AWS - Macie Enum
AWS - Macie Enum
Macie
Amazon Macie wyróżnia się jako usługa zaprojektowana do automatycznego wykrywania, klasyfikowania i identyfikowania danych w ramach konta AWS. Wykorzystuje uczenie maszynowe do ciągłego monitorowania i analizowania danych, głównie skupiając się na wykrywaniu i ostrzeganiu przed nietypowymi lub podejrzanymi działaniami poprzez analizę danych zdarzeń ścieżki w chmurze i wzorców zachowań użytkowników.
Główne cechy Amazon Macie:
Aktywne przeglądanie danych: Wykorzystuje uczenie maszynowe do aktywnego przeglądania danych w miarę różnych działań w ramach konta AWS.
Wykrywanie anomalii: Identyfikuje nieregularne działania lub wzorce dostępu, generując alerty w celu ograniczenia potencjalnych ryzyk związanych z ujawnieniem danych.
Ciągłe monitorowanie: Automatycznie monitoruje i wykrywa nowe dane w Amazon S3, wykorzystując uczenie maszynowe i sztuczną inteligencję do dostosowywania się do wzorców dostępu do danych w czasie.
Klasyfikacja danych za pomocą NLP: Wykorzystuje przetwarzanie języka naturalnego (NLP) do klasyfikacji i interpretacji różnych typów danych, przypisując im oceny ryzyka w celu priorytetyzacji wyników.
Monitorowanie bezpieczeństwa: Identyfikuje dane wrażliwe z punktu widzenia bezpieczeństwa, takie jak klucze API, klucze prywatne i dane osobowe, pomagając zapobiegać wyciekom danych.
Amazon Macie to usługa regionalna i wymaga roli IAM 'AWSMacieServiceCustomerSetupRole' oraz włączonego AWS CloudTrail dla funkcjonalności.
System alertów
Macie kategoryzuje alerty na predefiniowane kategorie, takie jak:
Anonimowy dostęp
Zgodność danych
Utrata poświadczeń
Eskalacja uprawnień
Ransomware
Podejrzany dostęp itp.
Te alerty zawierają szczegółowe opisy i podziały wyników w celu skutecznej reakcji i rozwiązania.
Funkcje pulpitu
Pulpit kategoryzuje dane na różne sekcje, w tym:
Obiekty S3 (według zakresu czasu, ACL, PII)
Wydarzenia/użytkownicy CloudTrail o wysokim ryzyku
Lokalizacje aktywności
Typy tożsamości użytkowników CloudTrail i wiele innych.
Kategoryzacja użytkowników
Użytkownicy są klasyfikowani na poziomy ryzyka ich wywołań interfejsu API:
Platyna: Wywołania interfejsu API o wysokim ryzyku, często z uprawnieniami administratora.
Złoto: Wywołania interfejsu API związane z infrastrukturą.
Srebro: Wywołania interfejsu API o średnim ryzyku.
Brąz: Wywołania interfejsu API o niskim ryzyku.
Typy tożsamości
Typy tożsamości obejmują Root, użytkownik IAM, Assumed Role, Federated User, AWS Account i AWS Service, wskazując źródło żądań.
Klasyfikacja danych
Klasyfikacja danych obejmuje:
Typ zawartości: Na podstawie wykrytego typu zawartości.
Rozszerzenie pliku: Na podstawie rozszerzenia pliku.
Temat: Kategoryzowane na podstawie słów kluczowych w plikach.
Wyrażenie regularne: Kategoryzowane na podstawie określonych wzorców wyrażeń regularnych.
Najwyższe ryzyko spośród tych kategorii określa ostateczny poziom ryzyka pliku.
Badania i analiza
Funkcja badawcza Amazon Macie umożliwia tworzenie niestandardowych zapytań dotyczących wszystkich danych Macie w celu przeprowadzenia dogłębnej analizy. Filtry obejmują dane CloudTrail, właściwości kubełka S3 i obiekty S3. Ponadto, obsługuje zapraszanie innych kont do udostępniania Amazon Macie, ułatwiając współpracę w zakresie zarządzania danymi i monitorowania bezpieczeństwa.
Wyliczenie
Post Eksploatacja
Z perspektywy atakującego, ta usługa nie służy do wykrywania atakującego, ale do wykrywania wrażliwych informacji w przechowywanych plikach. Dlatego ta usługa może pomóc atakującemu w znalezieniu wrażliwych informacji wewnątrz kubełków. Jednak atakujący może również być zainteresowany zakłóceniem jej działania w celu uniemożliwienia ofierze otrzymywania alertów i łatwiejszego kradzieży tych informacji.
TODO: PRy są mile widziane!
Referencje
Last updated