基于云中内容、活动、和元数据的安全性和合规性警报的制作方法

服务提供商的租户向其用户(例如，公司向其雇员或组织向其成员)提供的托管的服务是越来越常见的软件使用模型。托管的服务涵盖从云存储到生产力，以及从协作到通信的范围宽泛的软件应用和系统。因此，任何数量的用户可以利用在托管的服务伞下提供的应用来对文档和其他数据进行生成、处理、存储、和协作。

对这样的托管的服务的使用和对数据的处理可能受制于法规、法律、行业、和其他规则。取决于特定服务、处理的数据、组织类型、和许多其他因素，不同的规则可以是适用的。在针对各种数据类型和相关操作实现策略时，可以响应于检测到的违规或增加的违规风险而发出警报。然而，传统的检测、分析、和警报方法通常是机械的，这会引起漏报或假阳性。例如，对租户的云存储中的大量文件的删除可能会引起警报，但可能不一定指示威胁，但对具有特定类型的敏感数据的相同数量的文件的删除可能会指向威胁。

技术实现要素：

提供了该发明内容以用简化形式引入对在以下的具体实施方式中进一步描述的概念的选择。该发明内容不旨在标识所要求保护的主题的关键特征或必要特征，也不旨在帮助确定所要求保护的主题的范围。

实施例涉及基于云中的内容、元数据、和活动的警报。在一些示例中，可以分析与租户的存储的内容、内容元数据、和与存储的内容相关联的活动中的一个或多个相关联的多个相关信号。还可以确定警报阈值和警报的一个或多个指定接收者。在基于分析结果确定要超过警报阈值时，可以将警报发送给一个或多个指定的接收者。还可以将警报和分析结果提供至策略引擎，以在调整策略、警报阈值、和信号收集规则中的一个或多个时使用。

通过阅读以下的详细描述以及浏览相关联的附图，这些和其他特征和优点将是显而易见的。所要理解的是，先前的一般描述和以下的详细描述两者都是解释性的，并且不限制所要求保护的方面。

附图说明

图1a至1c包括示出了示例网络环境的显示图，其中，可以实现基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统；

图2包括概念性地示出了用于基于云中的内容、活动、和元数据来实现安全性和合规性警报的动作和组件的示例集合的显示图；

图3包括示出了用于基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统的示例架构的显示图；

图4包括示出了用于基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统的另一示例架构的显示图；

图5包括示出了与基于云中的内容、活动、和元数据来提供安全性和合规性警报的服务相关联的示例仪表板的显示图；

图6是网络化环境，其中可以实现根据实施例的系统；

图7是示例通用计算设备的框图，该计算系统可以用于基于云中的内容、活动、和元数据来提供安全性和合规性警报；以及

图8示出了根据本文描述的至少一些实施例布置的、基于云中的内容、活动、和元数据来提供安全性和合规性警报的方法的逻辑流程图。

具体实施方式

如上面简要描述的，实施例涉及基于云中的内容、活动、和元数据的安全性和合规性警报。在一些示例中，可以分析与租户的存储的内容、内容元数据和与存储的内容相关联的活动中的一个或多个相关联的相关信号，并且基于警报阈值或更宽泛的“异常”模式检测来确定警报。可以指定用于不同警报或警报等级的不同接收者，并且将警报发送给指定接收者。警报也可以通过保护服务的警报管理仪表板来显示。还可以将警报和分析结果提供至策略引擎，以用于调整或创建策略内的规则、警报阈值、和信号收集/分析。在警报后也可以发起事后调查。

在以下的详细描述中，对形成了本文的一部分并且在其中通过图示、具体实施例、或示例的方式示出的附图进行了参考。可以组合这些方面，可以利用其他方面，并且可以进行结构性改变而不脱离本公开的精神或范围。因此，以下的详细描述不被认为是限制性意义，并且本发明的范围是由所附权利要求及其等同物来限定的。

尽管一些实施例将在结合在个人计算机上的操作系统上运行的应用程序而执行的程序模块的一般上下文中被描述，但本领域的技术人员将认识到的是，也可以结合其他程序模块来实现这些方面。

通常而言，程序模块包括例程、程序、组件、数据结构、以及执行特定的任务或实现特定的抽象数据类型的其他类型的结构。此外，本领域技术人员将理解的是，可以利用包括手持设备、多处理器系统、基于微处理器的或可编程的消费性电子产品、小型计算机、大型计算机、以及类似的计算设备在内的其他计算机系统配置来实践实施例。还可以在其中由通过通信网络所链接的远程处理设备来执行任务的分布式计算环境中实践实施例。在分布式计算环境中，程序模块既可以位于本地存储器存储设备中，也可以位于远程存储器存储设备中。

