Français - Ht Cloud
HackTricks Training Twitter Linkedin Sponsor

AWS - Macie Enum

AWS - Macie Enum

Apprenez le piratage AWS de zéro à héros avec htARTE (Expert Red Team AWS de HackTricks)!

Autres façons de soutenir HackTricks:

Macie

Amazon Macie se distingue en tant que service conçu pour détecter, classifier et identifier automatiquement des données au sein d'un compte AWS. Il exploite l'apprentissage automatique pour surveiller et analyser en continu les données, en se concentrant principalement sur la détection et l'alerte des activités inhabituelles ou suspectes en examinant les données d'événements de CloudTrail et les modèles de comportement des utilisateurs.

Principales fonctionnalités d'Amazon Macie :

  1. Examen actif des données : Utilise l'apprentissage automatique pour examiner activement les données au fur et à mesure que diverses actions se produisent dans le compte AWS.

  2. Détection d'anomalies : Identifie les activités ou les modèles d'accès irréguliers, générant des alertes pour atténuer les risques potentiels d'exposition des données.

  3. Surveillance continue : Surveille et détecte automatiquement de nouvelles données dans Amazon S3, en utilisant l'apprentissage automatique et l'intelligence artificielle pour s'adapter aux modèles d'accès aux données au fil du temps.

  4. Classification des données avec NLP : Utilise le traitement du langage naturel (NLP) pour classer et interpréter différents types de données, attribuant des scores de risque pour prioriser les résultats.

  5. Surveillance de la sécurité : Identifie les données sensibles en matière de sécurité, y compris les clés API, les clés secrètes et les informations personnelles, contribuant à prévenir les fuites de données.

Amazon Macie est un service régional et nécessite le rôle IAM 'AWSMacieServiceCustomerSetupRole' et un CloudTrail AWS activé pour fonctionner.

Système d'alerte

Macie catégorise les alertes en catégories prédéfinies telles que :

  • Accès anonymisé

  • Conformité des données

  • Perte d'identifiants

  • Élévation de privilèges

  • Rançongiciel

  • Accès suspect, etc.

Ces alertes fournissent des descriptions détaillées et des décompositions des résultats pour une réponse et une résolution efficaces.

Fonctionnalités du tableau de bord

Le tableau de bord catégorise les données en différentes sections, notamment :

  • Objets S3 (par plage horaire, ACL, PII)

  • Événements/utilisateurs CloudTrail à haut risque

  • Lieux d'activité

  • Types d'identité des utilisateurs CloudTrail, et plus encore.

Catégorisation des utilisateurs

Les utilisateurs sont classés en niveaux en fonction du niveau de risque de leurs appels API :

  • Platine : Appels API à haut risque, souvent avec des privilèges d'administrateur.

  • Or : Appels API liés à l'infrastructure.

  • Argent : Appels API à risque moyen.

  • Bronze : Appels API à faible risque.

Types d'identité

Les types d'identité incluent Root, Utilisateur IAM, Rôle Assumé, Utilisateur Fédéré, Compte AWS et Service AWS, indiquant la source des demandes.

Classification des données

La classification des données englobe :

  • Type de contenu : Basé sur le type de contenu détecté.

  • Extension de fichier : Basé sur l'extension de fichier.

  • Thème : Catégorisé par mots-clés dans les fichiers.

  • Regex : Catégorisé en fonction de modèles regex spécifiques.

Le risque le plus élevé parmi ces catégories détermine le niveau de risque final du fichier.

Recherche et Analyse

La fonction de recherche d'Amazon Macie permet des requêtes personnalisées sur l'ensemble des données Macie pour une analyse approfondie. Les filtres incluent les données CloudTrail, les propriétés du bucket S3 et les objets S3. De plus, il prend en charge l'invitation d'autres comptes pour partager Amazon Macie, facilitant la gestion collaborative des données et la surveillance de la sécurité.

Énumération

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Exploitation

D'un point de vue d'un attaquant, ce service n'est pas conçu pour détecter l'attaquant, mais pour détecter des informations sensibles dans les fichiers stockés. Par conséquent, ce service pourrait aider un attaquant à trouver des infos sensibles à l'intérieur des compartiments. Cependant, un attaquant pourrait également être intéressé à le perturber afin d'empêcher la victime de recevoir des alertes et de voler plus facilement ces informations.

TODO: Les PR sont les bienvenues !

Références

Apprenez le piratage AWS de zéro à héros avec htARTE (HackTricks AWS Red Team Expert)!

Autres façons de soutenir HackTricks:

PrécédentAWS - Inspector EnumSuivantAWS - Security Hub Enum

Dernière mise à jour