Amazon Macie

Reading time: 6 minutes

Macie

Amazon Macie hebt sich als ein Dienst hervor, der automatisch Daten innerhalb eines AWS-Kontos erkennen, klassifizieren und identifizieren kann. Er nutzt maschinelles Lernen, um Daten kontinuierlich zu überwachen und zu analysieren, wobei der Schwerpunkt auf der Erkennung und Alarmierung bei ungewöhnlichen oder verdächtigen Aktivitäten durch die Untersuchung von CloudTrail-Ereignisdaten und Benutzerverhaltensmustern liegt.

Wichtige Funktionen von Amazon Macie:

1. Aktive Datenüberprüfung: Nutzt maschinelles Lernen, um Daten aktiv zu überprüfen, während verschiedene Aktionen im AWS-Konto stattfinden.
2. Anomalieerkennung: Identifiziert unregelmäßige Aktivitäten oder Zugriffsverhalten und generiert Alarme, um potenzielle Risiken einer Datenexposition zu mindern.
3. Kontinuierliche Überwachung: Überwacht und erkennt automatisch neue Daten in Amazon S3 und verwendet maschinelles Lernen und künstliche Intelligenz, um sich im Laufe der Zeit an Zugriffsverhalten anzupassen.
4. Datenklassifizierung mit NLP: Nutzt die Verarbeitung natürlicher Sprache (NLP), um verschiedene Datentypen zu klassifizieren und zu interpretieren, wobei Risikobewertungen zugewiesen werden, um Ergebnisse zu priorisieren.
5. Sicherheitsüberwachung: Identifiziert sicherheitsrelevante Daten, einschließlich API-Schlüssel, geheimer Schlüssel und persönlicher Informationen, um Datenlecks zu verhindern.

Amazon Macie ist ein regionaler Dienst und erfordert die IAM-Rolle 'AWSMacieServiceCustomerSetupRole' sowie einen aktivierten AWS CloudTrail für die Funktionalität.

Alarmsystem

Macie kategorisiert Alarme in vordefinierte Kategorien wie:

• Anonymisierter Zugriff
• Datenkonformität
• Verlust von Anmeldeinformationen
• Privilegieneskalation
• Ransomware
• Verdächtiger Zugriff usw.

Diese Alarme bieten detaillierte Beschreibungen und Ergebnisanalysen für eine effektive Reaktion und Lösung.

Dashboard-Funktionen

Das Dashboard kategorisiert Daten in verschiedene Abschnitte, einschließlich:

• S3-Objekte (nach Zeitbereich, ACL, PII)
• Hochrisiko-CloudTrail-Ereignisse/-Benutzer
• Aktivitätsstandorte
• CloudTrail-Benutzeridentitätstypen und mehr.

Benutzerkategorisierung

Benutzer werden basierend auf dem Risikoniveau ihrer API-Aufrufe in Stufen eingeteilt:

• Platin: Hochrisiko-API-Aufrufe, oft mit Administratorrechten.
• Gold: Infrastrukturbezogene API-Aufrufe.
• Silber: API-Aufrufe mit mittlerem Risiko.
• Bronze: API-Aufrufe mit niedrigem Risiko.

Identitätstypen

Identitätstypen umfassen Root, IAM-Benutzer, Angenommene Rolle, Föderierter Benutzer, AWS-Konto und AWS-Dienst, die die Quelle der Anfragen anzeigen.

Datenklassifizierung

Die Datenklassifizierung umfasst:

• Inhaltstyp: Basierend auf dem erkannten Inhaltstyp.
• Dateierweiterung: Basierend auf der Dateierweiterung.
• Thema: Kategorisiert nach Schlüsselwörtern innerhalb von Dateien.
• Regex: Kategorisiert basierend auf spezifischen Regex-Mustern.

Das höchste Risiko unter diesen Kategorien bestimmt das endgültige Risikoniveau der Datei.

Forschung und Analyse

Die Forschungsfunktion von Amazon Macie ermöglicht benutzerdefinierte Abfragen über alle Macie-Daten für eine eingehende Analyse. Filter umfassen CloudTrail-Daten, S3-Bucket-Eigenschaften und S3-Objekte. Darüber hinaus unterstützt es die Einladung anderer Konten zur gemeinsamen Nutzung von Amazon Macie, um die gemeinsame Datenverwaltung und Sicherheitsüberwachung zu erleichtern.

Auflistung von Ergebnissen mit der AWS-Konsole

Nach dem Scannen eines bestimmten S3-Buckets nach Geheimnissen und sensiblen Daten werden Ergebnisse generiert und in der Konsole angezeigt. Autorisierte Benutzer mit ausreichenden Berechtigungen können diese Ergebnisse für jeden Job anzeigen und auflisten.

Offenlegung von Geheimnissen

Amazon Macie bietet eine Funktion, die erkannte Geheimnisse im Klartextformat anzeigt. Diese Funktion hilft bei der Identifizierung der kompromittierten Daten. Die Anzeige von Geheimnissen im Klartext wird jedoch aufgrund von Sicherheitsbedenken im Allgemeinen nicht als beste Praxis angesehen, da sie potenziell sensible Informationen offenlegen könnte.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

TODO: PRs sind willkommen!

References

• https://cloudacademy.com/blog/introducing-aws-security-hub/