AWS - Macie Enum

AWS - Macie Enum

htARTE (HackTricks AWS Kırmızı Takım Uzmanı) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'ı desteklemenin diğer yolları:

Macie

Amazon Macie, bir AWS hesabı içindeki verileri otomatik olarak tespit etmek, sınıflandırmak ve tanımlamak için tasarlanmış bir hizmet olarak öne çıkar. Makine öğrenimini kullanarak verileri sürekli olarak izler ve analiz eder, öncelikli olarak bulut izi etkinlik verilerini ve kullanıcı davranış kalıplarını inceleyerek olağandışı veya şüpheli faaliyetleri tespit eder ve uyarır.

Amazon Macie'nin Temel Özellikleri:

  1. Etkin Veri İncelemesi: AWS hesabında çeşitli eylemler gerçekleştiğinde verileri etkin olarak incelemek için makine öğrenimini kullanır.

  2. Anormallik Tespiti: Düzensiz faaliyetleri veya erişim desenlerini tanımlar, potansiyel veri maruziyeti risklerini azaltmak için uyarılar oluşturur.

  3. Sürekli İzleme: Amazon S3'te yeni verileri otomatik olarak izler ve tespit eder, zamanla veri erişim desenlerine uyum sağlamak için makine öğrenimi ve yapay zeka kullanır.

  4. Doğal Dil İşleme ile Veri Sınıflandırma: Farklı veri türlerini sınıflandırmak ve yorumlamak için doğal dil işleme (NLP) kullanır, bulguları önceliklendirmek için risk puanları atar.

  5. Güvenlik İzleme: API anahtarları, gizli anahtarlar ve kişisel bilgiler de dahil olmak üzere güvenlik açısından hassas verileri tanımlar, veri sızıntılarını önlemeye yardımcı olur.

Amazon Macie, bir bölgesel hizmettir ve işlevselliği için 'AWSMacieServiceCustomerSetupRole' IAM Rolü ve etkinleştirilmiş bir AWS CloudTrail gerektirir.

Uyarı Sistemi

Macie, uyarıları önceden tanımlanmış kategorilere ayırır, örneğin:

  • Anonim erişim

  • Veri uyumluluğu

  • Kimlik Bilgisi Kaybı

  • Yetki yükseltme

  • Fidye yazılımı

  • Şüpheli erişim, vb.

Bu uyarılar etkili yanıt ve çözüm için detaylı açıklamalar ve sonuç ayrıntıları sağlar.

Gösterge Tablosu Özellikleri

Gösterge tablosu, verileri aşağıdaki bölümlere ayırır:

  • S3 Nesneleri (zaman aralığına, ACL'ye, PII'ye göre)

  • Yüksek riskli CloudTrail olayları/kullanıcılar

  • Faaliyet Yerleri

  • CloudTrail kullanıcı kimlik türleri ve daha fazlası.

Kullanıcı Sınıflandırması

Kullanıcılar, API çağrılarının risk seviyesine göre sınıflandırılır:

  • Platin: Yüksek riskli API çağrıları, genellikle yönetici ayrıcalıklarıyla.

  • Altın: Altyapıyla ilgili API çağrıları.

  • Gümüş: Orta riskli API çağrıları.

  • Bronz: Düşük riskli API çağrıları.

Kimlik Türleri

Kimlik türleri, Kök, IAM kullanıcısı, Varsayılan Rol, Federasyon Kullanıcısı, AWS Hesabı ve AWS Hizmeti olmak üzere isteklerin kaynağını belirtir.

Veri Sınıflandırma

Veri sınıflandırması şunları kapsar:

  • İçerik Türü: Algılanan içerik türüne göre.

  • Dosya Uzantısı: Dosya uzantısına göre.

  • Tema: Dosyalar içindeki anahtar kelimelere göre kategorize edilir.

  • Regex: Belirli regex desenlerine göre kategorize edilir.

Bu kategoriler arasında en yüksek risk, dosyanın nihai risk seviyesini belirler.

Araştırma ve Analiz

Amazon Macie'nin araştırma işlevi, derinlemesine analiz için tüm Macie verileri üzerinde özel sorgular yapmayı sağlar. Filtreler arasında CloudTrail Verileri, S3 Bucket özellikleri ve S3 Nesneleri bulunur. Ayrıca, Amazon Macie'yi paylaşmak için diğer hesapları davet etmeyi destekler, işbirliği içinde veri yönetimi ve güvenlik izleme sağlar.

Numaralandırma

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Son Aşama Saldırı

Bir saldırganın perspektifinden, bu hizmet saldırganı tespit etmek için değil, depolanan dosyalardaki hassas bilgileri tespit etmek için yapılmıştır. Bu nedenle, bu hizmet bir saldırganın kovada hassas bilgi bulmasına yardımcı olabilir. Ancak, bir saldırgan da belki de kurbanın uyarıları almasını engellemek ve bu bilgileri daha kolay çalmak için bu hizmeti engellemekle ilgilenebilir.

TODO: PR'lar bekleniyor!

Referanslar

htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hackleme öğrenin!

HackTricks'i desteklemenin diğer yolları:

Last updated