在某重保客户使用场景,腾讯零信任iOA捕获到有针对性的钓鱼邮件攻击活动,零信任iOA的相关进程告警数据会上报至腾讯SOC数据中心,SOC会汇总全网各个节点的威胁告警数据并对数据进行分析处理,最终这起钓鱼邮件攻击事件的完整脉络会呈现在SOC管理界面。
告警信息显示某台电脑通过outlook启动了一个7zfm.exe 进程解压出一个可疑 exe运行,随后该可疑exe 有外链行为。安全运维人员判断这是一起高风险的疑似攻击活动,相关可疑文件被迅速提交腾讯安全驻场专家分析鉴定,结果判定为某个远控后门程序。管理员随后通过腾讯SOC联动腾讯天幕(NIPS)处置,将危险外联IP全网封禁,腾讯零信任iOA也顺利完成恶意程序清除。事件通过腾讯SOC的指挥调度,完成威胁发现、检测、鉴定、处置闭环。