AWS - Macie Enum
AWS - Macie Enum
Macie
Amazon Macieは、AWSアカウント内のデータを自動的に検出、分類、識別するために設計されたサービスとして際立っています。機械学習を活用してデータを継続的に監視および分析し、主にクラウドトレイルイベントデータやユーザーの行動パターンを調査して、異常または疑わしい活動を検出してアラートを発信します。
Amazon Macieの主な機能:
アクティブデータレビュー:AWSアカウント内でさまざまなアクションが発生する際にデータをアクティブにレビューするために機械学習を利用します。
異常検出:異常な活動やアクセスパターンを識別し、潜在的なデータ露出リスクを緩和するためのアラートを生成します。
継続的な監視:Amazon S3で新しいデータを自動的に監視および検出し、データアクセスパターンに適応するために機械学習と人工知能を利用します。
NLPによるデータ分類:自然言語処理(NLP)を利用して異なるデータタイプを分類および解釈し、リスクスコアを割り当てて調査結果を優先順位付けします。
セキュリティモニタリング:APIキー、シークレットキー、個人情報などのセキュリティに敏感なデータを識別し、データ漏洩を防止します。
Amazon Macieはリージョナルサービスであり、機能を利用するには'AWSMacieServiceCustomerSetupRole' IAMロールと有効なAWS CloudTrailが必要です。
アラートシステム
Macieは、以下のような事前定義されたカテゴリにアラートを分類します:
匿名化されたアクセス
データコンプライアンス
資格情報の喪失
特権昇格
ランサムウェア
疑わしいアクセスなど
これらのアラートは、効果的な対応と解決のために詳細な説明と結果の分析を提供します。
ダッシュボード機能
ダッシュボードは、以下のセクションにデータを分類します:
S3オブジェクト(時間範囲、ACL、PII)
ハイリスクなCloudTrailイベント/ユーザー
アクティビティの場所
CloudTrailユーザーのアイデンティティタイプなど
ユーザーの分類
ユーザーは、APIコールのリスクレベルに基づいてティアに分類されます:
プラチナ:管理者権限を持つことが多い高リスクのAPIコール
ゴールド:インフラ関連のAPIコール
シルバー:中程度のリスクのAPIコール
ブロンズ:低リスクのAPIコール
アイデンティティタイプ
アイデンティティタイプには、Root、IAMユーザー、Assumed Role、Federated User、AWSアカウント、AWSサービスが含まれ、リクエストのソースを示します。
データ分類
データ分類には以下が含まれます:
コンテンツタイプ:検出されたコンテンツタイプに基づく
ファイル拡張子:ファイル拡張子に基づく
テーマ:ファイル内のキーワードによって分類される
正規表現:特定の正規表現パターンに基づいて分類される
これらのカテゴリの中で最も高いリスクがファイルの最終リスクレベルを決定します。
調査と分析
Amazon Macieの調査機能を使用すると、詳細な分析のためにすべてのMacieデータを対象としたカスタムクエリが可能です。フィルタにはCloudTrailデータ、S3バケットのプロパティ、S3オブジェクトが含まれます。さらに、他のアカウントをAmazon Macieと共有することができ、共同データ管理とセキュリティモニタリングを容易にします。
列挙
ポストエクスプロイテーション
攻撃者の視点からは、このサービスは攻撃者を検出するためではなく、保存されたファイル内の機密情報を検出するために作成されています。したがって、このサービスは攻撃者がバケツ内の機密情報を見つけるのに役立つかもしれません。 ただし、攻撃者は、被害者がアラートを受け取るのを防ぎ、その情報をより簡単に盗むために妨害することにも興味を持つかもしれません。
TODO: PRs are welcome!
参考文献
最終更新