CN107409126A - 用于保护企业计算环境安全的***和方法 - Google Patents

Abstract

本文提供的方法和***包括网络智能***，统一应用防火墙和云安全结构，该云安全结构具有用于连接到企业的信息技术基础设施的企业API的，用于使开发者能够访问该结构的能力的开发者API 102，以及连接器API，结构可以通过连接器API发现与企业的信息安全相关的实体的信息(例如在多个具有云能力的平台(包括PaaS/IaaS平台)上发生的涉及企业的用户、应用和数据的事件)，其中云安全结构具有包括部署在云安全结构中的服务的各种模块，例如选择性加密模块、策略创建和自动化模块、作为服务模块的内容分类以及用户和实体行为分析模块。

Description

用于保护企业计算环境安全的***和方法

技术领域

本申请大体涉及用于改善的企业数据安全性的***和方法。特别地，本申请涉及与各种计算平台以及部署在这类平台上或与这类平台连接的应用和服务的使用有关的数据安全性的***和方法。

相关申请

本申请基于并要求于2015年2月24日提交的题为“System and Method for aCloud Security Fabric with Service Modules”的美国临时专利申请No.62/119,872的优先权，该临时专利申请的内容通过引用并入本文。

背景技术

对于与主要由云中的资源(即在传统企业的防火墙之外的资源，例如各种公有云和私有云中的资源)实现的商业应用的快速扩展相关的各种类型的企业来说具有重大挑战。云计算正在成为典型企业信息技术(IT)骨干网的主导元素。各种核心商业***正在从“内部”部署转移到云中。这些包括客户关系管理(CRM)***，金融***，人力资源(HR)***，研发***，工程***，文档库和文件***以及许多其它***。而且，正在朝着以下方向发生转变：企业中诸如智能手机和平板电脑之类的移动设备的使用量增加。这些设备在许多情况下在公司网络之外运行，通常连接到一个或多个云计算资源。此外，企业内的个人现在经常从应用商店，从社交媒体环境等中自主选择商业应用和消费者应用，通过使用其用于他们其余生活的许多相同的工具和应用来操作其商业活动。由于相同的***、服务和应用集(其中许多在企业防火墙之外)既用于私人活动也用于个人的工作活动，因此对于企业来说对企业的私人或敏感数据进行安全保护变得非常具有挑战性。

也存在朝着专门针对云部署的企业应用进行发展的趋势，使得典型企业的越来越多的IT骨干网可能期望驻留在一个或多个云资源(通常采用软件即服务(SaaS)模型)中而不是传统的企业网络上。典型的传统安全解决方案通常阻止或限制对企业防火墙之外的资源或数据的访问，不能有效地支持这种SaaS应用。企业越来越需要将敏感信息放在云中，反过来，他们需要确保仅有权利的人才能够访问这些信息。企业想要防止泄露或盗窃，无论是无意还是恶意的，并且防止泄漏可能有非常高的风险，包括与数据曝光、财务损失和法律责任有关的风险。然而，企业防火墙(可能在数据到外部资源(如云端)的路上保护数据)并不能容易地与部署在企业外部的网络(如云资源或平台)上的典型资源进行良好的互动(并且可能在处理像SaaS应用这样的资源方面有特别的困难)。例如，防火墙可能不太适合了解应用事务。防火墙解决方案和其它网络解决方案(如前向和反向代理)集中在传输中的数据，并且在首先安装防火墙之前，在静态数据上或在云解决方案中的数据上不能正常工作，这可能永远不会对防火墙可见。防火墙解决方案通常假设用户的流量通过它进行路由，在许多基于云的解决方案中并不是这样。此外，在大多数云环境中，应用和机器都进行了大量的访问，在某些情况下，这些访问称为云到云访问，这不需要遍历企业的网络。因此，阻挡或过滤机制(如防火墙)通常无效或不适用于用作保护云中或云之间的数据的机制，仅留给其阻止数据首先进入云中的选项，这否定了至少一些利益，否则将由用户采用云解决方案。