一些实施例可以被实现为计算机实现的过程(方法)、计算系统、或者诸如计算机程序产品或计算机可读介质之类的制品。计算机程序产品可以是这样一种计算机存储介质，其能够由计算机系统读取并且对包括用于使得计算机或计算机系统执行示例过程的指令的计算机程序进行编码。所述计算机可读存储介质是计算机可读存储器设备。所述计算机可读存储介质可以例如是经由以下中的一个或多个来实现的：易失性计算机存储器、非易失性存储器、硬盘驱动器、闪存驱动器、软盘、或压缩盘、以及类似硬件介质。

在整个说明书中，术语“平台”可以是用于基于云中的内容、活动、和元数据来提供安全性和合规性警报的软件和硬件组件的组合。平台的示例包括但不限于在多个服务器上执行的托管的服务，在单个计算设备上执行的应用，以及类似系统。术语“服务器”一般是指通常在联网环境中执行一个或多个软件程序的计算设备。然而，服务器也可以被实现为在被视为网络上的服务器的一个或多个计算设备上执行的虚拟服务器(软件程序)。下面提供了关于这些技术和示例操作的更多细节。

图1a至1c包括显示图，其示出了其中可以实现基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统的示例网络环境。

如在图100a-100c中所示，示例系统可以包括在至少一个处理服务器116上执行托管的服务114的数据中心112，其可以例如与其他服务器120相结合地向用户提供生产力、通信、云存储、协作、和类似服务。托管的服务114还可以包括日程安排服务、在线会议服务、和类似服务。托管的服务114可以被配置为在一个或多个网络(例如，网络110)上通过一个或多个客户端设备102与客户端应用106互操作。客户端设备102可以包括台式计算机、膝上型计算机、平板计算机、车载计算机、智能电话、或可穿戴计算设备，此外还有其他类似设备。在一些示例中，托管的服务114可以允许用户通过在客户端设备102上执行的客户端应用106来访问其服务。在其他示例中，托管的服务114可以被提供给可以为其用户配置和管理所述服务的租户(例如，企业、组织、或类似实体)。

在一个实施例中，如在图100a中所示，处理服务器116可操作以执行托管的服务114的安全性和合规性模块118，其中，安全性和合规性模块118可以与托管的服务114相集成。在另一个实施例中，如在图100b中所示，客户端应用106可用于执行安全性和合规性模块118，其中，安全性和合规性模块118可以与客户端应用106相集成。在另外的实施例中，如在图100c中所示，安全性和合规性模块118可以与单独的保护服务122相集成，并且由保护服务122的一个或多个处理服务器124来执行。保护服务122可以被配置为服务于托管的服务114和/或与托管的服务114相关联的多个应用，例如客户端应用106。此外，保护服务122可以向多个托管的服务提供其服务。因此，如果租户订阅了多个托管的服务，则可以使用公共信息(例如，分析结果、用户简档、数据、和元数据)来协调建议的策略和配置，以降低管理员的策略实现负担的重复。如在本文中所述，托管的服务114、安全性和合规性模块118、以及保护服务122可以被实现为软件、硬件或其组合。

安全性和合规性模块118可以被配置为管理租户的服务环境的保护方面，例如恶意攻击缓解、数据管控(例如，基于法律和监管要求)、以及策略配置和实施。在一个场景中，托管的服务114的安全性和合规性模块118可以分析与租户的存储的内容、内容元数据、和与所述存储的内容相关联的活动中的一个或多个相关联的多个相关信号。安全性和合规性模块118还可以确定警报阈值以及警报的一个或多个指定接收者。在基于分析的结果确定要超过警报阈值时，安全性和合规性模块118可以将警报发送给一个或多个指定接收者。还可以将警报和分析结果提供至策略引擎，以在调整策略、警报阈值、和信号收集规则中的一个或多个时使用。

基于云中的内容、活动、和元数据的安全性和合规性警报的技术优点可以包括处理和网络容量保存、数据安全性增强、可用性的改进、以及用户交互性的增加。

如在本文中所描述的实施例解决了人类无法管理的来自于基于软件的服务所创建的大规模操作的需要。在本文中所描述的动作/操作不仅是对计算机的使用，而且还针对被用作服务的软件的直接结果的系统的结果，所述服务是结合使用托管的服务的大量设备和用户而提供的。

