AWS - CloudWatch Enum

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks

CloudWatch

CloudWatch zbiera dane monitorujące i operacyjne w formie logów/metryk/zdarzeń, zapewniając jednolity widok zasobów AWS, aplikacji i usług.
CloudWatch Log Event ma ograniczenie rozmiaru wynoszące 256KB na każdą linię logu.
Może ustawiać alarmy o wysokiej rozdzielczości, wizualizować logi i metryki obok siebie, podejmować automatyczne działania, rozwiązywać problemy i odkrywać spostrzeżenia w celu optymalizacji aplikacji.

Możesz monitorować na przykład logi z CloudTrail. Monitorowane zdarzenia:

Kluczowe pojęcia

Przestrzenie nazw

Przestrzeń nazw to kontener dla metryk CloudWatch. Pomaga w kategoryzacji i izolacji metryk, co ułatwia ich zarządzanie i analizę.

  • Przykłady: AWS/EC2 dla metryk związanych z EC2, AWS/RDS dla metryk RDS.

Metryki

Metryki to punkty danych zbierane w czasie, które reprezentują wydajność lub wykorzystanie zasobów AWS. Metryki mogą być zbierane z usług AWS, aplikacji niestandardowych lub integracji zewnętrznych.

  • Przykład: CPUUtilization, NetworkIn, DiskReadOps.

Wymiary

Wymiary to pary klucz-wartość, które są częścią metryk. Pomagają one unikalnie zidentyfikować metrykę i dostarczają dodatkowego kontekstu, przy czym maksymalna liczba wymiarów, które można powiązać z metryką, wynosi 30. Wymiary umożliwiają również filtrowanie i agregowanie metryk na podstawie określonych atrybutów.

  • Przykład: Dla instancji EC2 wymiary mogą obejmować InstanceId, InstanceType i AvailabilityZone.

Statystyki

Statystyki to obliczenia matematyczne wykonywane na danych metrycznych w celu ich podsumowania w czasie. Powszechne statystyki to Średnia, Suma, Minimum, Maksimum i LiczbaPróbek.

  • Przykład: Obliczanie średniego wykorzystania CPU w okresie jednej godziny.

Jednostki

Jednostki to typ pomiaru związany z metryką. Jednostki pomagają dostarczyć kontekst i znaczenie dla danych metrycznych. Powszechne jednostki to Procent, Bajty, Sekundy, Liczba.

  • Przykład: CPUUtilization może być mierzony w Procentach, podczas gdy NetworkIn może być mierzony w Bajtach.

Funkcje CloudWatch

Dashboard

CloudWatch Dashboards zapewniają dostosowywane widoki metryk AWS CloudWatch. Możliwe jest tworzenie i konfigurowanie dashboardów w celu wizualizacji danych i monitorowania zasobów w jednym widoku, łącząc różne metryki z różnych usług AWS.

Kluczowe funkcje:

  • Widżety: Bloki budujące dashboardy, w tym wykresy, tekst, alarmy i inne.
  • Dostosowanie: Układ i zawartość mogą być dostosowane do specyficznych potrzeb monitorowania.

Przykład zastosowania:

  • Jeden dashboard pokazujący kluczowe metryki dla całego środowiska AWS, w tym instancji EC2, baz danych RDS i kubełków S3.

Strumień metryk i dane metryczne

Strumienie metryk w AWS CloudWatch umożliwiają ciągłe przesyłanie metryk CloudWatch do wybranego miejsca docelowego w niemal rzeczywistym czasie. Jest to szczególnie przydatne do zaawansowanego monitorowania, analityki i niestandardowych dashboardów przy użyciu narzędzi spoza AWS.

Dane metryczne w strumieniach metryk odnoszą się do rzeczywistych pomiarów lub punktów danych, które są przesyłane. Te punkty danych reprezentują różne metryki, takie jak wykorzystanie CPU, użycie pamięci itp., dla zasobów AWS.

Przykład zastosowania:

  • Wysyłanie metryk w czasie rzeczywistym do zewnętrznej usługi monitorującej w celu zaawansowanej analizy.
  • Archiwizowanie metryk w kubełku Amazon S3 do długoterminowego przechowywania i zgodności.

Alarm

Alarmy CloudWatch monitorują twoje metryki i wykonują działania na podstawie zdefiniowanych progów. Gdy metryka przekroczy próg, alarm może wykonać jedno lub więcej działań, takich jak wysyłanie powiadomień za pośrednictwem SNS, uruchamianie polityki automatycznego skalowania lub uruchamianie funkcji AWS Lambda.