如今，软件安全行业正在尝试使用用于保护内部数据的相同工具，以解决云端新领域的数据安全问题。例如，典型的方法将云定义为网络上的目标地点，然后创建和控制各种连接，以寻求通过例如安全隧道将万物传递到云端以及传递来自云端的万物的任何连接；例如，“反向代理”***为连接企业外部的应用的许多企业提供这样的隧道。然而，在大多数实际情况下，人们发现用户、他们的设备和各种云之间的动态、快速变化的安排。可能存在与给定云或应用几乎无限数量的潜在连接，并且给定的用户可能具有到给定云的多个连接，并且可以连接到许多云。使用传统技术保护所有这些连接是非常困难的。现有的基于网络的技术集不能以足以允许在各种云上的用户和应用之间的连接和不同类型的云之间(例如，SalesForce^TM云和Google^TM云之间)的云到云连接的性质的频繁变化的步调移动；也就是说，与尝试用传统的企业网络技术集合解决云安全问题存在根本的脱节，传统企业网络技术集合侧重于控制连接的性质和其上的流量。现有技术针对假定快速移动、迅速变化、并且为用户带来高价值的事物增加了大量减速、复杂性和风险等。目前，基于网络的解决方案并不能基于应用之间的API并且基于用户、其设备和云之间快速变化的数据流回答所发生的情况。需要一种新的方法，允许业务用户以正确的速度移动和改变，并使安全性成为推动因素而不是阻碍，以便组织可以快速采用云解决方案，但比目前在典型云部署中提供的解决方案具有更好的安全性。

与本公开相关的是，随着组织越来越多地批准了不同类型和功能的SaaS或云部署应用(例如，Google^TMDrive， 等)，它们潜在地面临着某种类型的数据受到广泛不同程度保护的情况，具体取决于所使用的特定应用的功能和特性以及访问的云环境。这可能导致与指定特定对待特定类型的数据(例如，由公司收集的患者数据，个人身份信息(PII)等)的企业策略和法律要求相冲突。需要在异构云中的异构SaaS应用之间为企业建立更统一的安全架构、技术和一系列流程。

此外，企业越来越多地面临诸多因素，这些因素对改进的安全解决方案(包括解决和分析用户行为的解决方案)提出了更高的要求。这些包括各种内部威胁，黑客或网络间谍为恶意目的(如盗窃知识产权(IP))渗透组织的流行率越来越高，以及外部犯罪分子试图窃取金融资产的金融欺诈行为增加。当前的用户行为分析(UBA)和SaaS数据安全解决方案存在一些缺点，包括严重依赖外部数据源，对专业服务支持的高需求，以及限制他们可以分析的信息类型。需要改进的网络安全解决方案，包括提供增加和改进的UBA的解决方案。

需要用户行为分析的两个主要问题是帐户妥协(例如通过部署恶意软件)和数据泄露(数据例如在企业内部(恶意或疏忽)或由企业外的人员被不适当地发送到企业外)。对于与SaaS应用的使用关联的用户行为相关的改进的UBA解决方案存在需求。

发明内容

本文提供了用于针对云安全结构向一个或多个企业计算环境提供增强安全性的方法和***。云安全结构具有用于连接至少一个企业的信息技术基础设施的多个企业API，用于使开发者能够使用该结构的能力来开发应用的多个开发者API，以及多个连接器API，结构可以通过多个连接器API经由从多个云平台的接口获取信息来发现与企业计算环境的信息安全相关的实体的信息，其中云安全结构包括多个模块，其包括部署在云安全结构中的服务。在实施例中，为了本文的目的，术语“一个实体”或“多个实体”包括企业计算平台的用户中的至少一个，企业的用户使用的应用，企业的数据对象和/或针对这样的用户发生的事件，应用和数据对象。

本文提供了用于为企业计算环境以及在云部署中使用应用的用户提供改进的安全性的方法和***。本文提供了向SaaS应用和云解决方案中使用的其它资源提供企业级安全性的方法和***，其中相同的企业策略以相同方式跨异构应用和在异构云部署环境中自动应用。

