AWS - Macie Enum

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити рекламу вашої компанії на HackTricks або завантажити HackTricks у форматі PDF, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks і HackTricks Cloud репозиторіїв на GitHub.

Macie

Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в межах облікового запису AWS. Він використовує машинне навчання для постійного моніторингу та аналізу даних, переважно зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані подій хмарного трейлу та патерни поведінки користувачів.

Основні функції Amazon Macie:

Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
Виявлення аномалій: Виявляє неправильні дії або шаблони доступу, генеруючи сповіщення для зменшення можливих ризиків витоку даних.
Постійний моніторинг: Автоматично моніторить та виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до патернів доступу до даних з часом.
Класифікація даних за допомогою NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, призначаючи ризикові оцінки для пріоритетизації результатів.
Моніторинг безпеки: Виявляє дані, які мають важливе значення для безпеки, включаючи API-ключі, секретні ключі та особисту інформацію, допомагаючи запобігти витоку даних.

Amazon Macie є регіональним сервісом і вимагає роль IAM 'AWSMacieServiceCustomerSetupRole' та увімкнений AWS CloudTrail для функціональності.

Система сповіщень

Macie категоризує сповіщення на попередньо визначені категорії, такі як:

Анонімний доступ
Відповідність даних
Втрата облікових даних
Підвищення привілеїв
Вірус-вимагач
Підозрілий доступ тощо.

Ці сповіщення надають детальні описи та розбивку результатів для ефективної відповіді та вирішення проблем.

Особливості панелі інструментів

Панель інструментів категоризує дані на різні розділи, включаючи:

Об'єкти S3 (за діапазоном часу, ACL, PII)
Події/користувачі з високим ризиком CloudTrail
Місця дій
Типи ідентифікації користувачів CloudTrail та інше.

Категоризація користувачів

Користувачі класифікуються на рівні за рівнем ризику їхніх API-викликів:

Платиновий: API-виклики з високим ризиком, часто з адміністративними привілеями.
Золотий: API-виклики, пов'язані з інфраструктурою.
Срібний: API-виклики середнього ризику.
Бронзовий: API-виклики низького ризику.

Типи ідентифікації

Типи ідентифікації включають Root, IAM-користувач, Припущена роль, Федерований користувач, Обліковий запис AWS та Служба AWS, вказуючи джерело запитів.

Класифікація даних

Класифікація даних охоплює:

Тип вмісту: На основі виявленого типу вмісту.
Розширення файлу: На основі розширення файлу.
Тема: Категоризовано за ключовими словами у файлі.
Regex: Категоризовано на основі конкретних шаблонів regex.

Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.

Дослідження та аналіз

Функція дослідження Amazon Macie дозволяє виконувати користувацькі запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості віджили S3 та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, сприяючи спільному управлінню даними та моніторингу безпеки.

Перелік

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this form the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers

Післяексплуатаційний етап

З точки зору атакувальника, ця служба не призначена для виявлення атакувальника, але для виявлення чутливої інформації в збережених файлах. Тому ця служба може допомогти атакувальнику знайти чутливу інформацію всередині відра. Однак, можливо, атакувальник також може бути зацікавлений у її руйнуванні, щоб запобігти жертві отримувати сповіщення та легше вкрасти цю інформацію.

TODO: Pull Request-и вітаються!

Посилання

https://cloudacademy.com/blog/introducing-aws-security-hub/

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію рекламовану в HackTricks або завантажити HackTricks у PDF-форматі, перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте для себе Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи Telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

PreviousAWS - Inspector Enum NextAWS - Security Hub Enum

Last updated 1 month ago