Amazon Macie

Reading time: 6 minutes

Macie

Amazon Macie se distingue comme un service conçu pour détecter, classer et identifier automatiquement les données au sein d'un compte AWS. Il utilise l'apprentissage automatique pour surveiller et analyser en continu les données, se concentrant principalement sur la détection et l'alerte contre des activités inhabituelles ou suspectes en examinant les données des événements de cloud trail et les modèles de comportement des utilisateurs.

Caractéristiques clés d'Amazon Macie :

1. Revue active des données : Utilise l'apprentissage automatique pour examiner activement les données à mesure que diverses actions se produisent au sein du compte AWS.
2. Détection d'anomalies : Identifie les activités ou les modèles d'accès irréguliers, générant des alertes pour atténuer les risques potentiels d'exposition des données.
3. Surveillance continue : Surveille et détecte automatiquement de nouvelles données dans Amazon S3, utilisant l'apprentissage automatique et l'intelligence artificielle pour s'adapter aux modèles d'accès aux données au fil du temps.
4. Classification des données avec le NLP : Utilise le traitement du langage naturel (NLP) pour classer et interpréter différents types de données, attribuant des scores de risque pour prioriser les résultats.
5. Surveillance de la sécurité : Identifie les données sensibles sur le plan de la sécurité, y compris les clés API, les clés secrètes et les informations personnelles, aidant à prévenir les fuites de données.

Amazon Macie est un service régional et nécessite le rôle IAM 'AWSMacieServiceCustomerSetupRole' et un AWS CloudTrail activé pour fonctionner.

Système d'alerte

Macie catégorise les alertes en catégories prédéfinies telles que :

• Accès anonymisé
• Conformité des données
• Perte de crédentiels
• Escalade de privilèges
• Ransomware
• Accès suspect, etc.

Ces alertes fournissent des descriptions détaillées et des analyses des résultats pour une réponse et une résolution efficaces.

Fonctionnalités du tableau de bord

Le tableau de bord catégorise les données en différentes sections, y compris :

• Objets S3 (par plage de temps, ACL, PII)
• Événements/utilisateurs CloudTrail à haut risque
• Lieux d'activité
• Types d'identité des utilisateurs CloudTrail, et plus encore.

Catégorisation des utilisateurs

Les utilisateurs sont classés en niveaux en fonction du niveau de risque de leurs appels API :

• Platine : Appels API à haut risque, souvent avec des privilèges d'administrateur.
• Or : Appels API liés à l'infrastructure.
• Argent : Appels API à risque moyen.
• Bronze : Appels API à faible risque.

Types d'identité

Les types d'identité incluent Root, utilisateur IAM, rôle assumé, utilisateur fédéré, compte AWS et service AWS, indiquant la source des demandes.

Classification des données

La classification des données englobe :

• Type de contenu : Basé sur le type de contenu détecté.
• Extension de fichier : Basé sur l'extension de fichier.
• Thème : Catégorisé par des mots-clés dans les fichiers.
• Regex : Catégorisé en fonction de motifs regex spécifiques.

Le risque le plus élevé parmi ces catégories détermine le niveau de risque final du fichier.

Recherche et analyse

La fonction de recherche d'Amazon Macie permet des requêtes personnalisées sur toutes les données Macie pour une analyse approfondie. Les filtres incluent les données CloudTrail, les propriétés des buckets S3 et les objets S3. De plus, elle prend en charge l'invitation d'autres comptes à partager Amazon Macie, facilitant la gestion collaborative des données et la surveillance de la sécurité.

Listing Findings with AWS Console

Après avoir scanné un bucket S3 spécifique à la recherche de secrets et de données sensibles, des résultats seront générés et affichés dans la console. Les utilisateurs autorisés avec des permissions suffisantes peuvent voir et lister ces résultats pour chaque tâche.

Revealing Secret

Amazon Macie fournit une fonctionnalité qui affiche les secrets détectés en format texte clair. Cette fonctionnalité aide à l'identification des données compromises. Cependant, afficher des secrets en texte clair n'est généralement pas considéré comme une bonne pratique en raison des préoccupations de sécurité, car cela pourrait potentiellement exposer des informations sensibles.

Enumeration

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

TODO: PRs are welcome!

References

• https://cloudacademy.com/blog/introducing-aws-security-hub/