本文提供了将安全性作为基于云的服务实现的方法和***。在实施例中，本文提供了用于云安全结构(CSF 100)的方法和***，其允许企业发现敏感数据，将策略和自动化动作应用于数据、用户和/或配置，并确保服从规定的数据且敏感信息受到保护，以便企业可以围绕数据实施使用策略。

除其它之外，本文公开的方法和***允许企业发现和管理可能已被授权访问企业信息的第三方应用，并且理解如何处理受损帐户和基于行为的攻击等。云安全结构可以集成许多重要的安全组件和其它功能组件，这些组件能够在具有正使用云资源的用户的企业中实现敏感数据的有效安全。架构的组件或模块可以包括但不限于用于信息保护和用于威胁管理的组件或模块，包括但不限于用于内容检查和分析(包括元数据)的组件或模块；情境分析；用户行为分析和建模(例如，用于从地理位置识别可疑登录，访问模式和从行为建模获得的其它信息)；全球策略制定和策略自动化(例如，能够管理工作流程和实施诸如由规则引擎启用的各种规则，关于在企业环境(包括任何云端)中采取行动，以响应策略引擎进行自动化操作)；中央配置管理(用于安全相关项目)；集中审核；事件管理；联合搜索；选择性加密(用户(不仅仅是整个企业)可以自主选择对数据项的控制的附加度量)；以及安全和用户行为分析。CSF 100内的多个模块的统一性提供了整个本公开中提到的许多益处。例如，组织可以轻松地在不同平台、应用和用户之间部署多个重要的安全解决方案，而无需学***台中可用的不同安全措施分开交互。例如，通过对敏感数据进行自动管理策略，统一组织用户在不同云平台中使用的内容分类，允许组织通过CSF 100使用单一的集中式流程将策略应用于其所有这些平台的内容。类似地，使用选择性加密功能的内容分类服务的统一允许企业发现和分类其内容(因为其结合不同的平台使用)，然后自动提示用户有选择地采取措施来提高该内容的安全性(或自动采取此类措施，无需用户操作)，而不禁用用户或以其它方式干扰云平台的有益使用。通过统一这些和其它服务，CSF 100为不存在于分离解决方案中的组织和用户提供显著的优势。

关于这些项目之一(选择性加密或SE)，可以允许用户要求一方提供另一个因素以能够访问某些数据。例如，企业可以使用根据上下文策略、内容策略或行为异常导致某些类别的数据自动加密的策略和规则。在这样的***和方法中，选择性可能比常规***提供显著的益处。大多数加密方法是大规模的(它们加密整个驱动器，加密网络外出现的所有东西等)。由于数据项现在经常远离企业网络，企业无法对所有内容进行加密。云供应商在休息或运动(例如基础设施层面)时进行加密通常只是透明的，并且不需要额外的因素，因此只能保护外部威胁而无法保护内部威胁。此外，大规模带内加密或令牌化网关引入风险(因为网关本身可能会受到敏感数据存储在那里的危害)，改变用户体验(使得对用户来说更难)，并且可能会中断基于云(例如SaaS)的解决方案的本机功能。因此，能够帮助识别什么是敏感的并且使得用户能够选择性地应用加密(例如仅针对敏感信息)变得越来越重要。

在实施例中，可以部署如本文所述的云安全结构，使得其涉及在云中使用的各种资源之间的接口(包括API)，例如云到云接口，SaaS到SaaS接口和常规网络到云资源(包括SaaS应用)的接口。可以使这种云安全结构能够允许期望的应用和资源的即时可用性，而不需要任何业务的重新路由，而不需要网络安装，而没有任何功能的损失，并且对云资源(例如SaaS应用)的性能没有影响。