图2包括概念性地示出了用于基于云中的内容、活动、和元数据来实现安全性和合规性警报的动作和组件的示例集合的显示图。

如在图200中所示，保护服务202可以从托管的服务210获取与托管的服务210相关联的数据、元数据、和活动206，它们统称为信号。保护服务202可以包括：安全性和合规性模块204，其可以聚合和分析所述数据、元数据、和活动206，以便检测针对适用的策略的用于管理警报的模式208和/或基于所述模式的策略配置。警报可以被发送给指定的接收者，被显示在服务仪表板上，以及用于对数据收集、警报管理、和策略管理目的的调整。安全性和合规性模块204可以在多个保护方面212上与保护服务202和托管的服务210的其他模块相结合地工作。这些可以包括但不限于对警报阈值的确定和调整、对警报接收者的指定、基于信号分析的警报调整、基于警报的信号分析调整、以及调查。

所收集的信号可以包括用户和管理活动，例如删除/共享/复制/移动动作，匿名链接创建，同步，站点创建，创建的豁免(exemption)，许可修改，对电子邮箱的清理，文件夹移动，用户添加，群组添加，以及来自与托管的服务210相关联的任何应用的类似活动。另外的信号可以包括到达租户的环境或已知在全球流通的网络钓鱼和恶意软件威胁。文件和通信(电子邮件、文本消息、在线会议等)元数据可用于确定其合法性以及文件或通信是否被感染、是否垃圾邮件或其他恶意软件。还可以考虑到内容分类和敏感性(例如，内容是否包括个人信息、医疗健康信息、财务信息、商业机密信息等)、用户敏感度和风险(用户在组织内的位置、用户对组织运营的潜在影响、基于凭证或活动的用户风险)等。

与其他服务不同，保护服务202及其模块可以关联不同的信号并且在上下文中对它们进行分析。例如，用户活动可以不被单独考虑，而是根据用户的风险等级和/或受这些活动影响的内容或内容元数据被考虑。因此，可以获得更准确和更精细的威胁等级的图片，以允许系统范围内降低的假阳性、有效的警报和补救措施。还可以基于分析因素(例如，潜在影响的严重性、活动等级等)对信号进行加权。

在一些示例中，可以为不同的接收者指定不同类型的警报，并且反之亦然。此外，对于不同的阈值，可以指定不同的接收者(例如，针对相同的信号较低的阈值用于用户，并且针对相同的信号较高的阈值用于管理员)。在其他示例中，安全性和合规性模块204可以与保护服务的策略引擎一起工作以调整策略、警报阈值、和信号收集规则中的一个或多个。例如，可以向上或向下调整警报阈值以防止假阳性。可以调整信号收集频率以用于增加的准确性和计算资源的保存。可以调整管控警报的策略规则或者添加新的规则。

在一些实施例中，可以对收集的和/或聚合的信号来执行模式检测。使用历史、用户行为、和其他模式可以用于允许较少的机械警报，例如“异常活动”，或者可以定义“异常行为”，与针对具体信号类型的基于特定阈值的警报相反。

在其他实施例中，可以执行事后调查(也被称为时间旅行调查)。在某些实例可能已经被传递给某些用户(例如，经由电子邮件或保存的文档)之后，可以检测到一些威胁(例如，恶意软件)。在检测时，可以分析受影响的用户及其活动、内容等，并且可以基于内容和活动的潜在影响、严重性、类型来确定补救措施(和/或警报)。例如，可以首先警告已经打开带有恶意软件的电子邮件的用户，同时可以甚至在不警告用户的情况下删除或隔离包含恶意软件的未打开的电子邮件。类似地，可以首先处理共享的存储设备中的受影响的文档，然后是其他较隔离的文档(例如，用户的本地存储中的)。

在其他实施例中，可以通过由保护服务202管理的警报仪表板来允许警报仪表板、近期警报微件(widget)、人员页面、内容页面、基于相关性的警报、对数据的一系列补救动作、来自用户界面的编辑警报阈值、从策略对警报的创建、以及基于针对每个潜在警报场景(例如，删除的数据)的触发对警报的创建，等等。

