AWS - Macie Enum
AWS - Macie Enum
Macie
O Amazon Macie se destaca como um serviço projetado para detectar, classificar e identificar dados dentro de uma conta AWS. Ele utiliza aprendizado de máquina para monitorar e analisar continuamente dados, focando principalmente em detectar e alertar contra atividades incomuns ou suspeitas, examinando dados de eventos de cloud trail e padrões de comportamento do usuário.
Recursos principais do Amazon Macie:
Revisão Ativa de Dados: Utiliza aprendizado de máquina para revisar ativamente dados à medida que várias ações ocorrem na conta AWS.
Detecção de Anomalias: Identifica atividades irregulares ou padrões de acesso, gerando alertas para mitigar potenciais riscos de exposição de dados.
Monitoramento Contínuo: Monitora e detecta automaticamente novos dados no Amazon S3, utilizando aprendizado de máquina e inteligência artificial para se adaptar aos padrões de acesso aos dados ao longo do tempo.
Classificação de Dados com NLP: Utiliza processamento de linguagem natural (NLP) para classificar e interpretar diferentes tipos de dados, atribuindo pontuações de risco para priorizar descobertas.
Monitoramento de Segurança: Identifica dados sensíveis à segurança, incluindo chaves de API, chaves secretas e informações pessoais, ajudando a prevenir vazamentos de dados.
O Amazon Macie é um serviço regional e requer a função IAM 'AWSMacieServiceCustomerSetupRole' e um AWS CloudTrail habilitado para funcionar.
Sistema de Alerta
O Macie categoriza alertas em categorias predefinidas como:
Acesso anonimizado
Conformidade de dados
Perda de credenciais
Escalação de privilégios
Ransomware
Acesso suspeito, etc.
Esses alertas fornecem descrições detalhadas e análises de resultados para uma resposta e resolução eficazes.
Recursos do Painel
O painel categoriza dados em várias seções, incluindo:
Objetos S3 (por intervalo de tempo, ACL, PII)
Eventos/Usuários de CloudTrail de alto risco
Locais de atividade
Tipos de identidade de usuário do CloudTrail e muito mais.
Categorização de Usuários
Os usuários são classificados em níveis com base no nível de risco de suas chamadas de API:
Platinum: Chamadas de API de alto risco, frequentemente com privilégios de administrador.
Gold: Chamadas de API relacionadas à infraestrutura.
Silver: Chamadas de API de médio risco.
Bronze: Chamadas de API de baixo risco.
Tipos de Identidade
Os tipos de identidade incluem Root, IAM user, Assumed Role, Federated User, AWS Account e AWS Service, indicando a origem das solicitações.
Classificação de Dados
A classificação de dados engloba:
Tipo de Conteúdo: Com base no tipo de conteúdo detectado.
Extensão de Arquivo: Com base na extensão do arquivo.
Tema: Categorizado por palavras-chave dentro dos arquivos.
Regex: Categorizado com base em padrões de regex específicos.
O maior risco entre essas categorias determina o nível de risco final do arquivo.
Pesquisa e Análise
A função de pesquisa do Amazon Macie permite consultas personalizadas em todos os dados do Macie para análises detalhadas. Os filtros incluem Dados do CloudTrail, propriedades do Bucket S3 e Objetos S3. Além disso, ele suporta convidar outras contas para compartilhar o Amazon Macie, facilitando a gestão colaborativa de dados e monitoramento de segurança.
Enumeração
Pós Exploração
Do ponto de vista de um atacante, este serviço não é feito para detectar o atacante, mas sim para detectar informações sensíveis nos arquivos armazenados. Portanto, este serviço pode ajudar um atacante a encontrar informações sensíveis dentro dos buckets. No entanto, talvez um atacante também possa estar interessado em interrompê-lo para evitar que a vítima receba alertas e roubar essas informações mais facilmente.
TODO: Pull Requests são bem-vindos!
Referências
Última actualización