AWS - Macie Enum
AWS - Macie Enum
Macie
Amazon Macie виділяється як сервіс, призначений для автоматичного виявлення, класифікації та ідентифікації даних в межах облікового запису AWS. Він використовує машинне навчання для постійного моніторингу та аналізу даних, переважно зосереджуючись на виявленні та сповіщенні про незвичайні або підозрілі дії, аналізуючи дані подій хмари та шаблони поведінки користувачів.
Основні функції Amazon Macie:
Активний огляд даних: Використовує машинне навчання для активного огляду даних під час виконання різних дій в обліковому записі AWS.
Виявлення аномалій: Виявляє неправильні дії або шаблони доступу, генеруючи сповіщення для зменшення можливих ризиків витоку даних.
Постійний моніторинг: Автоматично моніторить та виявляє нові дані в Amazon S3, використовуючи машинне навчання та штучний інтелект для адаптації до шаблонів доступу до даних з часом.
Класифікація даних за допомогою NLP: Використовує обробку природної мови (NLP) для класифікації та інтерпретації різних типів даних, призначаючи оцінки ризику для пріоритизації результатів.
Моніторинг безпеки: Виявляє дані, які мають відношення до безпеки, включаючи ключі API, секретні ключі та особисту інформацію, що допомагає запобігти витоку даних.
Amazon Macie є регіональним сервісом і потребує ролі IAM 'AWSMacieServiceCustomerSetupRole' та увімкненого AWS CloudTrail для функціональності.
Система сповіщень
Macie категоризує сповіщення на попередньо визначені категорії, такі як:
Анонімний доступ
Відповідність даних
Втрата облікових даних
Підвищення привілеїв
Вірус-вимагач
Підозрілий доступ тощо.
Ці сповіщення надають детальні описи та розбивку результатів для ефективної відповіді та вирішення проблем.
Особливості панелі інструментів
Панель інструментів категоризує дані на різні розділи, включаючи:
Об'єкти S3 (за проміжком часу, ACL, PII)
Високоризикові події/користувачі CloudTrail
Місця дій
Типи ідентифікації користувачів CloudTrail та інше.
Категоризація користувачів
Користувачі класифікуються на рівні за рівнем ризику їхніх викликів API:
Платиновий: Виклики API високого ризику, часто з адміністративними привілеями.
Золотий: Виклики API, пов'язані з інфраструктурою.
Срібний: Виклики API середнього ризику.
Бронзовий: Виклики API низького ризику.
Типи ідентифікації
Типи ідентифікації включають Root, IAM користувач, Припущена роль, Федерований користувач, Обліковий запис AWS та Служба AWS, вказуючи джерело запитів.
Класифікація даних
Класифікація даних охоплює:
Тип вмісту: На основі виявленого типу вмісту.
Розширення файлу: На основі розширення файлу.
Тема: Категоризовано за ключовими словами у файлах.
Regex: Категоризовано на основі конкретних шаблонів regex.
Найвищий ризик серед цих категорій визначає остаточний рівень ризику файлу.
Дослідження та аналіз
Функція дослідження Amazon Macie дозволяє виконувати власні запити по всіх даних Macie для глибокого аналізу. Фільтри включають дані CloudTrail, властивості віджили S3 та об'єкти S3. Крім того, вона підтримує запрошення інших облікових записів для спільного використання Amazon Macie, сприяючи спільному управлінню даними та моніторингу безпеки.
Нумерація
Післяексплуатаційний етап
З точки зору атакувальника, цей сервіс не створений для виявлення атакувальника, але для виявлення чутливої інформації в збережених файлах. Тому цей сервіс може допомогти атакувальнику знайти чутливу інформацію всередині відра. Однак, можливо, атакувальник також може бути зацікавлений у його руйнуванні, щоб запобігти жертві отримувати сповіщення та легше вкрасти цю інформацію.
TODO: PRs are welcome!
References
Last updated