Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie se destaca como um serviço projetado para detectar, classificar e identificar dados automaticamente dentro de uma conta AWS. Ele utiliza aprendizado de máquina para monitorar e analisar continuamente os dados, focando principalmente na detecção e alerta contra atividades incomuns ou suspeitas, examinando os dados de eventos de trilha na nuvem e padrões de comportamento do usuário.
Principais Recursos do Amazon Macie:
Revisão Ativa de Dados: Emprega aprendizado de máquina para revisar dados ativamente à medida que várias ações ocorrem dentro da conta AWS.
Detecção de Anomalias: Identifica atividades ou padrões de acesso irregulares, gerando alertas para mitigar riscos potenciais de exposição de dados.
Monitoramento Contínuo: Monitora e detecta automaticamente novos dados no Amazon S3, utilizando aprendizado de máquina e inteligência artificial para se adaptar aos padrões de acesso aos dados ao longo do tempo.
Classificação de Dados com NLP: Utiliza processamento de linguagem natural (NLP) para classificar e interpretar diferentes tipos de dados, atribuindo pontuações de risco para priorizar descobertas.
Monitoramento de Segurança: Identifica dados sensíveis à segurança, incluindo chaves de API, chaves secretas e informações pessoais, ajudando a prevenir vazamentos de dados.
Amazon Macie é um serviço regional e requer a função IAM 'AWSMacieServiceCustomerSetupRole' e um AWS CloudTrail habilitado para funcionalidade.
Macie categoriza alertas em categorias predefinidas como:
Acesso anonimizado
Conformidade de dados
Perda de credenciais
Escalação de privilégios
Ransomware
Acesso suspeito, etc.
Esses alertas fornecem descrições detalhadas e desagregações de resultados para uma resposta e resolução eficazes.
O painel categoriza dados em várias seções, incluindo:
Objetos S3 (por intervalo de tempo, ACL, PII)
Eventos/usuários do CloudTrail de alto risco
Locais de Atividade
Tipos de identidade de usuário do CloudTrail, e mais.
Os usuários são classificados em níveis com base no nível de risco de suas chamadas de API:
Platinum: Chamadas de API de alto risco, frequentemente com privilégios de administrador.
Gold: Chamadas de API relacionadas à infraestrutura.
Silver: Chamadas de API de risco médio.
Bronze: Chamadas de API de baixo risco.
Os tipos de identidade incluem Root, usuário IAM, Função Assumida, Usuário Federado, Conta AWS e Serviço AWS, indicando a origem das solicitações.
A classificação de dados abrange:
Tipo de Conteúdo: Com base no tipo de conteúdo detectado.
Extensão de Arquivo: Com base na extensão do arquivo.
Tema: Classificado por palavras-chave dentro dos arquivos.
Regex: Classificado com base em padrões regex específicos.
O maior risco entre essas categorias determina o nível final de risco do arquivo.
A função de pesquisa do Amazon Macie permite consultas personalizadas em todos os dados do Macie para análise aprofundada. Os filtros incluem Dados do CloudTrail, propriedades do Bucket S3 e Objetos S3. Além disso, suporta convidar outras contas para compartilhar o Amazon Macie, facilitando a gestão colaborativa de dados e monitoramento de segurança.
Do ponto de vista de um atacante, este serviço não é feito para detectar o atacante, mas para detectar informações sensíveis nos arquivos armazenados. Portanto, este serviço pode ajudar um atacante a encontrar informações sensíveis dentro dos buckets. No entanto, talvez um atacante também possa estar interessado em interrompê-lo para evitar que a vítima receba alertas e roube essas informações mais facilmente.
TODO: PRs são bem-vindas!
Aprenda e pratique Hacking AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprenda e pratique Hacking GCP: HackTricks Training GCP Red Team Expert (GRTE)
