UEBA: ללמוד מה נורמלי, לתפוס מה מוזר
אנטי-וירוס מחפש חתימות של רע ידוע. אבל מתקפה אמיתית נראית לרוב כמו פעילות לגיטימית שסוטה מהרגיל — חשבון-אדמין שמתחבר ב-3 לפנות בוקר, מכשיר שיוצר קשר עם כתובת שמעולם לא דיבר איתה. UEBA לא מחפש "רע"; הוא לומד מה נורמלי לכל מכשיר, ומתריע על הסטייה.
איך זה עובד — 5 שלבים
1. איסוף. ה-heartbeat של הסוכן כבר נושא עובדות-התנהגות: תהליכים, autoruns, peers ציבוריים, פורטים מאזינים. 2. היסטוריזציה. ה-Worker מחלץ את העובדות ומוסיף אותן לסדרת-זמן (device_telemetry) — זו אבן-הפינה שכל השאר נשען עליה. 3. למידה. חלון-למידה (14 יום כברירת-מחדל) בונה פרופיל לכל מכשיר: תהליכים מוכרים, peers מוכרים, חשבונות-כניסה, שעות-פעילות טיפוסיות. 4. זיהוי. כל heartbeat מושווה לפרופיל, וסטיות הופכות לחריגות עם חומרה. 5. תגובה. החריגות מוזנות לפאנל-ההתראות, עם אפשרות ל-containment אוטומטי דרך ערוץ-השליטה.
דוגמאות לחריגות שאנחנו תופסים
- מגע ראשון עם IP ציבורי שהמכשיר מעולם לא דיבר איתו (info→medium).
- Peer ברשימת C2 — הצלבה מול פיד Feodo (critical).
- תהליך לא-חתום חדש / תהליך שרץ מ-temp/appdata (medium→high).
- persistence חדש — קפיצה במספר ה-autoruns / scheduled-task חדש (high).
- פורט מאזין חדש (medium).
- כניסה מחוץ-לשעות / חשבון חדש / זינוק בכשלונות-כניסה (high).
למה תיוג MITRE חשוב
כל חריגה מתויגת בטכניקת ATT&CK — כך שבמקום "משהו מוזר קרה", מקבלים "T1053 — Scheduled Task/Job (persistence)". זה הופך התראה בודדת לחלק מסיפור-מתקפה שאפשר לחקור, לתעד ולדווח (גם לצורך תיקון 13).