AWS - Macie Enum

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

Macie

Amazon Macie se ističe kao usluga dizajnirana za automatsko otkrivanje, klasifikaciju i identifikaciju podataka unutar AWS naloga. Koristi mašinsko učenje za kontinuirano praćenje i analizu podataka, uglavnom fokusirajući se na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti pregledanjem podataka o događajima u oblaku i obrazaca ponašanja korisnika.

Ključne funkcionalnosti Amazon Macie:

Aktivna recenzija podataka: Koristi mašinsko učenje za aktivno pregledanje podataka tokom različitih akcija u AWS nalogu.
Otkrivanje anomalija: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja radi smanjenja potencijalnih rizika izloženosti podataka.
Kontinuirano praćenje: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju za prilagođavanje obrascima pristupa podacima tokom vremena.
Klasifikacija podataka pomoću NLP-a: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i interpretaciju različitih vrsta podataka, dodeljujući ocene rizika radi prioritetnog utvrđivanja rezultata.
Bezbednosno praćenje: Identifikuje podatke osetljive na bezbednost, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.

Amazon Macie je regionalna usluga i zahteva IAM ulogu 'AWSMacieServiceCustomerSetupRole' i omogućen AWS CloudTrail za funkcionalnost.

Sistem upozorenja

Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:

Anonimni pristup
Usklađenost podataka
Gubitak akreditiva
Eskalacija privilegija
Ransomware
Sumnjiv pristup, itd.

Ova upozorenja pružaju detaljne opise i razgradnju rezultata radi efikasnog odgovora i rešavanja.

Funkcionalnosti kontrolne table

Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:

S3 objekti (po vremenskom rasponu, ACL, PII)
CloudTrail događaji/korisnici visokog rizika
Lokacije aktivnosti
Tipovi identiteta CloudTrail korisnika i još mnogo toga.

Kategorizacija korisnika

Korisnici se klasifikuju u slojeve na osnovu nivoa rizika njihovih API poziva:

Platinum: API pozivi visokog rizika, često sa administratorskim privilegijama.
Gold: API pozivi vezani za infrastrukturu.
Silver: API pozivi srednjeg rizika.
Bronze: API pozivi niskog rizika.

Tipovi identiteta

Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federativnog korisnika, AWS nalog i AWS uslugu, što ukazuje na izvor zahteva.

Klasifikacija podataka

Klasifikacija podataka obuhvata:

Tip sadržaja: Na osnovu otkrivenog tipa sadržaja.
Ekstenzija fajla: Na osnovu ekstenzije fajla.
Tema: Kategorizovano prema ključnim rečima unutar fajlova.
Regex: Kategorizovano na osnovu određenih regex obrazaca.

Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.

Istraživanje i analiza

Funkcija istraživanja Amazon Macie omogućava prilagođene upite preko svih Macie podataka radi dubinske analize. Filteri uključuju CloudTrail podatke, svojstva S3 kante i S3 objekte. Osim toga, podržava poziv drugih naloga za deljenje Amazon Macie, olakšavajući saradničko upravljanje podacima i bezbednosno praćenje.

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Eksploatacija

Sa perspektive napadača, ovaj servis nije napravljen da otkrije napadača, već da otkrije osetljive informacije u sačuvanim fajlovima. Stoga, ovaj servis može pomoći napadaču da pronađe osetljive informacije unutar bucket-a. Međutim, možda bi napadač takođe mogao biti zainteresovan za njegovo onesposobljavanje kako bi sprečio žrtvu da dobija upozorenja i lakše ukrao te informacije.

TODO: PR-ovi su dobrodošli!

Reference

https://cloudacademy.com/blog/introducing-aws-security-hub/

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini da podržite HackTricks:

Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu, proverite SUBSCRIPTION PLANS!
Nabavite zvanični PEASS & HackTricks swag
Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @hacktricks_live.
Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 7 months ago