图3包括示出了用于基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统的示例架构的显示图。

在一些示例中，保护服务可以允许通过客户端应用302访问其服务。客户端应用302可以显示用户界面，该用户界面使得租户、管理员、或用户能够与关联于系统或组织的保护方面的动作中心304进行交互，所述保护方面例如恶意攻击缓解、数据保护、警报管理、以及策略配置和实施。用户界面可以是仪表板306，其显示用于增强数据保护的策略建议312。仪表板306还可以提供租户、管理员、或用户可以与之交互的报告308、警报310、和快速动作选项314。仪表板306可以具有能够被定制的属性，例如模板316、布局318、微件322、图表324、和控件326。

仪表板控制器320可以通过web应用编程接口(api)332来与服务器328接合。可以基于应该通过仪表板306显示的内容来从服务器328到客户端应用302来回发送调用。例如，安全性和合规性模块334可以生成策略建议312，并且可以通过webapi332发送调用以用由用户界面(ui)引擎336所确定的方式来显示策略建议312。服务器328可以托管通知框架330，该通知框架330被配置为确定要被通知策略建议、警报、和报告等的租户、管理员、和/或用户，以及应该如何传递这些通知。作为通知框架330的一部分的警报通知模块331可以经由电子邮件、文本消息、音频通话、视频通话等来管理警报的传输，以及通过仪表板306或保护服务的其他用户界面来显示。

由服务器328托管的数据访问api338可以与后端存储系统340接合。后端存储系统340可以包括例如租户存储设备344和通用存储设备346。后端存储系统340还可以包括服务api342，其与安全性和合规性模块334、通知框架330、以及由数据访问api338从租户存储设备344和通用存储设备346获取的数据接合以允许交换。

图4包括示出了用于基于云中的内容、活动、和元数据来提供安全性和合规性警报的系统的另一示例架构的显示图。

示图400示出了系统架构以及关注于与存储的文件相关的活动的示例场景中的动作中的一些动作。根据示例场景，文件活动日志402(例如，删除、修改、复制、移动动作)和文件分类404(文件类型、敏感内容、许可等级等)可以用于诸如对文件标识符的联合运算(查询)、规则评估(哪些规则是适用的等)、基线比较、以及严重性计算(潜在的影响有多严重)之类的多个动作406。例如，如果动作406指示正在向外(跨租户环境边界)共享大于正常数量的文件(或具有敏感内容的文件)，则可以发出异常量的外部文件共享警报408。该警报可以在保护服务用户体验410中被呈现和/或通过电子邮件412被发送给指定的接收者。

审计数据414(例如，用户活动日志)和其他数据416(例如，文件分类、邮件流、威胁数据等)可以被用作对保护服务逻辑单元420的输入并且在被保存在数据存储单元422中。相关数据可以被聚合424并且用来生成用于管理策略、规则、和警报的洞察428。警报策略评估426可以基于经评估的数据来生成警报430。洞察428和警报430两者都可以通过应用编程接口(api)432(例如，restapi)被提供至保护中心440，该保护中心440可以通过仪表板442来管理和呈现策略、推荐、报告、和其他信息。保护中心440还可以管理和呈现警报仪表板444以允许用户(例如，管理员)来查看和管理警报。警报430还可以用于以电子邮件、文本消息、音频通话、视频通话等形式来发送警报通知448。策略存储单元446可以存储策略和相关联的规则，并且将策略和相关联的规则提供至警告策略评估426。

图5包括示出了与基于云中的内容、活动、和元数据来提供安全性和合规性警报的服务相关联的示例仪表板的显示图。

如在图500中所示，客户端应用可以向托管的服务的租户、管理员、和/或一个或多个用户提供对与托管的服务或单独的保护服务的安全性和合规性模块相关联的用户界面(例如，仪表板502)的访问。例如，仪表板502可以呈现与威胁、安全性和合规性配置、分析结果、以及配置控件相关联的概要和/或详细信息。仪表板502可以包括多个选项卡504，每个选项卡504提供能够由租户、管理员、和/或用户通过仪表板502管理的一个或多个基于安全性和合规性的特征。示例性选项卡504可以包括主页仪表板视图506、动作中心、许可、警报管理、数据管理、数据发现、调查、报告、服务保证、和管理控制台。

主页仪表板视图506可以使租户、管理员和/或用户能够快速地创建、启用、或管理数据508和警报管理510。在警报管理分组内，可以向用户提供诸如查看系统中的当前警报、查看过去的警报、以及查看警报趋势之类的动作。警报趋势可以以文本方式显示，也可以以图形方式显示，例如地图、交互式微件等。警报管理510还可以包括用于改变现有警报的选项，用于添加警报策略的选项、用于注册设备的选项(通过设备来接收警报)、和/或用于查看警报计数的选项(例如，按严重性)。另外地，主页仪表板视图506可以显示包括一个或多个建议的策略的建议用户界面元素512。在一些示例中，诸如星形之类的图标514可以与建议用户界面元素512相关联，以指示自从上次查看仪表板502以来已经建议了新的策略。建议的策略可以与分析结果516(即，来自租户的服务环境的分析的结果)一同被显示。

