AWS - Macie Enum
AWS - Macie Enum
Macie
Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в межах облікового запису AWS. Він використовує машинне навчання для постійного моніторингу та аналізу даних, переважно зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані подій хмарного трейлу та патерни поведінки користувачів.
Основні функції Amazon Macie:
Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
Виявлення аномалій: Виявляє неправильні дії або шаблони доступу, генеруючи сповіщення для зменшення можливих ризиків витоку даних.
Постійний моніторинг: Автоматично моніторить та виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до патернів доступу до даних з часом.
Класифікація даних за допомогою NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, призначаючи ризикові оцінки для пріоритетизації результатів.
Моніторинг безпеки: Виявляє дані, які мають важливе значення для безпеки, включаючи API-ключі, секретні ключі та особисту інформацію, допомагаючи запобігти витоку даних.
Amazon Macie є регіональним сервісом і вимагає роль IAM 'AWSMacieServiceCustomerSetupRole' та увімкнений AWS CloudTrail для функціональності.
Система сповіщень
Macie категоризує сповіщення на попередньо визначені категорії, такі як:
Анонімний доступ
Відповідність даних
Втрата облікових даних
Підвищення привілеїв
Вірус-вимагач
Підозрілий доступ тощо.
Ці сповіщення надають детальні описи та розбивку результатів для ефективної відповіді та вирішення проблем.
Особливості панелі інструментів
Панель інструментів категоризує дані на різні розділи, включаючи:
Об'єкти S3 (за діапазоном часу, ACL, PII)
Події/користувачі з високим ризиком CloudTrail
Місця дій
Типи ідентифікації користувачів CloudTrail та інше.
Категоризація користувачів
Користувачі класифікуються на рівні за рівнем ризику їхніх API-викликів:
Платиновий: API-виклики з високим ризиком, часто з адміністративними привілеями.
Золотий: API-виклики, пов'язані з інфраструктурою.
Срібний: API-виклики середнього ризику.
Бронзовий: API-виклики низького ризику.
Типи ідентифікації
Типи ідентифікації включають Root, IAM-користувач, Припущена роль, Федерований користувач, Обліковий запис AWS та Служба AWS, вказуючи джерело запитів.
Класифікація даних
Класифікація даних охоплює:
Тип вмісту: На основі виявленого типу вмісту.
Розширення файлу: На основі розширення файлу.
Тема: Категоризовано за ключовими словами у файлі.
Regex: Категоризовано на основі конкретних шаблонів regex.
Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.
Дослідження та аналіз
Функція дослідження Amazon Macie дозволяє виконувати користувацькі запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості віджили S3 та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, сприяючи спільному управлінню даними та моніторингу безпеки.
Перелік
Післяексплуатаційний етап
З точки зору атакувальника, ця служба не призначена для виявлення атакувальника, але для виявлення чутливої інформації в збережених файлах. Тому ця служба може допомогти атакувальнику знайти чутливу інформацію всередині відра. Однак, можливо, атакувальник також може бути зацікавлений у її руйнуванні, щоб запобігти жертві отримувати сповіщення та легше вкрасти цю інформацію.
TODO: Pull Request-и вітаються!
Посилання
Last updated