gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-04 19:11:41 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-services/aws-macie-en

Browse Source
This commit is contained in:
Translator
2025-08-21 00:25:48 +00:00
parent f5499c0cea
commit 17ae272ceb
22 changed files with 611 additions and 2040 deletions
Download Patch File Download Diff File Expand all files Collapse all files

145
src/pentesting-cloud/aws-security/aws-services/aws-macie-enum.md
View File

@@ -1,15 +1,78 @@
# Amazon Macie
## Uvod
{{#include ../../../banners/hacktricks-training.md}}
Amazon Macie je servis za bezbednost podataka koji otkriva osetljive podatke koristeći mašinsko učenje i prepoznavanje obrazaca, pruža uvid u rizike bezbednosti podataka i omogućava automatsku zaštitu od tih rizika.
## Macie
Amazon Macie se izdvaja kao usluga dizajnirana da **automatski otkriva, klasifikuje i identifikuje podatke** unutar AWS naloga. Koristi **mašinsko učenje** za kontinuirano praćenje i analizu podataka, fokusirajući se prvenstveno na otkrivanje i upozoravanje na neobične ili sumnjive aktivnosti ispitivanjem **cloud trail event** podataka i obrazaca ponašanja korisnika.
Ključne karakteristike Amazon Macie:
1. **Aktivna revizija podataka**: Koristi mašinsko učenje za aktivno pregledanje podataka dok se različite radnje dešavaju unutar AWS naloga.
2. **Otkrivanje anomalija**: Identifikuje nepravilne aktivnosti ili obrasce pristupa, generišući upozorenja kako bi umanjila potencijalne rizike od izlaganja podataka.
3. **Kontinuirano praćenje**: Automatski prati i otkriva nove podatke u Amazon S3, koristeći mašinsko učenje i veštačku inteligenciju kako bi se prilagodio obrascima pristupa podacima tokom vremena.
4. **Klasifikacija podataka uz NLP**: Koristi obradu prirodnog jezika (NLP) za klasifikaciju i interpretaciju različitih tipova podataka, dodeljujući rizik ocene kako bi prioritizovao nalaze.
5. **Praćenje bezbednosti**: Identifikuje podatke o bezbednosti, uključujući API ključeve, tajne ključeve i lične informacije, pomažući u sprečavanju curenja podataka.
Amazon Macie je **regionalna usluga** i zahteva 'AWSMacieServiceCustomerSetupRole' IAM Role i omogućeni AWS CloudTrail za funkcionalnost.
### Sistem upozorenja
Macie kategorizuje upozorenja u unapred definisane kategorije kao što su:
- Anonimizovani pristup
- Usklađenost podataka
- Gubitak akreditiva
- Eskalacija privilegija
- Ransomware
- Sumnjiv pristup, itd.
Ova upozorenja pružaju detaljne opise i razlaganje rezultata za efikasan odgovor i rešavanje.
### Karakteristike kontrolne table
Kontrolna tabla kategorizuje podatke u različite sekcije, uključujući:
- S3 objekti (po vremenskom opsegu, ACL, PII)
- Visoko rizični CloudTrail događaji/korisnici
- Lokacije aktivnosti
- Tipovi identiteta CloudTrail korisnika, i još mnogo toga.
### Kategorizacija korisnika
Korisnici su klasifikovani u nivoe na osnovu nivoa rizika njihovih API poziva:
- **Platinum**: Visoko rizični API pozivi, često sa administratorskim privilegijama.
- **Gold**: API pozivi vezani za infrastrukturu.
- **Silver**: Srednje rizični API pozivi.
- **Bronze**: Nisko rizični API pozivi.
### Tipovi identiteta
Tipovi identiteta uključuju Root, IAM korisnika, Pretpostavljenu ulogu, Federisanog korisnika, AWS nalog i AWS uslugu, ukazujući na izvor zahteva.
### Klasifikacija podataka
Klasifikacija podataka obuhvata:
- Content-Type: Na osnovu otkrivenog tipa sadržaja.
- Ekstenzija fajla: Na osnovu ekstenzije fajla.
- Tema: Kategorizovana prema ključnim rečima unutar fajlova.
- Regex: Kategorizovana na osnovu specifičnih regex obrazaca.
Najveći rizik među ovim kategorijama određuje konačni nivo rizika fajla.
