AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie wyróżnia się jako usługa zaprojektowana do automatycznego wykrywania, klasyfikowania i identyfikowania danych w ramach konta AWS. Wykorzystuje uczenie maszynowe do ciągłego monitorowania i analizowania danych, koncentrując się głównie na wykrywaniu i ostrzeganiu przed nietypowymi lub podejrzanymi działaniami poprzez badanie danych zdarzeń cloud trail i wzorców zachowań użytkowników.
Kluczowe funkcje Amazon Macie:
Aktywna recenzja danych: Wykorzystuje uczenie maszynowe do aktywnej recenzji danych w miarę występowania różnych działań w ramach konta AWS.
Wykrywanie anomalii: Identyfikuje nieregularne działania lub wzorce dostępu, generując alerty w celu złagodzenia potencjalnych ryzyk związanych z ujawnieniem danych.
Ciągłe monitorowanie: Automatycznie monitoruje i wykrywa nowe dane w Amazon S3, wykorzystując uczenie maszynowe i sztuczną inteligencję do dostosowywania się do wzorców dostępu do danych w czasie.
Klasyfikacja danych z NLP: Wykorzystuje przetwarzanie języka naturalnego (NLP) do klasyfikacji i interpretacji różnych typów danych, przypisując wyniki ryzyka w celu priorytetyzacji ustaleń.
Monitorowanie bezpieczeństwa: Identyfikuje dane wrażliwe na bezpieczeństwo, w tym klucze API, klucze tajne i informacje osobiste, pomagając zapobiegać wyciekom danych.
Amazon Macie jest usługą regionalną i wymaga roli IAM 'AWSMacieServiceCustomerSetupRole' oraz włączonego AWS CloudTrail do działania.
Macie klasyfikuje alerty w predefiniowane kategorie, takie jak:
Anonimizowany dostęp
Zgodność z danymi
Utrata poświadczeń
Eskalacja uprawnień
Ransomware
Podejrzany dostęp, itd.
Te alerty dostarczają szczegółowych opisów i analiz wyników dla skutecznej reakcji i rozwiązania problemu.
Pulpit nawigacyjny klasyfikuje dane w różnych sekcjach, w tym:
Obiekty S3 (według zakresu czasowego, ACL, PII)
Wydarzenia/użytkownicy CloudTrail o wysokim ryzyku
Miejsca aktywności
Typy tożsamości użytkowników CloudTrail i inne.
Użytkownicy są klasyfikowani w poziomach na podstawie poziomu ryzyka ich wywołań API:
Platinum: Wywołania API o wysokim ryzyku, często z uprawnieniami administratora.
Gold: Wywołania API związane z infrastrukturą.
Silver: Wywołania API o średnim ryzyku.
Bronze: Wywołania API o niskim ryzyku.
Typy tożsamości obejmują Root, użytkownik IAM, przyjęta rola, użytkownik federowany, konto AWS i usługa AWS, wskazując źródło żądań.
Klasyfikacja danych obejmuje:
Typ zawartości: Na podstawie wykrytego typu zawartości.
Rozszerzenie pliku: Na podstawie rozszerzenia pliku.
Temat: Klasyfikowane według słów kluczowych w plikach.
Regex: Klasyfikowane na podstawie określonych wzorców regex.
Najwyższe ryzyko wśród tych kategorii określa ostateczny poziom ryzyka pliku.
Funkcja badawcza Amazon Macie umożliwia niestandardowe zapytania w całych danych Macie w celu przeprowadzenia dogłębnej analizy. Filtry obejmują dane CloudTrail, właściwości koszyka S3 i obiekty S3. Ponadto wspiera zapraszanie innych kont do współdzielenia Amazon Macie, ułatwiając współpracę w zarządzaniu danymi i monitorowaniu bezpieczeństwa.
Z perspektywy atakującego, ta usługa nie jest stworzona do wykrywania atakującego, ale do wykrywania wrażliwych informacji w przechowywanych plikach. Dlatego ta usługa może pomóc atakującemu w znalezieniu wrażliwych informacji w bucketach. Jednakże, być może atakujący mógłby być również zainteresowany jej zakłóceniem, aby uniemożliwić ofierze otrzymywanie powiadomień i łatwiej ukraść te informacje.
TODO: PRs are welcome!
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)