附图说明

图1描绘了安置在来自公共云提供商的多个云资源之中的云安全性结构。

图2描绘了可以在云安全结构中启用的功能集。

图3描绘了可以通过开发者API集合由云安全结构增强，扩展或启用的解决方案类型。

图4描绘了反映由云安全结构启用的不同安全解决方案的集合的统一的仪表板。

图5描绘了例如在平台上执行的或与平台关联的用户行为分析的实施例。

图6描绘了***架构和数据处理流水线。

图7描绘了UBA状态***的实施例。

图8描绘了云安全结构的某些能力的基础设施的实施例。

图9描绘了可以包括云安全结构的一部分的内容分类服务的架构。

图10描绘了用于使得能够处理内容分析请求的基础设施和相关过程流程。

图11描绘了用于处理用于提取和分析内容的请求的基础设施的架构和处理流程的实施例。

图12描绘了用于处理用于提取和分析内容的请求的基础设施的架构和处理流程的实施例。

图13描绘了用于缓冲和内联与云安全结构相关联的内容分类方法的替代架构。

图14描绘了用于指示与策略自动化引擎相关联的策略的标准的树结构。

图15描绘了用于表达策略的树结构。

图16描绘了用于策略的标准的一组指纹的示例。

图17是涉及与云安全结构相关联的策略引擎的解决方案的流程图。

图18示出了结合内容上的策略引擎的操作使用的树。

图19示出了用于指示什么平台将被选择用于应用策略引擎的用户界面元素。

图20示出了涉及应用涉及元数据的策略的树。

图21示出了用于结合与数据使用有关的策略的自动化为给定平台选择曝光标准的用户界面。

图22示出了结合策略引擎使用的元数据、访问、ACL和域标准的复杂树。

图23示出了涉及用于由用户指定的元素的用户界面的一部分，具有结合适用于数据使用的策略表示异常的能力。

图24描绘了反映在后端***中如何实现用户界面标准的树。

图25示出了用于设置与用于报告的项目的标记的频率、位置、分布和时间有关的参数的用户界面部分。

图26示出了用于表示涉及用户行为的策略的树的示例。

图27示出了企业用户在企业防火墙之外访问的应用。

图28示出了可以包括能够开发企业的每个应用的使用的统一视图的一系列步骤的过程。

图29描绘了用于实现统一AFW平台的功能组件和能力。

图30示出了指示企业用户在各种类别中的应用的使用的报告。

图31示出了与云平台和企业网络上的应用交互以及通过API报告活动的云安全结构。

图32示出了将应用安装为实体进行建模的方法。

图33描绘了可以在实体模型中使用的多种类型的对象和相关属性。

图34示出了在应用索引中提供收集的信息的报告的示例。

图35示出了具有用于选择性地加密文档的菜单元素的用户界面。

图36示出了可以用于启用选择性加密的一组API。

图37示出了可用于启用加密的API之间的活动流程。

图38示出了可用于启用解密的API之间的活动流程。

图39示出了报告的示例，该报告提供了企业根据风险级别使用的云应用的细目。

图40示出了可以使用应用索引中收集的信息生成的报告的示例。

图41示出了关于可以使用被识别为具有高或中等风险的企业用户使用的应用中收集的信息来生成的应用的流量吞吐量的报告的示例。

图42示出了影子IT报告的一部分的示例。

图43示出了可以在第三方环境或仪表板中报告关于应用的信息的实施例。

图44示出了可以由本文描述的云安全结构和其它解决方案(包括关于企业的帐户、数据和应用的解决方案)来解决的网络安全用例。

图45示出了由企业购买或由开发者针对典型企业开发的各种类型的应用，以及这些应用的云安全结构的覆盖范围，以解决在本公开内容中描述的各种网络安全用例。

图46示出了可以在技术供应商和典型企业之间使用云应用的技术堆栈的各个层的责任共享。

图47示出了各种网络安全用例与企业的不同元素和用于启用企业的应用和数据的云基础设施的关系。

图48示出了如何使用开发者包来为了在各种开发和运行时平台上进行开发的目的实现对云安全结构的各种服务的访问。

图49示出了用于显示网络安全事件的事件事情细节的用户界面。

图50示出了用于显示关于安全事件的信息的用户界面，包括事件的位置的地理表示。

图51示出了报告关于安全事件的各种信息(包括原始事件数据)的用户界面。

图52示出了指示关于各种安全事件的细节的用户界面。

