AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie se ističe kao usluga dizajnirana da automatski otkriva, klasifikuje i identifikuje podatke unutar AWS naloga. Koristi mašinsko učenje za kontinuirano praćenje i analizu podataka, fokusirajući se prvenstveno na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti ispitivanjem cloud trail event podataka i obrazaca ponašanja korisnika.
Ključne karakteristike Amazon Macie:
Aktivno pregledanje podataka: Koristi mašinsko učenje za aktivno pregledanje podataka dok se različite radnje dešavaju unutar AWS naloga.
Otkrivanje anomalija: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja kako bi umanjila potencijalne rizike od izlaganja podacima.
Kontinuirano praćenje: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju kako bi se prilagodio obrascima pristupa podacima tokom vremena.
Klasifikacija podataka uz NLP: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i tumačenje različitih tipova podataka, dodeljujući rizik ocene kako bi prioritizovao nalaze.
Praćenje bezbednosti: Identifikuje podatke o bezbednosti, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.
Amazon Macie je regionalna usluga i zahteva 'AWSMacieServiceCustomerSetupRole' IAM ulogu i omogućeni AWS CloudTrail za funkcionalnost.
Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:
Anonimizovani pristup
Usklađenost podataka
Gubitak akreditiva
Eskalacija privilegija
Ransomware
Sumnjiv pristup, itd.
Ova upozorenja pružaju detaljne opise i analize rezultata za efikasan odgovor i rešavanje.
Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:
S3 objekti (po vremenskom opsegu, ACL, PII)
Visoko rizični CloudTrail događaji/korisnici
Lokacije aktivnosti
Tipovi identiteta CloudTrail korisnika, i više.
Korisnici su klasifikovani u nivoe na osnovu nivoa rizika njihovih API poziva:
Platinum: Visoko rizični API pozivi, često sa administratorskim privilegijama.
Gold: API pozivi vezani za infrastrukturu.
Silver: Srednje rizični API pozivi.
Bronze: Nisko rizični API pozivi.
Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federisanog korisnika, AWS nalog i AWS uslugu, označavajući izvor zahteva.
Klasifikacija podataka obuhvata:
Content-Type: Na osnovu otkrivenog tipa sadržaja.
Ekstenzija fajla: Na osnovu ekstenzije fajla.
Tema: Kategorizovana prema ključnim rečima unutar fajlova.
Regex: Kategorizovana na osnovu specifičnih regex obrazaca.
Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.
Funkcija istraživanja Amazon Macie omogućava prilagođene upite kroz sve Macie podatke za dubinsku analizu. Filteri uključuju CloudTrail podatke, S3 Bucket svojstva i S3 objekte. Pored toga, podržava pozivanje drugih naloga da dele Amazon Macie, olakšavajući kolaborativno upravljanje podacima i praćenje bezbednosti.
Iz perspektive napadača, ova usluga nije napravljena da detektuje napadača, već da detektuje osetljive informacije u sačuvanim datotekama. Stoga, ova usluga može pomoći napadaču da pronađe osetljive informacije unutar kanti. Međutim, možda bi napadač takođe mogao biti zainteresovan da je ometa kako bi sprečio žrtvu da dobije upozorenja i lakše ukrade te informacije.
TODO: PR-ovi su dobrodošli!
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