Kluczowe komponenty:

  • Próg: Wartość, przy której alarm się uruchamia.
  • Okresy oceny: Liczba okresów, w których dane są oceniane.
  • Punkty danych do alarmu: Liczba okresów z osiągniętym progiem potrzebna do uruchomienia alarmu.
  • Działania: Co się dzieje, gdy stan alarmu jest uruchamiany (np. powiadomienie za pośrednictwem SNS).

Przykład zastosowania:

  • Monitorowanie wykorzystania CPU instancji EC2 i wysyłanie powiadomienia za pośrednictwem SNS, jeśli przekroczy 80% przez 5 kolejnych minut.

Wykrywacze anomalii

Wykrywacze anomalii wykorzystują uczenie maszynowe do automatycznego wykrywania anomalii w twoich metrykach. Możesz zastosować wykrywanie anomalii do dowolnej metryki CloudWatch, aby zidentyfikować odchylenia od normalnych wzorców, które mogą wskazywać na problemy.

Kluczowe komponenty:

  • Szkolenie modelu: CloudWatch wykorzystuje dane historyczne do szkolenia modelu i ustalania, jak wygląda normalne zachowanie.
  • Pasmo wykrywania anomalii: Wizualna reprezentacja oczekiwanego zakresu wartości dla metryki.

Przykład zastosowania:

  • Wykrywanie nietypowych wzorców wykorzystania CPU w instancji EC2, które mogą wskazywać na naruszenie bezpieczeństwa lub problem z aplikacją.

Reguły Insight i zarządzane reguły Insight

Reguły Insight pozwalają na identyfikację trendów, wykrywanie szczytów lub innych interesujących wzorców w danych metrycznych, wykorzystując potężne wyrażenia matematyczne do zdefiniowania warunków, w których powinny być podejmowane działania. Te reguły mogą pomóc w identyfikacji anomalii lub nietypowych zachowań w wydajności i wykorzystaniu zasobów.

Zarządzane reguły Insight to wstępnie skonfigurowane reguły insight dostarczane przez AWS. Są zaprojektowane do monitorowania konkretnych usług AWS lub powszechnych przypadków użycia i mogą być włączane bez potrzeby szczegółowej konfiguracji.

Przykład zastosowania:

  • Monitorowanie wydajności RDS: Włącz zarządzaną regułę insight dla Amazon RDS, która monitoruje kluczowe wskaźniki wydajności, takie jak wykorzystanie CPU, użycie pamięci i I/O dysku. Jeśli którakolwiek z tych metryk przekroczy bezpieczne progi operacyjne, reguła może uruchomić alert lub automatyczną akcję łagodzącą.

CloudWatch Logs

Pozwala na agregację i monitorowanie logów z aplikacji i systemów z usług AWS (w tym CloudTrail) oraz z aplikacji/systemów (CloudWatch Agent może być zainstalowany na hoście). Logi mogą być przechowywane bezterminowo (w zależności od ustawień grupy logów) i mogą być eksportowane.

Elementy:

TerminDefinicja
Grupa logówZbiór strumieni logów, które dzielą te same ustawienia przechowywania, monitorowania i kontroli dostępu
Strumień logówSekwencja zdarzeń logów, które dzielą ten sam źródło
Filtry subskrypcyjneDefiniują wzór filtru, który pasuje do zdarzeń w danej grupie logów, wysyłają je do strumienia Kinesis Data Firehose, strumienia Kinesis lub funkcji Lambda

Monitorowanie i zdarzenia CloudWatch

CloudWatch podstawowy agreguje dane co 5 minut (ten szczegółowy robi to co 1 minutę). Po agregacji sprawdza progi alarmów, aby zobaczyć, czy należy uruchomić jeden.
W takim przypadku CloudWatch może być przygotowany do wysłania zdarzenia i wykonania pewnych automatycznych działań (funkcje AWS lambda, tematy SNS, kolejki SQS, strumienie Kinesis)

Instalacja agenta

Możesz zainstalować agentów wewnątrz swoich maszyn/kontenerów, aby automatycznie wysyłać logi z powrotem do CloudWatch.