建议用户界面元素512还可以包括允许用户查看具有过滤能力的警报报告的控件518。例如，可以使得基于当前和/或过去警报的一个或多个报告对用户可用，并且可以使得用户能够选择针对地理区域、组织群组、个人用户、数据类型、警报类型等的过滤器。在一些实施例中，与用于定制建议的策略的租户简档520相关联的元数据也可以被显示在建议用户界面元素512中。与租户简档520相关联的元数据可以包括租户相关联的行业、大小、地理位置、托管的服务生态系统、角色、监管要求、和/或与法律要求。例如，建议的策略可以基于租户与金融业的从属关系及其在美国境内的位置而被定制。

仪表板502不限于上述组件和特征。可以采用各种图形、文本、色彩、阴影、和视觉效果方案来通过仪表板呈现建议的策略和/或策略配置选项。

利用具体系统、服务、应用、模块和显示示出了在图1a至图5中提供的示例。实施例不限于根据这些示例的环境。可以以在应用或用户接口中采用更少或另外的组件的配置来实现基于云中的内容、活动、和元数据的安全性和合规性警报。此外，图1a至图5中所示出的示例系统、服务、应用、模块、和通知可以以与使用在本文中所描述的原理的其他值类似的方式来实现。

图6是网络化环境，其中可以实现根据实施例的系统。

如在本文中所述的安全性和合规性模块可以与托管的应用和服务(例如，与托管的服务114相关联的客户端应用106、托管的服务114、或保护服务114)结合使用，所述托管的应用和服务可以经由在一个或多个服务器606或个体服务器608上执行的软件来实现，如在图600中所示。托管的服务或应用可以通过网络610与个体的计算设备上的客户端应用进行通信并控制呈现给用户的用户界面(例如，仪表板)，所述个体的计算设备例如手持式计算机601、台式计算机602、膝上型计算机606、智能电话604、平板计算机(或平板)605(“客户端设备”)。

客户端设备601-605用于访问由托管的服务或客户端应用所提供的功能。服务器606或服务器608中的一个或多个可用于提供如上所述的多种服务。相关数据可以被存储在一个或多个数据存储单元(例如，数据存储单元614)中，其可以由服务器606中的任何一个或者由数据库服务器612来管理。

网络610可以包括服务器、客户端、互联网服务提供商、和通信介质的任何拓扑。根据实施例的系统可以具有静态或动态拓扑。网络610可以包括诸如企业网络之类的安全网络，诸如无线开放网络之类的非安全网络，或互联网。网络610还可以协调通过其他网络(例如，pstn或蜂窝网络)的通信。网络610提供在本文中所描述的节点之间的通信。作为示例而非限制，网络610可以包括无线介质，例如声音介质、rf介质、红外介质、和其他无线介质。

可以采用计算设备、应用、引擎、数据源、和数据分配系统的许多其他配置来提供基于云中的内容、活动、和元数据的安全性和合规性警报。此外，在图6中所讨论的联网环境仅用于说明的目的。实施例不限于示例应用、引擎、或过程。

图7是示例通用计算设备的框图，该计算系统可以用于基于云中的内容、活动、和元数据来提供安全性和合规性警报。

例如，计算设备700可以用作服务器、台式计算机、便携式计算机、智能电话、专用计算机、或类似设备。在示例基本配置702中，计算设备700可以包括一个或多个处理器704和系统存储器706。存储器总线708可以用于处理器704与系统存储器706之间的通信。在图7中通过内部虚线内的那些组件示出了该基本配置702。

根据期望的配置，处理器704可以具有任何类型，包括但不限于：微处理器(μp)、微控制器(μc)、数字信号处理器(dsp)、或其任何组合。处理器704可以包括一个以上层级的缓存，例如层级缓存存储器712、一个或多个处理器核心714、和寄存器716。示例处理器核心714可以(每个)包括算术逻辑单元(alu)、浮点单元(fpu)、数字信号处理核心(dsp核心)、或其任何组合。示例存储器控制器718还可以与处理器704一起使用，或者在一些实现中，存储器控制器718可以是处理器704的内部部件。

