AWS - Macie Enum
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в обліковому записі AWS. Він використовує машинне навчання для безперервного моніторингу та аналізу даних, зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані подій хмари та шаблони поведінки користувачів.
Ключові особливості Amazon Macie:
Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
Виявлення аномалій: Визначає нерегулярні дії або шаблони доступу, генеруючи сповіщення для зменшення потенційних ризиків витоку даних.
Безперервний моніторинг: Автоматично моніторить і виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до шаблонів доступу до даних з часом.
Класифікація даних з NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, присвоюючи ризикові бали для пріоритизації знахідок.
Моніторинг безпеки: Визначає дані, чутливі до безпеки, включаючи ключі API, секретні ключі та особисту інформацію, допомагаючи запобігти витокам даних.
Amazon Macie є регіональним сервісом і вимагає ролі IAM 'AWSMacieServiceCustomerSetupRole' та активованого AWS CloudTrail для функціонування.
Macie класифікує сповіщення на попередньо визначені категорії, такі як:
Анонімний доступ
Відповідність даним
Втрата облікових даних
Підвищення привілеїв
Вимагач
Підозрілий доступ тощо.
Ці сповіщення надають детальні описи та розподіл результатів для ефективної реакції та вирішення.
Панель управління класифікує дані на різні секції, включаючи:
Об'єкти S3 (за часовим діапазоном, ACL, PII)
Користувачі/події CloudTrail з високим ризиком
Локації активності
Типи ідентичності користувачів CloudTrail та інше.
Користувачі класифікуються на рівні залежно від рівня ризику їхніх викликів API:
Платиновий: Виклики API з високим ризиком, часто з адміністративними привілеями.
Золотий: Виклики API, пов'язані з інфраструктурою.
Срібний: Виклики API середнього ризику.
Бронзовий: Виклики API з низьким ризиком.
Типи ідентичності включають Root, IAM користувач, Прийнята роль, Федеративний користувач, Обліковий запис AWS та Сервіс AWS, що вказує на джерело запитів.
Класифікація даних охоплює:
Тип вмісту: На основі виявленого типу вмісту.
Розширення файлу: На основі розширення файлу.
Тема: Класифікована за ключовими словами в файлах.
Regex: Класифікована на основі специфічних шаблонів regex.
Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.
Функція дослідження Amazon Macie дозволяє виконувати користувацькі запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості S3 Bucket та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, полегшуючи спільне управління даними та моніторинг безпеки.
З точки зору атакуючого, ця служба не призначена для виявлення атакуючого, а для виявлення чутливої інформації у збережених файлах. Тому ця служба може допомогти атакуючому знайти чутливу інформацію всередині бакетів. Однак, можливо, атакуючий також може бути зацікавлений у її порушенні, щоб запобігти отриманню сповіщень жертвою та легше вкрасти цю інформацію.
TODO: PRs are welcome!
Вчіться та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вчіться та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)