图53示出了提供关于一组安全事件的统计的用户界面。

图54示出了报告用于安全事件的原始事件数据以及事件位置的地理表示的用户界面。

图55示出了通常支持应用并且可能存在各种安全相关事件的技术组件的堆叠。

图56示出了表示安全相关事件的HiPAA合规性报告的示例。

图57示出了从开发者平台收集和处理事件数据的架构。

图58示出了用于从运行应用的AWS^TM平台收集数据和事件的架构。

图59示出了将自定义开发的应用添加到要跟踪的应用集合的能力。

图60示出了用于配置启用跟踪PaaS/IaaS环境上的应用开发和/或操作的选项的菜单。

图61示出了用于配置用于跟踪PaaS/IaaS环境上定制开发的应用的选项的菜单。

图62示出了用于跟踪PaaS/IaaS环境上的应用的额外配置选项的菜单。

图63示出了用于显示关于在PaaS/IaaS环境上运行的各种应用(包括商业应用和定制开发的应用)跟踪的事件的菜单。

图64示出了可能与监控各种网络安全用例相关的事件类型。

图65示出了网络智能平台的架构组件。

图66示出了用于显示用户行为分析的用户界面的实施例。

图67示出用于显示用户行为分析的用户界面(具有用户或应用行为位置的地理显示)的实施例。

图68示出了用于显示用户行为分析(包括提供与帐户风险相关的细节)的用户界面的实施例。

图69示出了用于显示用户行为分析(包括提供各种类型的事件的直方图和图形视图)的用户界面的实施例。

图70示出了用于识别用户或应用行为异常的趋势方差统计。

图71示出了报告由网络智能平台报告的数据的各种分析的用户界面。

图72示出了显示要结合由网络智能平台识别的事件完成的动作的用户界面。

图73示出了用于网络智能平台的数据收集流水线。

图74示出了用于支持热图用例的数据收集流水线的数据流。

图75示出了可以在影子IT信息中提供的各种形式的报告。

图76示出了在外部***中显示来自网络智能平台的事件的用户界面。

图77示出了用户界面，其中网络智能平台的用户可以导航以获得关于事情和事件的详细统计。

图78示出了具有关于网络智能平台中的具体事件的详细信息的用户界面的实施例。

图79显示了关于网络智能平台中的事件的概述信息的用户界面。

图80示出了具有关于网络智能平台中的具体事件的详细信息的用户界面的实施例。

图81示出了显示针对特定用户的各种风险相关事件以及用户在一段时间内对信任评分的进展的用户界面的实施例。

图82示出了云安全结构与网络智能***和用于解决各种网络安全用例的其它组件和***的集成的架构组件。

具体实施方式

图1示出了云安全结构(CSF 100)100，其可以由可通过一系列接口(诸如应用编程接口(API))访问的云本机安全服务的集合组成。CSF 100可以被实现为包括其中封装的各种模块或组件的应用。CSF 100可以包括建立在各种开发者API 102上并且访问各种开发者API102的用户界面(UI)，用户或操作者(诸如安全应用开发者，另一类型的应用的开发者，安全性专业人员或信息技术(IT)专业人员)可以通过各种开发者API 102访问和使用CSF 100。在实施例中，称为应用连接API或连接器API 108的另一组API可以连接各种不同的源并从各种不同的源收集信息，各种不同的源例如为企业用户使用的资源，包括涉及存储或托管在分布环境中的数据、应用、服务等的资源，分布环境例如为各种SaaS环境190(包括使用应用的生产环境和开发应用的IT SaaS环境136)、云环境130、PaaS和IaaS环境138、以及在场外和典型企业的防火墙之外的环境(例如诸如One Drive^TM，Evernote^TM，Amazon Web Services(AWS)^TM，Azure^TM，OpenStack等的各种环境，除了上下文另有指示，否则这在本公开中统称为云平台、云资源或云应用)。连接器API 108还可以连接到有助于实现安全性的其它平台和应用，例如诸如Okta^TM，Centrify^TM和Onelogin^TM之类的身份即服务(IDaaS)平台154以及企业移动性管理(EMM)解决方案和移动设备管理(MDM)解决方案，下一代防火墙(NGFW)和安全网关(SWG)解决方案，以及其它解决方案，如内容传送网络(CDN)解决方案和域名***(DNS)解决方案UBA-120。