取决于期望的配置，系统存储器706可以是任何类型，包括但不限于易失性存储器(例如，ram)、非易失性存储器(例如，rom、闪速存储器等)或其任何组合。系统存储器706可以包括操作系统720、保护应用或服务722以及程序数据724。保护应用或服务722可以包括警报管理模块726，其可以是保护应用或服务722的集成模块。警报管理模块726可以被配置为分析与租户的存储的内容、内容元数据、和与所述存储的内容相关联的活动中的一个或多个相关联的多个相关信号。还可以确定警报阈值和警报的一个或多个指定接收者。在基于分析结果确定要超过警报阈值时，可以将警报发送给一个或多个指定接收者。还可以将警报和分析结果提供给策略引擎，以在调整策略、警报阈值和信号收集规则中的一个或多个时使用。如在本文中所述，程序数据724可以包括租户/用户数据728，例如用户信息、托管的服务信息等。

计算设备700可以具有另外的特征或功能，以及用于促进基本配置702与任何期望的设备和接口之间的通信的另外的接口。例如，总线/接口控制器730可以用于促进基本配置702经由存储接口总线734与一个或多个数据存储设备732之间的通信。数据存储设备732可以是一个或多个可移动存储设备736、一个或多个不可移动存储设备738、或其组合。可移动存储设备和不可移动存储设备的示例可以包括：磁盘设备(例如，软盘驱动器和硬盘驱动器(hdd))、光盘驱动器(例如，压缩盘(cd)驱动器或数字通用盘(dvd)驱动器)、固态驱动器(ssd)、以及磁带驱动器等。示例计算机存储介质可以包括以用于存储诸如计算机可读指令、数据结构、程序模块、或其他数据之类的信息的任何方法或技术来实现的易失性和非易失性、可移动和不可移动的介质。

系统存储器706、可移动存储设备736、和不可移动存储设备738是计算机存储介质的示例。计算机存储介质包括但不限于：ram、rom、eeprom、闪速存储器或其他存储器技术、cd-rom、数字通用盘(dvd)、固态驱动器、或其他光存储、盒式磁带、磁带、磁盘存储设备或其他磁存储设备、或者可以用于存储期望的信息并且可以由计算设备700来访问的任何其他介质。任何这样的计算机存储介质可以是计算设备700的一部分。

计算设备700还可以包括用于促进经由总线/接口控制器730从各种接口设备(例如，一个或多个输出设备742、一个或多个外围接口744、以及一个或多个通信设备746)到基本配置702的通信的接口总线740。示例输出设备742中的一些包括图形处理单元748和音频处理单元750，它们可以被配置为经由一个或多个a/v端口752而与诸如显示器或扬声器之类的各种外部设备进行通信。一个或多个示例外围接口744可以包括串行接口控制器754或并行接口控制器756，它们可以被配置为经由一个或多个i/o端口758来与诸如输入设备(例如，键盘、鼠标、笔、语音输入设备、触摸输入设备等)或其他外围设备(例如，打印机、扫描仪等)之类的外部设备进行通信。示例通信设备746包括网络控制器760，其可以被布置为促进经由一个或多个通信端口764在网络通信链路上与一个或多个其他计算设备762的通信。一个或多个其他计算设备762可以包括服务器、计算设备、和类似设备。

网络通信链路可以是通信介质的一个示例。通信介质通常可以由计算机可读指令、数据结构、程序模块、或经调制的数据信号(例如载波或其他传输机制)中的其他数据来实施，并且可以包括任何信息传递介质。“经调制的数据信号”可以是使得其特性中的一个或多个特性以将信息编码到信号中的方式设置或改变的信号。作为示例而非限制，通信介质可以包括有线介质(例如，有线网络或直接有线连接)以及无线介质(例如，声学介质、射频(rf)介质、微波介质、红外(ir)介质、和其他无线介质)。如在本文中所使用的术语计算机可读介质可以包括存储介质和通信介质两者。

计算设备700可以被实现为通用或专用服务器、大型机、或包括任何上述功能的类似计算机的一部分。计算设备700也可以被实现为包括膝上型计算机配置和非膝上型计算机配置两者的个人计算机。

示例实施例还可以包括基于云中的内容、活动、和元数据来提供安全性和合规性警报的方法。这些方法可以以任何方式实现，包括在本文中所描述的结构。一种这样的方式可以是通过在本公开中所描述类型的设备的机器操作。另一种可选的方式可以是与以下方式相结合地执行方法的各个操作中的一者或多者：一个或多个人类操作者执行一些操作，而其他操作可以由机器执行。这些人类操作者无需彼此处于同一位置，但每个操作者可以仅与执行程序的一部分的机器在一起。在其他实施例中，人类交互可以例如通过可以是机器自动化的预先选择的标准而是自动化的。