### Istraživanje i analiza
Istraživačka funkcija Amazon Macie omogućava prilagođene upite preko svih Macie podataka za dubinsku analizu. Filteri uključuju CloudTrail podatke, S3 Bucket svojstva i S3 objekte. Pored toga, podržava pozivanje drugih naloga da dele Amazon Macie, olakšavajući kolaborativno upravljanje podacima i praćenje bezbednosti.
## Listing Findings with AWS Console
Nakon skeniranja određenog S3 bucket-a za tajne i osetljive podatke, rezultati će biti generisani i prikazani u konzoli. Ovlašćeni korisnici sa dovoljnim dozvolama mogu da vide i navedu ove nalaze za svaki posao.
Nakon skeniranja specifičnog S3 bucket-a za tajne i osetljive podatke, nalazi će biti generisani i prikazani u konzoli. Ovlašćeni korisnici sa dovoljnim dozvolama mogu pregledati i listati ove nalaze za svaki posao.
<img width="1438" alt="Screenshot 2025-02-10 at 19 08 08" src="https://github.com/user-attachments/assets/4420f13e-c071-4ae4-946b-6fe67449a9f6" />
## Revealing Secret
Amazon Macie pruža funkciju koja prikazuje otkrivene tajne u formatu običnog teksta. Ova funkcionalnost pomaže u identifikaciji kompromitovanih podataka. Međutim, prikazivanje tajni u običnom tekstu se generalno ne smatra najboljom praksom zbog bezbednosnih briga, jer bi moglo potencijalno izložiti osetljive informacije.
@@ -18,30 +81,62 @@ Amazon Macie pruža funkciju koja prikazuje otkrivene tajne u formatu običnog t
<img width="1154" alt="Screenshot 2025-02-10 at 19 15 11" src="https://github.com/user-attachments/assets/df616e56-a11a-41da-ac69-0bea37d143a5" />
## Enumeration
### Enumeration
```bash
# List and describe classification jobs
aws macie2 list-classification-jobs --region eu-west-1
aws macie2 describe-classification-job --job-id <Job_ID> --region eu-west-1
# Get buckets
aws macie2 describe-buckets
# Org config
aws macie2 describe-organization-configuration
# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org
# Get macie account members (run this from the admin account)
aws macie2 list-members
# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration
# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>
# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>
# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>
# Retrieve account details and statistics
aws macie2 get-macie-session --region eu-west-1
aws macie2 get-usage-statistics --region eu-west-1
# List and manage Macie members (for organizations)
aws macie2 list-members --region eu-west-1
# List findings and get detailed information about specific findings
aws macie2 list-findings --region eu-west-1
aws macie2 get-findings --finding-id <Finding_ID> --region eu-west-1
# Manage custom data identifiers
aws macie2 list-custom-data-identifiers --region eu-west-1
aws macie2 get-custom-data-identifier --id <Identifier_ID> --region eu-west-1
# List and detail findings filters
aws macie2 list-findings-filters --region eu-west-1
aws macie2 get-findings-filter --id <Filter_ID> --region eu-west-1
aws macie2 get-macie-session
aws macie2 get-usage-statistic
```
### Privesc
{{#ref}}
../aws-privilege-escalation/aws-macie-privesc.md
{{#endref}}
### Post Exploitation
> [!TIP]
> Iz perspektive napadača, ova usluga nije napravljena da detektuje napadača, već da detektuje osetljive informacije u sačuvanim datotekama. Stoga, ova usluga može **pomoći napadaču da pronađe osetljive informacije** unutar kanti.\
> Međutim, možda bi napadač takođe mogao biti zainteresovan da je ometa kako bi sprečio žrtvu da dobije upozorenja i lakše ukrade te informacije.
TODO: PRs are welcome!
## References
- [https://cloudacademy.com/blog/introducing-aws-security-hub/](https://cloudacademy.com/blog/introducing-aws-security-hub/)
{{#include ../../../banners/hacktricks-training.md}}