도록 방해하여 정보를 더 쉽게 훔치려 할 수도 있습니다.
TODO: PRs are welcome!
AWS 해킹 배우기 및 연습하기:HackTricks Training AWS Red Team Expert (ARTE) GCP 해킹 배우기 및 연습하기: HackTricks Training GCP Red Team Expert (GRTE)