图8示出了基于云中的内容、活动、和元数据来提供安全性和合规性警报的方法的逻辑流程图。过程800可以在计算设备、服务器、或其他系统上实现。示例服务器可以包括通信接口，其促进一个或多个客户端设备与服务器之间的通信。示例服务器还可以包括用于存储指令的存储器，以及耦合至存储器的一个或多个处理器。处理器结合存储在存储器上的指令可以被配置为基于云中的内容、活动、和元数据来提供安全性和合规性警报。

过程800开始于操作810，其中可以分析与租户的存储内容、内容元数据和与存储内容相关联的活动中的一个或多个相关联的多个相关信号。所分析的数据的一些示例可以包括用户和管理活动，例如删除/共享/复制/移动动作，匿名链接创建，同步，站点创建，创建的豁免，许可修改，清除电子邮箱，文件夹移动，用户添加，群组添加，到达租户环境或已知在全球流通的网络钓鱼和恶意软件威胁，文件和通信(电子邮件、文本消息、在线会议等)元数据，内容分类和敏感性，用户敏感性和风险等。

在操作820处，可以基于策略中的预先定义规则或者动态地基于上述因素中的一个或多个来确定警报阈值。在操作830处，可以检测到超过阈值，然后在操作840处确定警报的一个或多个接收者。对于不同类型的警报，可以指定不同的接收者。此外，对于不同的阈值，可以指定不同的接收者(例如，针对相同的信号较低的阈值用于用户，并且针对相同的信号较高的阈值用于管理员)。

在操作850处，可以将警报发送给一个或多个指定接收者。可以通过电子邮件、文本消息、音频通话、视频通话或类似方法来发送警报。还可以通过保护服务用户界面(例如，警报仪表板)来显示警报。

在操作860处，还可以将警报和分析结果提供给保护服务的策略引擎，以在调整策略、警报阈值、和信号收集规则中的一个或多个时使用。例如，可以向上或向下调整警报阈值以防止假阳性。可以调整信号收集频率以用于计算资源的增加的准确性或保存。甚至可以调整管理警报的策略规则。

过程800中包括的操作仅用于说明目的。基于云中的内容、活动、和元数据的安全性和合规性警报可以通过具有更少或另外步骤的类似过程以及使用本文描述的原理的不同操作顺序来实现。除了其他示例之外，这里描述的操作可以由在一个或多个计算设备、一个或多个处理器核心、专用处理设备、和/或通用处理器上操作的一个或多个处理器来执行。

根据示例，描述了一种用于基于云中的内容、元数据、和活动来提供警报的装置。该装置可以包括：用于分析与租户的存储内容、内容元数据和与存储内容相关联的活动中的一个或多个相关联的多个相关信号的装置；用于确定警报阈值的装置；用于确定警报的一个或多个指定接收者的装置；用于根据分析结果确定要超过警报阈值的装置；用于将警报发送给一个或多个指定接收者的装置；以及用于将警报和分析结果提供给策略引擎以在调整策略、警报阈值和信号收集规则中的一个或多个时使用的装置。

根据一些示例，描述了一种基于云中的内容、元数据、和活动来提供警报的方法，该方法包括：分析与以下项中的一个或多个相关联的多个相关信号：租户的存储的内容、内容元数据、以及与所述存储的内容相关联的活动；确定警报阈值；确定针对警报的一个或多个指定接收者；基于所述分析的结果确定要超过所述警报阈值；将所述警报发送给所述一个或多个指定接收者；以及将所述警报和所述分析的所述结果提供至策略引擎，以在调整策略、所述警报阈值、和信号收集规则中的一个或多个时使用。

根据其他示例，该方法还可以包括将权重分配给多个相关信号。所述多个相关信号中的两个或更多个是在彼此的上下文中被关联和分析的。确定警报阈值可以包括基于以下中的一个或多个来确定所述警报阈值：检测到的威胁的潜在影响的严重性、与检测到的威胁相关联的用户的风险等级、以及检测到的威胁是否已经被内部化。该方法还可以包括基于警报类型来确定一个或多个指定接收者，或者针对一个警报类型确定至少两个警报阈值。

