AWS - Macie Enum

AWS - Macie 枚举

学习并练习 AWS 黑客技术：HackTricks 培训 AWS 红队专家 (ARTE) 学习并练习 GCP 黑客技术：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的 Twitter 🐦 @hacktricks_live.
通过向 HackTricks 和 HackTricks Cloud github 仓库提交 PR 来分享黑客技巧。

Macie

Amazon Macie 突出的服务之一，旨在自动检测、分类和识别 AWS 帐户中的数据。它利用机器学习持续监视和分析数据，主要关注检测和警报异常或可疑活动，通过检查云跟踪事件数据和用户行为模式。

Amazon Macie 的主要特点：

主动数据审查：利用机器学习在 AWS 帐户内发生各种操作时主动审查数据。
异常检测：识别异常活动或访问模式，生成警报以减轻潜在的数据暴露风险。
持续监控：自动监视和检测 Amazon S3 中的新数据，利用机器学习和人工智能随时间调整数据访问模式。
使用自然语言处理进行数据分类：利用自然语言处理（NLP）对不同数据类型进行分类和解释，分配风险分数以优先处理发现。
安全监控：识别安全敏感数据，包括 API 密钥、秘密密钥和个人信息，有助于防止数据泄漏。

Amazon Macie 是一个区域服务，需要 'AWSMacieServiceCustomerSetupRole' IAM 角色和启用 AWS CloudTrail 才能正常运行。

警报系统

Macie 将警报分类为预定义类别，如：

匿名访问
数据合规性
凭证丢失
特权升级
勒索软件
可疑访问等。

这些警报提供详细描述和结果分析，以便进行有效的响应和解决。

仪表板功能

仪表板将数据分类为各个部分，包括：

S3 对象（按时间范围、ACL、PII）
高风险 CloudTrail 事件/用户
活动位置
CloudTrail 用户身份类型等。

用户分类

用户根据其 API 调用的风险级别分为不同层级：

铂金：高风险 API 调用，通常具有管理员特权。
金：与基础设施相关的 API 调用。
银：中等风险 API 调用。
铜：低风险 API 调用。

身份类型

身份类型包括 Root、IAM 用户、假定角色、联合用户、AWS 帐户和 AWS 服务，指示请求的来源。

数据分类

数据分类包括：

内容类型：基于检测到的内容类型。
文件扩展名：基于文件扩展名。
主题：根据文件中的关键字进行分类。
正则表达式：基于特定正则表达式模式进行分类。

这些类别中的最高风险确定文件的最终风险级别。

研究和分析

Amazon Macie 的研究功能允许进行跨所有 Macie 数据的自定义查询，进行深入分析。筛选器包括 CloudTrail 数据、S3 存储桶属性和 S3 对象。此外，它支持邀请其他帐户共享 Amazon Macie，促进协作数据管理和安全监控。

枚举

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

后渗透

从攻击者的角度来看，这项服务并不是用来检测攻击者的，而是用来检测存储文件中的敏感信息。因此，这项服务可能会帮助攻击者找到存储桶中的敏感信息。然而，攻击者也可能对破坏这项服务感兴趣，以防止受害者收到警报并更轻松地窃取信息。

TODO: 欢迎提交PR！

参考资料

https://cloudacademy.com/blog/introducing-aws-security-hub/

学习并实践AWS Hacking：HackTricks 培训 AWS 红队专家 (ARTE) 学习并实践GCP Hacking：HackTricks 培训 GCP 红队专家 (GRTE)

支持 HackTricks

查看订阅计划!
加入 💬 Discord 群组 或 电报群组 或关注我们的Twitter 🐦 @hacktricks_live.
通过向HackTricks和HackTricks Cloud github 仓库提交PR来分享黑客技巧。

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago