Doogree
הגנה · זיהוי-חריגות

UEBA: ללמוד מה נורמלי, לתפוס מה מוזר

02/07/2026 · ~6 דקות קריאה
UEBAזיהוי-חריגותMITRE ATT&CKEDR

אנטי-וירוס מחפש חתימות של רע ידוע. אבל מתקפה אמיתית נראית לרוב כמו פעילות לגיטימית שסוטה מהרגיל — חשבון-אדמין שמתחבר ב-3 לפנות בוקר, מכשיר שיוצר קשר עם כתובת שמעולם לא דיבר איתה. UEBA לא מחפש "רע"; הוא לומד מה נורמלי לכל מכשיר, ומתריע על הסטייה.

איך זה עובד — 5 שלבים

1. איסוף. ה-heartbeat של הסוכן כבר נושא עובדות-התנהגות: תהליכים, autoruns, peers ציבוריים, פורטים מאזינים. 2. היסטוריזציה. ה-Worker מחלץ את העובדות ומוסיף אותן לסדרת-זמן (device_telemetry) — זו אבן-הפינה שכל השאר נשען עליה. 3. למידה. חלון-למידה (14 יום כברירת-מחדל) בונה פרופיל לכל מכשיר: תהליכים מוכרים, peers מוכרים, חשבונות-כניסה, שעות-פעילות טיפוסיות. 4. זיהוי. כל heartbeat מושווה לפרופיל, וסטיות הופכות לחריגות עם חומרה. 5. תגובה. החריגות מוזנות לפאנל-ההתראות, עם אפשרות ל-containment אוטומטי דרך ערוץ-השליטה.

עד שהפרופיל בשל — לא מתריעים. לכל מכשיר יש learning_until: בזמן הלמידה אנחנו לומדים, לא מרעישים. זה מה שמונע את מבול ההתראות-שווא שהורג EDR-ים.

דוגמאות לחריגות שאנחנו תופסים

למה תיוג MITRE חשוב

כל חריגה מתויגת בטכניקת ATT&CK — כך שבמקום "משהו מוזר קרה", מקבלים "T1053 — Scheduled Task/Job (persistence)". זה הופך התראה בודדת לחלק מסיפור-מתקפה שאפשר לחקור, לתעד ולדווח (גם לצורך תיקון 13).

למה זה מנצח אנטי-וירוס בלבד: AV עוצר תוכנה זדונית מוכרת. UEBA תופס את מה שה-AV מפספס — שימוש-לרעה בכלים לגיטימיים, תנועה-רוחבית, והסלמת-הרשאות. יחד עם ציד-YARA והתיקון-האוטומטי, זה EDR-lite שרץ על אותו סוכן אחד שכבר מותקן.

← חזרה לבלוג · איך זה עובד →