  • Utwórz rolę i przypisz ją do instancji z uprawnieniami pozwalającymi CloudWatch na zbieranie danych z instancji oprócz interakcji z menedżerem systemów AWS SSM (CloudWatchAgentAdminPolicy & AmazonEC2RoleforSSM)
  • Pobierz i zainstaluj agenta na instancji EC2 (https://s3.amazonaws.com/amazoncloudwatch-agent/linux/amd64/latest/AmazonCloudWatchAgent.zip). Możesz go pobrać z wnętrza EC2 lub zainstalować automatycznie za pomocą AWS System Manager, wybierając pakiet AWS-ConfigureAWSPackage
  • Skonfiguruj i uruchom agenta CloudWatch

Grupa logów ma wiele strumieni. Strumień ma wiele zdarzeń. A w każdym strumieniu zdarzenia są gwarantowane w kolejności.

Enumeracja

# Dashboards #

## Returns a list of the dashboards of your account
aws cloudwatch list-dashboards

## Retrieves the details of the specified dashboard
aws cloudwatch get-dashboard --dashboard-name <value>

# Metrics #

## Returns a list of the specified metric
aws cloudwatch list-metrics [--namespace <value>] [--metric-name <value>] [--dimensions <value>] [--include-linked-accounts | --no-include-linked-accounts]

## Retrieves metric data (this operation can include a CloudWatch Metrics Insights query, and one or more metric math functions)
aws cloudwatch get-metric-data --metric-data-queries <value> --start-time <value> --end-time <value>

## Retrieves statistics for the specified metric and namespace over a range of time
aws cloudwatch get-metric-statistics --namespace <value> --metric-name <value> [--dimensions <value>] --start-time <value> --end-time <value> --period <value>

## Returns a list of the metric streams of your account
aws cloudwatch list-metric-streams

## Retrieves information about the specified metric stream
aws cloudwatch get-metric-stream --name <value>

## Retrieve snapshots of the specified metric widgets
aws cloudwatch get-metric-widget-image --metric-widget <value>

# Alarms #

## Retrieves the specified alarm
aws cloudwatch describe-alarms [--alarm-names <value>] [--alarm-name-prefix <value>] [--alarm-types <value>] [--state-value <value>]

## Retrieves the alarms history, even for deleted alarms
aws cloudwatch describe-alarm-history [--alarm-name <value>] [--alarm-types <value>] [--history-item-type <ConfigurationUpdate | StateUpdate | Action>] [--start-date <value>] [--end-date <value>]

## Retrieves standard alarms based on the specified metric
aws cloudwatch escribe-alarms-for-metric --metric-name <value> --namespace <value> [--dimensions <value>]

# Anomaly Detections #

## Lists the anomaly detection models that you have created in your account
aws cloudwatch describe-anomaly-detectors [--namespace <value>] [--metric-name <value>] [--dimensions <value>]

## Lists all the Contributor Insight rules in your account
aws cloudwatch describe-insight-rules

## Retrieves the data collected over a time range for a given Contributor Insight rule
aws cloudwatch get-insight-rule-report --rule-name <value> --start-time <value> --end-time <value> --period <value>

## Lists managed Contributor Insights rules in your account for a specified resource
aws cloudwatch list-managed-insight-rules --resource-arn <value>

# Tags #

## Lists the tags associated with the specified CloudWatch resources
aws cloudwatch list-tags-for-resource --resource-arn <value>

# CloudWatch Logs #
aws logs tail "<log_group_name>" --followaws logs get-log-events --log-group-name "<log_group_name>" --log-stream-name "<log_stream_name>" --output text > <output_file>

# CloudWatch Events #
aws events list-rules
aws events describe-rule --name <name>aws events list-targets-by-rule --rule <name>aws events list-archives
aws events describe-archive --archive-name <name>aws events list-connections
aws events describe-connection --name <name>aws events list-endpoints
aws events describe-endpoint --name <name>aws events list-event-sources
aws events describe-event-source --name <name>aws events list-replays
aws events list-api-destinations
aws events list-event-buses

Post-Exploitation / Bypass

cloudwatch:DeleteAlarms,cloudwatch:PutMetricAlarm , cloudwatch:PutCompositeAlarm

Atakujący z tymi uprawnieniami mógłby znacząco osłabić infrastrukturę monitorowania i powiadamiania organizacji. Usuwając istniejące alarmy, atakujący mógłby wyłączyć kluczowe powiadomienia informujące administratorów o krytycznych problemach z wydajnością, naruszeniach bezpieczeństwa lub awariach operacyjnych. Ponadto, tworząc lub modyfikując alarmy metryczne, atakujący mógłby również wprowadzać administratorów w błąd fałszywymi powiadomieniami lub uciszać uzasadnione alarmy, skutecznie maskując złośliwe działania i uniemożliwiając terminowe reakcje na rzeczywiste incydenty.

