Amazon Macie

Reading time: 6 minutes

Macie

Amazon Macie se destaca como um serviço projetado para detectar, classificar e identificar dados automaticamente dentro de uma conta AWS. Ele utiliza aprendizado de máquina para monitorar e analisar continuamente os dados, focando principalmente na detecção e alerta contra atividades incomuns ou suspeitas, examinando os dados de eventos de trilha na nuvem e padrões de comportamento do usuário.

Principais Recursos do Amazon Macie:

1. Revisão Ativa de Dados: Emprega aprendizado de máquina para revisar dados ativamente à medida que várias ações ocorrem dentro da conta AWS.
2. Detecção de Anomalias: Identifica atividades irregulares ou padrões de acesso, gerando alertas para mitigar riscos potenciais de exposição de dados.
3. Monitoramento Contínuo: Monitora e detecta automaticamente novos dados no Amazon S3, utilizando aprendizado de máquina e inteligência artificial para se adaptar aos padrões de acesso aos dados ao longo do tempo.
4. Classificação de Dados com NLP: Utiliza processamento de linguagem natural (NLP) para classificar e interpretar diferentes tipos de dados, atribuindo pontuações de risco para priorizar descobertas.
5. Monitoramento de Segurança: Identifica dados sensíveis à segurança, incluindo chaves de API, chaves secretas e informações pessoais, ajudando a prevenir vazamentos de dados.

Amazon Macie é um serviço regional e requer a função IAM 'AWSMacieServiceCustomerSetupRole' e um AWS CloudTrail habilitado para funcionalidade.

Sistema de Alertas

Macie categoriza alertas em categorias predefinidas como:

• Acesso anonimizado
• Conformidade de dados
• Perda de credenciais
• Escalação de privilégios
• Ransomware
• Acesso suspeito, etc.

Esses alertas fornecem descrições detalhadas e desagregações de resultados para uma resposta e resolução eficazes.

Recursos do Painel

O painel categoriza dados em várias seções, incluindo:

• Objetos S3 (por intervalo de tempo, ACL, PII)
• Eventos/usuários do CloudTrail de alto risco
• Locais de Atividade
• Tipos de identidade de usuário do CloudTrail, e mais.

Classificação de Usuários

Os usuários são classificados em níveis com base no nível de risco de suas chamadas de API:

• Platinum: Chamadas de API de alto risco, frequentemente com privilégios de administrador.
• Gold: Chamadas de API relacionadas à infraestrutura.
• Silver: Chamadas de API de risco médio.
• Bronze: Chamadas de API de baixo risco.

Tipos de Identidade

Os tipos de identidade incluem Root, usuário IAM, Função Assumida, Usuário Federado, Conta AWS e Serviço AWS, indicando a origem das solicitações.

Classificação de Dados

A classificação de dados abrange:

• Tipo de Conteúdo: Com base no tipo de conteúdo detectado.
• Extensão de Arquivo: Com base na extensão do arquivo.
• Tema: Classificado por palavras-chave dentro dos arquivos.
• Regex: Classificado com base em padrões regex específicos.

O maior risco entre essas categorias determina o nível final de risco do arquivo.

Pesquisa e Análise

A função de pesquisa do Amazon Macie permite consultas personalizadas em todos os dados do Macie para análise aprofundada. Os filtros incluem Dados do CloudTrail, propriedades do Bucket S3 e Objetos S3. Além disso, suporta convidar outras contas para compartilhar o Amazon Macie, facilitando a gestão colaborativa de dados e monitoramento de segurança.

Listando Descobertas com o Console AWS

Após escanear um bucket S3 específico em busca de segredos e dados sensíveis, as descobertas serão geradas e exibidas no console. Usuários autorizados com permissões suficientes podem visualizar e listar essas descobertas para cada trabalho.

Revelando Segredo

Amazon Macie fornece um recurso que exibe segredos detectados em formato de texto claro. Essa funcionalidade ajuda na identificação dos dados comprometidos. No entanto, exibir segredos em texto claro geralmente não é considerado uma boa prática devido a preocupações de segurança, pois pode potencialmente expor informações sensíveis.

Enumeração

# Get buckets
aws macie2 describe-buckets

# Org config
aws macie2 describe-organization-configuration

# Get admin account (if any)
aws macie2 get-administrator-account
aws macie2 list-organization-admin-accounts # Run from the management account of the org

# Get macie account members (run this from the admin account)
aws macie2 list-members

# Check if automated sensitive data discovey is enabled
aws macie2 get-automated-discovery-configuration

# Get findings
aws macie2 list-findings
aws macie2 get-findings --finding-ids <ids>
aws macie2 list-findings-filters
aws macie2 get -findings-filters --id <id>

# Get allow lists
aws macie2 list-allow-lists
aws macie2 get-allow-list --id <id>

# Get different info
aws macie2 list-classification-jobs
aws macie2 describe-classification-job --job-id <Job_ID>
aws macie2 list-classification-scopes
aws macie2 list-custom-data-identifiers
aws macie2 get-custom-data-identifier --id <Identifier_ID>

# Retrieve account details and statistics
aws macie2 get-macie-session
aws macie2 get-usage-statistic

Privesc

AWS - Macie Privesc

Post Exploitation

TODO: PRs são bem-vindos!

References

• https://cloudacademy.com/blog/introducing-aws-security-hub/