AWS - Macie Enum

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

회사를 HackTricks에서 광고하거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 스웨그를 얻으세요.
The PEASS Family를 발견하세요. 독점적인 NFTs 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 해킹 트릭을 공유하세요.

Macie

Amazon Macie는 AWS 계정 내에서 데이터를 자동으로 감지, 분류 및 식별하는 서비스로, 머신 러닝을 활용하여 데이터를 지속적으로 모니터링하고 분석하며, 주로 클라우드 트레일 이벤트 데이터와 사용자 동작 패턴을 검사하여 비정상적이거나 의심스러운 활동을 감지하고 경고합니다.

Amazon Macie의 주요 기능:

활성 데이터 검토: AWS 계정 내에서 다양한 작업이 발생할 때 머신 러닝을 사용하여 데이터를 활성적으로 검토합니다.
이상 감지: 비정상적인 활동이나 액세스 패턴을 식별하여 데이터 노출 위험을 완화하기 위한 경고를 생성합니다.
지속적인 모니터링: Amazon S3에서 새로운 데이터를 자동으로 모니터링하고 감지하며, 데이터 액세스 패턴에 대한 머신 러닝과 인공 지능을 적응시킵니다.
NLP를 사용한 데이터 분류: 자연어 처리(NLP)를 활용하여 다양한 데이터 유형을 분류하고 해석하며, 결과를 우선순위에 따라 위험 점수를 할당합니다.
보안 모니터링: API 키, 비밀 키 및 개인 정보를 포함한 보안에 민감한 데이터를 식별하여 데이터 누출을 방지합니다.

Amazon Macie는 지역 서비스이며, 기능을 위해 'AWSMacieServiceCustomerSetupRole' IAM 역할과 활성화된 AWS CloudTrail이 필요합니다.

경고 시스템

Macie는 다음과 같은 사전 정의된 카테고리로 경고를 분류합니다:

익명 액세스
데이터 준수
자격 증명 손실
권한 상승
랜섬웨어
의심스러운 액세스 등

이러한 경고는 효과적인 대응과 해결을 위해 자세한 설명과 결과 분석을 제공합니다.

대시보드 기능

대시보드는 다음과 같은 다양한 섹션으로 데이터를 분류합니다:

S3 객체 (시간 범위, ACL, PII)
고위험 CloudTrail 이벤트/사용자
활동 위치
CloudTrail 사용자 신원 유형 등

사용자 분류

사용자는 API 호출의 위험 수준에 따라 다음과 같은 등급으로 분류됩니다:

플래티넘: 관리자 권한을 가진 고위험 API 호출.
골드: 인프라 관련 API 호출.
실버: 중간 위험 API 호출.
브론즈: 낮은 위험 API 호출.

신원 유형

신원 유형에는 Root, IAM 사용자, 가정 역할, 연합 사용자, AWS 계정 및 AWS 서비스가 포함되며, 요청의 출처를 나타냅니다.

데이터 분류

데이터 분류는 다음을 포함합니다:

콘텐츠 유형: 감지된 콘텐츠 유형에 기반합니다.
파일 확장자: 파일 확장자에 기반합니다.
테마: 파일 내 키워드로 분류됩니다.
정규식: 특정 정규식 패턴에 기반하여 분류됩니다.

이러한 카테고리 중 가장 높은 위험 수준이 파일의 최종 위험 수준을 결정합니다.

연구 및 분석

Amazon Macie의 연구 기능을 사용하면 깊이 있는 분석을 위해 모든 Macie 데이터에 대한 사용자 정의 쿼리를 수행할 수 있습니다. 필터에는 CloudTrail 데이터, S3 버킷 속성 및 S3 객체가 포함됩니다. 또한, 다른 계정을 Amazon Macie와 공유할 수 있도록 지원하여 협업적인 데이터 관리와 보안 모니터링을 용이하게 합니다.

열거

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

사후 침투

공격자의 관점에서 이 서비스는 공격자를 탐지하는 것이 아니라 저장된 파일에서 민감한 정보를 탐지하기 위해 만들어진 것입니다. 따라서 이 서비스는 공격자가 버킷 내에서 민감한 정보를 찾는 데 도움이 될 수 있습니다. 하지만 공격자는 또한 피해자가 경고를 받지 못하도록 방해하고 그 정보를 쉽게 도난할 수 있도록 관심을 가질 수도 있습니다.

TODO: PR은 환영합니다!

참고 자료

https://cloudacademy.com/blog/introducing-aws-security-hub/

htARTE (HackTricks AWS Red Team Expert)를 통해 AWS 해킹을 처음부터 전문가까지 배워보세요!

HackTricks를 지원하는 다른 방법:

HackTricks에서 회사 광고를 보거나 HackTricks를 PDF로 다운로드하려면 SUBSCRIPTION PLANS를 확인하세요!
공식 PEASS & HackTricks 상품을 구매하세요.
The PEASS Family를 발견하세요. 독점적인 NFT 컬렉션입니다.
💬 Discord 그룹 또는 텔레그램 그룹에 참여하거나 Twitter 🐦 @hacktricks_live를 팔로우하세요.
HackTricks와 HackTricks Cloud github 저장소에 PR을 제출하여 여러분의 해킹 기법을 공유하세요.

前へAWS - Inspector Enum 次へAWS - Security Hub Enum

最終更新 2 か月前