Dodatkowo, z uprawnieniem cloudwatch:PutCompositeAlarm, atakujący mógłby stworzyć pętlę lub cykl alarmów złożonych, gdzie alarm złożony A zależy od alarmu złożonego B, a alarm złożony B również zależy od alarmu złożonego A. W tym scenariuszu nie jest możliwe usunięcie jakiegokolwiek alarmu złożonego, który jest częścią cyklu, ponieważ zawsze istnieje jeszcze alarm złożony, który zależy od alarmu, który chcesz usunąć.

aws cloudwatch put-metric-alarm --cli-input-json <value> | --alarm-name <value> --comparison-operator <value> --evaluation-periods <value> [--datapoints-to-alarm <value>] [--threshold <value>] [--alarm-description <value>] [--alarm-actions <value>] [--metric-name <value>] [--namespace <value>] [--statistic <value>] [--dimensions <value>] [--period <value>]
aws cloudwatch delete-alarms --alarm-names <value>
aws cloudwatch put-composite-alarm --alarm-name <value> --alarm-rule <value> [--no-actions-enabled | --actions-enabled [--alarm-actions <value>] [--insufficient-data-actions <value>] [--ok-actions <value>] ]

Przykład ten pokazuje, jak uczynić alarm metryczny nieskutecznym:

  • Ten alarm metryczny monitoruje średnie wykorzystanie CPU konkretnej instancji EC2, ocenia metrykę co 300 sekund i wymaga 6 okresów oceny (łącznie 30 minut). Jeśli średnie wykorzystanie CPU przekroczy 60% przez co najmniej 4 z tych okresów, alarm zostanie uruchomiony i wyśle powiadomienie do określonego tematu SNS.
  • Poprzez modyfikację progu na więcej niż 99%, ustawienie okresu na 10 sekund, okresów oceny na 8640 (ponieważ 8640 okresów po 10 sekund równa się 1 dzień) oraz punktów danych do alarmu na 8640, konieczne byłoby, aby wykorzystanie CPU przekraczało 99% co 10 sekund przez cały 24-godzinny okres, aby uruchomić alarm.
{
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-01234567890123456"
}
],
"AlarmActions": ["arn:aws:sns:us-east-1:123456789012:example_sns"],
"ComparisonOperator": "GreaterThanThreshold",
"DatapointsToAlarm": 4,
"EvaluationPeriods": 6,
"Period": 300,
"Statistic": "Average",
"Threshold": 60,
"AlarmDescription": "CPU Utilization of i-01234567890123456 over 60%",
"AlarmName": "EC2 instance i-01234567890123456 CPU Utilization"
}

Potencjalny wpływ: Brak powiadomień o krytycznych zdarzeniach, potencjalne niewykryte problemy, fałszywe alerty, tłumienie prawdziwych alertów i potencjalnie pominięte wykrycia rzeczywistych incydentów.

cloudwatch:DeleteAlarmActions, cloudwatch:EnableAlarmActions, cloudwatch:SetAlarmState

Usuwając akcje alarmowe, atakujący może zapobiec uruchomieniu krytycznych powiadomień i automatycznych reakcji, gdy osiągnięty zostanie stan alarmu, na przykład powiadamianie administratorów lub uruchamianie działań auto-skalowania. Niewłaściwe włączanie lub ponowne włączanie akcji alarmowych może również prowadzić do nieoczekiwanych zachowań, zarówno przez reaktywację wcześniej wyłączonych akcji, jak i przez modyfikację, które akcje są uruchamiane, co może powodować zamieszanie i błędne kierowanie w odpowiedzi na incydenty.

Ponadto, atakujący z odpowiednimi uprawnieniami mógłby manipulować stanami alarmów, mając możliwość tworzenia fałszywych alarmów, aby odwrócić uwagę i zdezorientować administratorów, lub wyciszać prawdziwe alarmy, aby ukryć trwające złośliwe działania lub krytyczne awarie systemu.

