AWS - Macie Enum

ゼロからヒーローまでAWSハッキングを学ぶ htARTE（HackTricks AWS Red Team Expert）！

HackTricksをサポートする他の方法：

HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksグッズを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
HackTricksおよびHackTricks CloudのgithubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する

Macie

Amazon Macieは、AWSアカウント内のデータを自動的に検出、分類、識別するために設計されたサービスとして際立っています。機械学習を活用してデータを継続的に監視および分析し、主にクラウドトレイルイベントデータやユーザーの行動パターンを調査して、異常または疑わしい活動を検出してアラートを発信します。

Amazon Macieの主な機能：

アクティブデータレビュー：AWSアカウント内でさまざまなアクションが発生する際にデータをアクティブにレビューするために機械学習を利用します。
異常検出：異常な活動やアクセスパターンを識別し、潜在的なデータ露出リスクを緩和するためのアラートを生成します。
継続的な監視：Amazon S3で新しいデータを自動的に監視および検出し、データアクセスパターンに適応するために機械学習と人工知能を利用します。
NLPによるデータ分類：自然言語処理（NLP）を利用して異なるデータタイプを分類および解釈し、リスクスコアを割り当てて調査結果を優先順位付けします。
セキュリティモニタリング：APIキー、シークレットキー、個人情報などのセキュリティに敏感なデータを識別し、データ漏洩を防止します。

Amazon Macieはリージョナルサービスであり、機能を利用するには'AWSMacieServiceCustomerSetupRole' IAMロールと有効なAWS CloudTrailが必要です。

アラートシステム

Macieは、以下のような事前定義されたカテゴリにアラートを分類します：

匿名化されたアクセス
データコンプライアンス
資格情報の喪失
特権昇格
ランサムウェア
疑わしいアクセスなど

これらのアラートは、効果的な対応と解決のために詳細な説明と結果の分析を提供します。

ダッシュボード機能

ダッシュボードは、以下のセクションにデータを分類します：

S3オブジェクト（時間範囲、ACL、PII）
ハイリスクなCloudTrailイベント/ユーザー
アクティビティの場所
CloudTrailユーザーのアイデンティティタイプなど

ユーザーの分類

ユーザーは、APIコールのリスクレベルに基づいてティアに分類されます：

プラチナ：管理者権限を持つことが多い高リスクのAPIコール
ゴールド：インフラ関連のAPIコール
シルバー：中程度のリスクのAPIコール
ブロンズ：低リスクのAPIコール

アイデンティティタイプ

アイデンティティタイプには、Root、IAMユーザー、Assumed Role、Federated User、AWSアカウント、AWSサービスが含まれ、リクエストのソースを示します。

データ分類

データ分類には以下が含まれます：

コンテンツタイプ：検出されたコンテンツタイプに基づく
ファイル拡張子：ファイル拡張子に基づく
テーマ：ファイル内のキーワードによって分類される
正規表現：特定の正規表現パターンに基づいて分類される

これらのカテゴリの中で最も高いリスクがファイルの最終リスクレベルを決定します。

調査と分析

Amazon Macieの調査機能を使用すると、詳細な分析のためにすべてのMacieデータを対象としたカスタムクエリが可能です。フィルタにはCloudTrailデータ、S3バケットのプロパティ、S3オブジェクトが含まれます。さらに、他のアカウントをAmazon Macieと共有することができ、共同データ管理とセキュリティモニタリングを容易にします。

列挙

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

ポストエクスプロイテーション

攻撃者の視点からは、このサービスは攻撃者を検出するためではなく、保存されたファイル内の機密情報を検出するために作成されています。したがって、このサービスは攻撃者がバケツ内の機密情報を見つけるのに役立つかもしれません。ただし、攻撃者は、被害者がアラートを受け取るのを防ぎ、その情報をより簡単に盗むために妨害することにも興味を持つかもしれません。

TODO: PRs are welcome!

参考文献

https://cloudacademy.com/blog/introducing-aws-security-hub/

**htARTE (HackTricks AWS Red Team Expert)**を使用して、ゼロからヒーローまでAWSハッキングを学びましょう！

HackTricksをサポートする他の方法:

HackTricksで企業を宣伝したい、またはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください！
公式PEASS＆HackTricksスウォッグを入手する
The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
**💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @hacktricks_liveをフォローする
HackTricksとHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有する

前へAWS - Inspector Enum 次へAWS - Security Hub Enum

最終更新 3 か月前