AWS - Macie Enum
AWS - Macie Aufzählung
Macie
Amazon Macie sticht als Dienst hervor, der entworfen wurde, um Daten automatisch zu erkennen, zu klassifizieren und zu identifizieren innerhalb eines AWS-Kontos. Es nutzt maschinelles Lernen, um kontinuierlich Daten zu überwachen und zu analysieren, hauptsächlich mit dem Fokus auf die Erkennung und Benachrichtigung über ungewöhnliche oder verdächtige Aktivitäten durch die Untersuchung von Cloud-Trail-Ereignisdaten und Benutzerverhaltensmustern.
Hauptmerkmale von Amazon Macie:
Aktive Datenüberprüfung: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen im AWS-Konto stattfinden.
Anomalieerkennung: Identifiziert unregelmäßige Aktivitäten oder Zugriffsmuster, generiert Warnungen zur Minderung potenzieller Risiken für die Datenexposition.
Kontinuierliche Überwachung: Überwacht und erkennt automatisch neue Daten in Amazon S3, nutzt maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Datenzugriffsmuster anzupassen.
Datenklassifizierung mit NLP: Nutzt Natural Language Processing (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, weist Risikobewertungen zu, um Ergebnisse zu priorisieren.
Sicherheitsüberwachung: Identifiziert sicherheitssensible Daten, einschließlich API-Schlüssel, Geheimschlüssel und persönliche Informationen, um Datenlecks zu verhindern.
Amazon Macie ist ein regionales Service und erfordert die 'AWSMacieServiceCustomerSetupRole' IAM-Rolle und einen aktivierten AWS CloudTrail für die Funktionalität.
Warnsystem
Macie kategorisiert Warnungen in vordefinierte Kategorien wie:
Anonymisierter Zugriff
Datenkonformität
Verlust von Anmeldeinformationen
Privilegieneskalation
Ransomware
Verdächtiger Zugriff, usw.
Diese Warnungen bieten detaillierte Beschreibungen und Ergebnisaufschlüsselungen für eine effektive Reaktion und Lösung.
Dashboard-Funktionen
Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich:
S3-Objekte (nach Zeitbereich, ACL, PII)
Hochrisiko-CloudTrail-Ereignisse/Benutzer
Aktivitätsorte
CloudTrail-Benutzeridentitätstypen und mehr.
Benutzerkategorisierung
Benutzer werden in Kategorien eingeteilt, basierend auf dem Risikolevel ihrer API-Aufrufe:
Platin: Hochriskante API-Aufrufe, oft mit Administratorrechten.
Gold: Infrastrukturbezogene API-Aufrufe.
Silber: API-Aufrufe mit mittlerem Risiko.
Bronze: API-Aufrufe mit geringem Risiko.
Identitätstypen
Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen.
Datenklassifizierung
Die Datenklassifizierung umfasst:
Inhaltstyp: Basierend auf erkanntem Inhaltstyp.
Dateierweiterung: Basierend auf Dateierweiterung.
Thema: Kategorisiert nach Schlüsselwörtern in Dateien.
Regex: Kategorisiert anhand spezifischer Regex-Muster.
Das höchste Risiko unter diesen Kategorien bestimmt den endgültigen Risikolevel der Datei.
Forschung und Analyse
Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es das Einladen anderer Konten, um Amazon Macie zu teilen, was die gemeinsame Datenverwaltung und Sicherheitsüberwachung erleichtert.
Aufzählung
Post-Exploitation
Aus der Sicht eines Angreifers ist dieser Dienst nicht dazu gedacht, den Angreifer zu erkennen, sondern um sensible Informationen in den gespeicherten Dateien zu erkennen. Daher könnte dieser Dienst einem Angreifer helfen, sensible Informationen in den Buckets zu finden. Allerdings könnte ein Angreifer auch daran interessiert sein, diesen Dienst zu stören, um zu verhindern, dass das Opfer Warnungen erhält und um diese Informationen leichter zu stehlen.
TODO: Pull Requests sind willkommen!
Referenzen
Last updated