  • Jeśli użyjesz SetAlarmState na alarmie złożonym, alarm złożony nie jest gwarantowany, że powróci do swojego rzeczywistego stanu. Powraca do swojego rzeczywistego stanu tylko wtedy, gdy którykolwiek z jego alarmów podrzędnych zmieni stan. Jest również ponownie oceniany, jeśli zaktualizujesz jego konfigurację.
aws cloudwatch disable-alarm-actions --alarm-names <value>
aws cloudwatch enable-alarm-actions --alarm-names <value>
aws cloudwatch set-alarm-state --alarm-name <value> --state-value <OK | ALARM | INSUFFICIENT_DATA> --state-reason <value> [--state-reason-data <value>]

Potencjalny wpływ: Brak powiadomień o krytycznych zdarzeniach, potencjalne niezauważone problemy, fałszywe alerty, tłumienie prawdziwych alertów i potencjalnie pominięte wykrycia rzeczywistych incydentów.

cloudwatch:DeleteAnomalyDetector, cloudwatch:PutAnomalyDetector

Napastnik mógłby skompromitować zdolność do wykrywania i reagowania na nietypowe wzorce lub anomalie w danych metrycznych. Usuwając istniejące detektory anomalii, napastnik mógłby wyłączyć krytyczne mechanizmy powiadamiania; a tworząc lub modyfikując je, mógłby albo błędnie skonfigurować, albo stworzyć fałszywe pozytywy, aby odwrócić uwagę lub przytłoczyć monitoring.

aws cloudwatch delete-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value>]
aws cloudwatch put-anomaly-detector [--cli-input-json <value> | --namespace <value> --metric-name <value> --dimensions <value> --stat <value> --configuration <value> --metric-characteristics <value>]

Przykład poniżej pokazuje, jak uczynić detektor anomalii metrycznych nieskutecznym. Ten detektor anomalii metrycznych monitoruje średnie wykorzystanie CPU konkretnej instancji EC2, a dodanie parametru „ExcludedTimeRanges” z pożądanym zakresem czasowym wystarczy, aby zapewnić, że detektor anomalii nie analizuje ani nie alarmuje o żadnych istotnych danych w tym okresie.

{
"SingleMetricAnomalyDetector": {
"Namespace": "AWS/EC2",
"MetricName": "CPUUtilization",
"Stat": "Average",
"Dimensions": [
{
"Name": "InstanceId",
"Value": "i-0123456789abcdefg"
}
]
}
}

Potencjalny wpływ: Bezpośredni wpływ na wykrywanie nietypowych wzorców lub zagrożeń bezpieczeństwa.

cloudwatch:DeleteDashboards, cloudwatch:PutDashboard

Napastnik mógłby skompromitować możliwości monitorowania i wizualizacji organizacji, tworząc, modyfikując lub usuwając jej pulpity nawigacyjne. Te uprawnienia mogłyby zostać wykorzystane do usunięcia krytycznej widoczności wydajności i stanu systemów, zmiany pulpitów nawigacyjnych w celu wyświetlania nieprawidłowych danych lub ukrywania złośliwych działań.

aws cloudwatch delete-dashboards --dashboard-names <value>
aws cloudwatch put-dashboard --dashboard-name <value> --dashboard-body <value>

Potencjalny wpływ: Utrata widoczności monitorowania i wprowadzające w błąd informacje.

cloudwatch:DeleteInsightRules, cloudwatch:PutInsightRule, cloudwatch:PutManagedInsightRule

Reguły insight są używane do wykrywania anomalii, optymalizacji wydajności i efektywnego zarządzania zasobami. Usuwając istniejące reguły insight, atakujący mógłby usunąć krytyczne możliwości monitorowania, pozostawiając system niewidomym na problemy z wydajnością i zagrożenia bezpieczeństwa. Dodatkowo, atakujący mógłby tworzyć lub modyfikować reguły insight, aby generować wprowadzające w błąd dane lub ukrywać złośliwe działania, co prowadziłoby do błędnych diagnoz i niewłaściwych reakcji zespołu operacyjnego.

aws cloudwatch delete-insight-rules --rule-names <value>
aws cloudwatch put-insight-rule --rule-name <value> --rule-definition <value> [--rule-state <value>]
aws cloudwatch put-managed-insight-rules --managed-rules <value>

