AWS - Macie Enum

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź SUBSCRIPTION PLANS!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

Macie

Amazon Macie wyróżnia się jako usługa zaprojektowana do automatycznego wykrywania, klasyfikowania i identyfikowania danych w ramach konta AWS. Wykorzystuje uczenie maszynowe do ciągłego monitorowania i analizowania danych, głównie skupiając się na wykrywaniu i ostrzeganiu przed nietypowymi lub podejrzanymi działaniami poprzez analizę danych zdarzeń ścieżki w chmurze i wzorców zachowań użytkowników.

Główne cechy Amazon Macie:

Aktywne przeglądanie danych: Wykorzystuje uczenie maszynowe do aktywnego przeglądania danych w miarę różnych działań w ramach konta AWS.
Wykrywanie anomalii: Identyfikuje nieregularne działania lub wzorce dostępu, generując alerty w celu ograniczenia potencjalnych ryzyk związanych z ujawnieniem danych.
Ciągłe monitorowanie: Automatycznie monitoruje i wykrywa nowe dane w Amazon S3, wykorzystując uczenie maszynowe i sztuczną inteligencję do dostosowywania się do wzorców dostępu do danych w czasie.
Klasyfikacja danych za pomocą NLP: Wykorzystuje przetwarzanie języka naturalnego (NLP) do klasyfikacji i interpretacji różnych typów danych, przypisując im oceny ryzyka w celu priorytetyzacji wyników.
Monitorowanie bezpieczeństwa: Identyfikuje dane wrażliwe z punktu widzenia bezpieczeństwa, takie jak klucze API, klucze prywatne i dane osobowe, pomagając zapobiegać wyciekom danych.

Amazon Macie to usługa regionalna i wymaga roli IAM 'AWSMacieServiceCustomerSetupRole' oraz włączonego AWS CloudTrail dla funkcjonalności.

System alertów

Macie kategoryzuje alerty na predefiniowane kategorie, takie jak:

Anonimowy dostęp
Zgodność danych
Utrata poświadczeń
Eskalacja uprawnień
Ransomware
Podejrzany dostęp itp.

Te alerty zawierają szczegółowe opisy i podziały wyników w celu skutecznej reakcji i rozwiązania.

Funkcje pulpitu

Pulpit kategoryzuje dane na różne sekcje, w tym:

Obiekty S3 (według zakresu czasu, ACL, PII)
Wydarzenia/użytkownicy CloudTrail o wysokim ryzyku
Lokalizacje aktywności
Typy tożsamości użytkowników CloudTrail i wiele innych.

Kategoryzacja użytkowników

Użytkownicy są klasyfikowani na poziomy ryzyka ich wywołań interfejsu API:

Platyna: Wywołania interfejsu API o wysokim ryzyku, często z uprawnieniami administratora.
Złoto: Wywołania interfejsu API związane z infrastrukturą.
Srebro: Wywołania interfejsu API o średnim ryzyku.
Brąz: Wywołania interfejsu API o niskim ryzyku.

Typy tożsamości

Typy tożsamości obejmują Root, użytkownik IAM, Assumed Role, Federated User, AWS Account i AWS Service, wskazując źródło żądań.

Klasyfikacja danych

Klasyfikacja danych obejmuje:

Typ zawartości: Na podstawie wykrytego typu zawartości.
Rozszerzenie pliku: Na podstawie rozszerzenia pliku.
Temat: Kategoryzowane na podstawie słów kluczowych w plikach.
Wyrażenie regularne: Kategoryzowane na podstawie określonych wzorców wyrażeń regularnych.

Najwyższe ryzyko spośród tych kategorii określa ostateczny poziom ryzyka pliku.

Badania i analiza

Funkcja badawcza Amazon Macie umożliwia tworzenie niestandardowych zapytań dotyczących wszystkich danych Macie w celu przeprowadzenia dogłębnej analizy. Filtry obejmują dane CloudTrail, właściwości kubełka S3 i obiekty S3. Ponadto, obsługuje zapraszanie innych kont do udostępniania Amazon Macie, ułatwiając współpracę w zakresie zarządzania danymi i monitorowania bezpieczeństwa.

Wyliczenie

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Post Eksploatacja

Z perspektywy atakującego, ta usługa nie służy do wykrywania atakującego, ale do wykrywania wrażliwych informacji w przechowywanych plikach. Dlatego ta usługa może pomóc atakującemu w znalezieniu wrażliwych informacji wewnątrz kubełków. Jednak atakujący może również być zainteresowany zakłóceniem jej działania w celu uniemożliwienia ofierze otrzymywania alertów i łatwiejszego kradzieży tych informacji.

TODO: PRy są mile widziane!

Referencje

https://cloudacademy.com/blog/introducing-aws-security-hub/

Naucz się hakować AWS od zera do bohatera z htARTE (HackTricks AWS Red Team Expert)!

Inne sposoby wsparcia HackTricks:

Jeśli chcesz zobaczyć swoją firmę reklamowaną w HackTricks lub pobrać HackTricks w formacie PDF, sprawdź PLAN SUBSKRYPCJI!
Zdobądź oficjalne gadżety PEASS & HackTricks
Odkryj Rodzinę PEASS, naszą kolekcję ekskluzywnych NFT
Dołącz do 💬 grupy Discord lub grupy telegramowej lub śledź nas na Twitterze 🐦 @hacktricks_live.
Podziel się swoimi trikami hakerskimi, przesyłając PR-y do HackTricks i HackTricks Cloud github repos.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 2 months ago