在实施例中，开发者API 102(包括网络开发者API 140)中的一个或多个可以使诸如安全应用开发者或IT管理员的CSF 100的用户能够扫描和访问从各种云资源(包括SaaS应用190和PaaS和IaaS环境138中使用的应用)收集的信息，并且访问在CSF 100中启用的云本地安全服务的各种能力。

如贯穿本公开所指出的，CSF 100可以包括多个不同的服务，包括但不限于作为服务110的内容检查(在各种实施例中称为CCS，CaaS等)，作为服务的加密122(在某些情况下称为加密管理)，行为分析114(在某些情况下称为用户行为监控，但适用于用户的、应用的、服务的和设备的行为)，行为分析150(在某些情况下称为用户行为分析，也适用于用、应用、服务和设备)，连接服务和策略管理116(包括策略创建和自动化策略管理，这里也被称为上下文允许作为策略自动化引擎116)。

在本公开中在一些情况下称为企业API 104的第三组API可以扩展CSF 100的功能，并允许CSF 100的主机或第三方结合企业的另一过程、活动或***104部署和操作CSF100。例如，使用到CSF 100的接口(例如通过开发者API 102)的开发者可以安排使CSF 100或其模块启动另一***(诸如防火墙后的企业***)上的进程。类似地，通过这样的企业API104，诸如企业***或组件的用户之类的用户可以将CSF 100的一个或多个能力扩展并集成到企业128的其它***中。例如，企业的管理员，服务提供商或供应商可以使用企业API 104采取各种动作，例如打开与安全相关事件相关的服务票据，向安全管理员发送页面，或者进行各种使安全活动更加运行的活动(例如，根据使用CSF 100获得的见解来采取行动)。这可以将由CSF 100的各种服务处理的各种事件、事情等集成到企业工作流程中。类似地，事件和事情可以使用企业API 104从企业***流向CSF 100，例如用于其各种服务。

仍然参考图1，CSF 100可以部署有各种API，通过该API，CSF 100可以与各种资源(诸如公共和私有云计算平台130，作为服务(PaaS)平台138的基础设施即服务(IaaS)平台，软件即服务(SaaS)服务和应用190，其它应用和平台，身份即服务平台(IDaaS)154)进行交互，并且企业和/或各方(如应用开发者(包括使用CSF 100进行交互或帮助启用诸如移动应用和定制企业应用之类的应用的开发者)，企业128，服务提供商等)使用的其它资源等可以与CSF 100进行交互。除了上下文另有说明外，贯穿本公开对云平台和云环境的提及应该理解为包括所有这些平台、应用和资源，包括IaaS和PaaS平台、SaaS应用和服务以及IDaaS应用和服务154。这些API可以分为三个族：企业API 104，开发者API 102(为了本公开的目的假定为包括诸如安全专业人员和IT管理员之类的用户可以使用CSF 100的API，其实际上在一些实施例中可以是一组不同的API)和连接器API 108(其能够连接到各种云平台的API，端口，接口，事件日志等，并且在本公开中被称为应用连接API 108，AppConnect API 108和/或平台API 108)。