Potencjalny wpływ: Trudności w wykrywaniu i reagowaniu na problemy z wydajnością oraz anomalie, błędne podejmowanie decyzji i potencjalne ukrywanie złośliwych działań lub awarii systemu.

cloudwatch:DisableInsightRules, cloudwatch:EnableInsightRules

Dezaktywując krytyczne zasady wglądu, atakujący mógłby skutecznie oślepić organizację na kluczowe metryki wydajności i bezpieczeństwa. Z drugiej strony, włączając lub konfigurując mylące zasady, mogłoby być możliwe generowanie fałszywych danych, tworzenie szumów lub ukrywanie złośliwej aktywności.

aws cloudwatch disable-insight-rules --rule-names <value>
aws cloudwatch enable-insight-rules --rule-names <value>

Potencjalny wpływ: Zamieszanie w zespole operacyjnym, prowadzące do opóźnionych reakcji na rzeczywiste problemy i niepotrzebnych działań na podstawie fałszywych alertów.

cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream , cloudwatch:PutMetricData

Atakujący z uprawnieniami cloudwatch:DeleteMetricStream , cloudwatch:PutMetricStream mógłby tworzyć i usuwać strumienie danych metrycznych, kompromitując bezpieczeństwo, monitorowanie i integralność danych:

  • Tworzenie złośliwych strumieni: Tworzenie strumieni metrycznych w celu wysyłania wrażliwych danych do nieautoryzowanych miejsc.
  • Manipulacja zasobami: Tworzenie nowych strumieni metrycznych z nadmiernymi danymi mogłoby generować dużo szumów, powodując błędne alerty, maskując prawdziwe problemy.
  • Zakłócenie monitorowania: Usuwając strumienie metryczne, atakujący zakłóciliby ciągły przepływ danych monitorujących. W ten sposób ich złośliwe działania byłyby skutecznie ukryte.

Podobnie, z uprawnieniem cloudwatch:PutMetricData, możliwe byłoby dodawanie danych do strumienia metrycznego. Mogłoby to prowadzić do DoS z powodu ilości niewłaściwych danych, czyniąc go całkowicie bezużytecznym.

aws cloudwatch delete-metric-stream --name <value>
aws cloudwatch put-metric-stream --name <value> [--include-filters <value>] [--exclude-filters <value>] --firehose-arn <value> --role-arn <value> --output-format <value>
aws cloudwatch put-metric-data --namespace <value> [--metric-data <value>] [--metric-name <value>] [--timestamp <value>] [--unit <value>] [--value <value>] [--dimensions <value>]

Przykład dodawania danych odpowiadających 70% wykorzystania CPU na danej instancji EC2:

aws cloudwatch put-metric-data --namespace "AWS/EC2" --metric-name "CPUUtilization" --value 70 --unit "Percent" --dimensions "InstanceId=i-0123456789abcdefg"

Potencjalny wpływ: Zakłócenie przepływu danych monitorujących, wpływające na wykrywanie anomalii i incydentów, manipulacja zasobami oraz wzrost kosztów z powodu tworzenia nadmiernych strumieni metryk.

cloudwatch:StopMetricStreams, cloudwatch:StartMetricStreams

Napastnik mógłby kontrolować przepływ danych metryk wstrzymanych strumieni (każdy strumień danych, jeśli nie ma ograniczeń zasobów). Posiadając uprawnienie cloudwatch:StopMetricStreams, napastnicy mogliby ukryć swoje złośliwe działania, zatrzymując krytyczne strumienie metryk.

aws cloudwatch stop-metric-streams --names <value>
aws cloudwatch start-metric-streams --names <value>

Potencjalny wpływ: Zakłócenie przepływu danych monitorujących, wpływające na wykrywanie anomalii i incydentów.

cloudwatch:TagResource, cloudwatch:UntagResource

Napastnik mógłby dodać, zmodyfikować lub usunąć tagi z zasobów CloudWatch (obecnie tylko alarmy i zasady Contributor Insights). Może to zakłócić polityki kontroli dostępu w Twojej organizacji oparte na tagach.

aws cloudwatch tag-resource --resource-arn <value> --tags <value>
aws cloudwatch untag-resource --resource-arn <value> --tag-keys <value>

Potencjalny wpływ: Zakłócenie polityk kontroli dostępu opartych na tagach.

Odniesienia

Tip

Ucz się & ćwicz AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Ucz się & ćwicz GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Ucz się & ćwicz Az Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Wspieraj HackTricks