AWS - Macie Enum
AWS - Macie Enum
Macie
Amazon Macie는 AWS 계정 내 데이터를 자동으로 감지, 분류 및 식별하도록 설계된 서비스로 두드러집니다. 이는 기계 학습을 활용하여 데이터를 지속적으로 모니터링하고 분석하며, 주로 클라우드 트레일 이벤트 데이터와 사용자 행동 패턴을 검토하여 비정상적이거나 의심스러운 활동을 감지하고 경고하는 데 중점을 둡니다.
Amazon Macie의 주요 기능:
활성 데이터 검토: AWS 계정 내에서 다양한 작업이 발생할 때 기계 학습을 사용하여 데이터를 적극적으로 검토합니다.
이상 탐지: 비정상적인 활동이나 접근 패턴을 식별하여 잠재적인 데이터 노출 위험을 완화하기 위한 경고를 생성합니다.
지속적인 모니터링: Amazon S3의 새로운 데이터를 자동으로 모니터링하고 감지하며, 시간이 지남에 따라 데이터 접근 패턴에 적응하기 위해 기계 학습과 인공지능을 사용합니다.
NLP를 통한 데이터 분류: 자연어 처리(NLP)를 활용하여 다양한 데이터 유형을 분류하고 해석하며, 발견 사항의 우선 순위를 매기기 위해 위험 점수를 할당합니다.
보안 모니터링: API 키, 비밀 키 및 개인 정보를 포함한 보안 민감 데이터를 식별하여 데이터 유출을 방지하는 데 도움을 줍니다.
Amazon Macie는 지역 서비스이며, 기능을 위해 'AWSMacieServiceCustomerSetupRole' IAM 역할과 활성화된 AWS CloudTrail이 필요합니다.
경고 시스템
Macie는 경고를 다음과 같은 미리 정의된 범주로 분류합니다:
익명화된 접근
데이터 준수
자격 증명 손실
권한 상승
랜섬웨어
의심스러운 접근 등
이 경고는 효과적인 대응 및 해결을 위한 자세한 설명과 결과 분석을 제공합니다.
대시보드 기능
대시보드는 데이터를 다양한 섹션으로 분류합니다:
S3 객체 (시간 범위, ACL, PII별)
고위험 CloudTrail 이벤트/사용자
활동 위치
CloudTrail 사용자 신원 유형 등.
사용자 분류
사용자는 API 호출의 위험 수준에 따라 계층으로 분류됩니다:
플래티넘: 높은 위험의 API 호출, 종종 관리자 권한을 가진 경우.
골드: 인프라 관련 API 호출.
실버: 중간 위험의 API 호출.
브론즈: 낮은 위험의 API 호출.
신원 유형
신원 유형에는 Root, IAM 사용자, 가정된 역할, 연합 사용자, AWS 계정 및 AWS 서비스가 포함되어 요청의 출처를 나타냅니다.
데이터 분류
데이터 분류는 다음을 포함합니다:
콘텐츠 유형: 감지된 콘텐츠 유형에 따라.
파일 확장자: 파일 확장자에 따라.
주제: 파일 내 키워드에 따라 분류.
정규 표현식: 특정 정규 표현식 패턴에 따라 분류.
이 카테고리 중 가장 높은 위험이 파일의 최종 위험 수준을 결정합니다.
연구 및 분석
Amazon Macie의 연구 기능은 모든 Macie 데이터에 대한 사용자 정의 쿼리를 허용하여 심층 분석을 수행합니다. 필터에는 CloudTrail 데이터, S3 버킷 속성 및 S3 객체가 포함됩니다. 또한, 다른 계정을 초대하여 Amazon Macie를 공유할 수 있어 협력적인 데이터 관리 및 보안 모니터링을 촉진합니다.
Enumeration
Post Exploitation
공격자의 관점에서 이 서비스는 공격자를 탐지하기 위해 만들어진 것이 아니라 저장된 파일에서 민감한 정보를 탐지하기 위해 만들어졌습니다. 따라서 이 서비스는 공격자가 버킷 내에서 민감한 정보를 찾는 데 도움을 줄 수 있습니다. 그러나 공격자는 피해자가 경고를 받지 못하도록 방해하여 정보를 더 쉽게 훔치려 할 수도 있습니다.
TODO: PRs are welcome!
References
Last updated