根据另外的示例，该方法还可以包括基于所述至少两个警报阈值来确定警报类型的不同接收者。确定警报阈值可以包括基于对多个相关信号的分析来检测模式。该模式可以指示一个或多个或异常活动、异常内容和异常内容元数据。该方法还可以包括基于与所述租户相关联的行业、大小、地理位置、托管的服务生态系统、用户角色、监管要求、和法律要求中的一个或多个，自定义所述警报、所述警报阈值、和所述一个或多个接收者中的一个或多个。

根据其他示例，描述了一种被配置为基于云中的内容、元数据、和活动来提供警报的服务器。所述服务器可以包括：通信接口，其被配置为促进对服务进行托管的另一服务器、一个或多个客户端设备、和所述服务器之间的通信；存储器，其被配置为存储指令；以及一个或多个处理器，其被耦合至所述通信接口和所述存储器，并且被配置为执行安全性和合规性模块。所述安全性和合规性模块可以被配置为：在多个相关信号的相关性的上下文中，分析与以下中的一个或多个相关联的所述信号：租户的存储的内容、内容元数据、以及与所述存储的内容相关联的活动；基于警报类型来确定针对警报的一个或多个指定接收者；基于所述分析的结果确定要超过警报阈值；将所述警报发送给所述一个或多个指定接收者；以及将所述警报和所述分析的所述结果提供至策略引擎，以在调整或创建策略、所述警报阈值、和信号收集规则中的一个或多个时使用。

根据一些示例，安全性和合规性模块还可以被配置为提供要显示的警报管理仪表板，所述警报管理仪表板提供用于进行以下操作的选项：显示当前警报、显示近期警报、显示用户信息、显示内容信息、显示关联性信息、提供补救动作、编辑警报阈值、从策略创建新的警报、以及基于针对潜在警报场景的触发来创建新的警报。与租户的存储内容相关联的活动可以包括删除动作、共享动作、复制动作、移动动作、匿名链接创建、同步、站点创建、创建的豁免、许可修改、清除电子邮箱、文件夹移动、用户添加和群组添加中的一个或多个。

根据其他示例，可以在与对应于与活动相关联的内容或内容元数据的一个或多个信号的上下文中分析对应于活动的信号。所述多个相关信号包括与已经到达所述服务处的网络钓鱼或恶意软件威胁或者已知在全球流通的网络钓鱼或恶意软件威胁相对应的信号。所述多个相关信号包括与内容分类和敏感度相对应的信号，所述内容分类和敏感度与存储的内容是否包括个人信息、医疗健康信息、财务信息、和商业机密信息中的一个或多个相关联。安全性和合规性模块可以被配置为通过电子邮件、文本消息、音频通话和视频通话中的一个或多个来发送警报。

根据另外的示例，描述了一种被配置为基于云中的内容、元数据、和活动来提供警报的系统，所述系统包括：第一服务器，其被配置为针对租户和一个或多个用户对服务进行托管，其中，所述服务被配置为生成、处理、和存储与所述一个或多个用户相关联的内容和通信；以及第二服务器。所述第二服务器可以包括：通信接口，其被配置为促进所述第一服务器与所述第二服务器之间的通信；存储器，其被配置为存储指令；以及一个或多个处理器，其被耦合至所述通信接口和所述存储器，并且被配置为执行安全性和合规性模块。所述安全性和合规性模块可以被配置为：在多个相关信号的相关性的上下文中，分析与以下中的一个或多个相关联的所述信号：租户的存储的内容、内容元数据、以及与所述存储的内容相关联的活动；基于警报类型来确定针对警报的一个或多个指定接收者；基于所述分析的结果确定异常模式和要超过警报阈值中的一个；将所述警报发送给所述一个或多个指定接收者；以及将所述警报和所述分析的所述结果提供至策略引擎，以在调整或创建策略、所述警报阈值、和信号收集规则中的一个或多个时使用。

根据其他示例，所述安全性和合规性模块还被配置为基于用户的敏感度等级和风险等级来确定所述异常模式和要超过所述警报阈值中的一个。可以基于用户在组织内的位置、用户对一个或多个组织操作的潜在影响、以及用户的活动中的一个或多个来确定用户的敏感度等级和风险等级。

以上的说明书、示例、和数据提供对实施例的组成的制造和使用的完整描述。尽管已经用特定于结构特征和/或方法动作的语言描述了本主题，但应当理解的是，在所附权利要求中定义的主题不一定限于在上文中所描述的具体特征或动作。相反，在上文中所描述的具体特征和动作是作为实现权利要求和实施例的示例形式而公开的。