企业API 104族可以包括各种API 104，企业可以通过该API 104从与CSF 100的连接或交互中受益，包括从CSF 100的每个模块或组件接收输出和结果，以递送结果和输入到CSF 100等。这些企业API 104可以包括用于管理和处理事件，策略，配置，报告，用户和帐户的配设等的APIS集合。因此，这种企业API族允许合作伙伴将CSF 100及其每个独特功能集成到各种企业***和工作流程中。作为示例，企业API可以允许企业将CSF 100中识别的事件下拉到企业的安全信息和事件管理(SIEM)***中，使得可以将事件视为在其它企业资源(例如驻地网络)上发生的事件，或者可以在特定企业的特定安全框架中根据需要另外处理。类似地，企业可能会将诸如事件报告之类的输出作为“票据”发送到诸如ServiceNow^TM或日志分析或SIEM***(例如由Splunk^TM提供)的工作管理或票务管理***。因此，CSF 100在为许多安全领域提供强大的独立框架的同时，也可以通过企业API 104的族向这些***提供报告和事件来与现有的安全性、工作管理和其它***集成。利用CSF 100的信息，企业可以生成各种报告，例如显示与特定用户相关的事件趋势(例如，在一段时间内显示前五名最危险的用户)。企业可以使用企业API 104来提取事件并创建报告CSF 100的各种模块的任何输出的图表(如趋势图)，并将这些信息集成到例如由安全管理员使用的现有企业仪表板中。企业也可以从CSF 100获取原始数据，例如下拉在企业环境中检测到的所有曝光的记录(与企业的账户，数据和应用相关)。该原始数据可以通过企业API传递到数据库，企业可以在该数据库上进行查询、运行分析和创建报告的。

作为示例，企业可能有条款和条件集，法律部门要求第三方遵守这些条款和条件，以便允许与企业合作。可以使用来自CSF 100的信息来指示企业用户正在与之共享数据的各方的发现，以及他们正在通过哪些应用和平台来共享。这些信息可以通过企业API向企业法律部门提供，使得法律部门可以验证第三方是否同意当前的合作条款和条件集。这种自动同步提高了与第三方实体签约涉及的工作流程的效率，并降低了未经授权协作的可能性。

在实施例中，与策略自动化引擎116相关联的策略API包括企业API 104族的成员之一。这允许企业通过API 104更新策略标准。随着企业不断更新其策略，API 104可以访问更新并实现工作流以自动更新策略，包括由CSF 100的策略自动化引擎116实现的策略。此外，企业API 104可以用于从诸如由Symantec^TM提供的数据丢失预防(DLP)***之类的企业***中提取策略定义，使得企业不必开发由CSF 100从零开始来部署和管理的策略。

企业API 104中的CSF 100的主机或操作者也是有价值的。主机或操作员可以执行业务自动化功能，例如为企业客户进行自动安全评估报告。此外，企业API允许主机或操作者使社区信息更有价值，例如通过在多个企业中探索共同的策略标准，并对这些信息进行自动化的聚合报告，以指示哪些策略导致有效的安全性和工作流动或识别用户群体中的共同威胁。企业API 104可以是双向的。CSF 100的主机允许客户将事件引入SIEM，但企业也可以将信息推送到CSF 100来更新事件状态。企业API 104可以是基于拉式的，但也可以具有推送功能，使得企业可以扩展他们的工作流程以在例如事件发生时被通知。

在实施例中，来自企业API 104的信息可以用于丰富。基于企业API 104，CSF 100的主机可以丰富来自外部来源的信息。例如，可以通过扩展来自你利用经由企业API 104获得的信息具有的外部来源的地理位置信息来改善地理位置。类似地，可以从外部信誉***获取信息并增加数据(例如添加策略标准，事件报告等)。

在实施例中，服务提供商可以具有在诸如Google Drive^TM之类的云平台上实施的内容管理***。提供者可以拥有可以与应用由CSF 100管理的策略结合使用的丰富数据。在这种情况下，CSF 100的策略自动化引擎116可以使用CSF 100中定义的标准，但是也可以将其配置为使用第三方源来获得额外的策略标准。因此，策略API可以定义和访问额外的策略标准源，并且可以定义该API以降低这些标准。然后，CSF 100的各个模块可以评估给定的对象或事件，并且不仅考虑由CSF 100发现的元数据，而且考虑与其它策略相关的数据，例如与给定企业中信息的特定分类有关的信息，因为它与该企业的策略有关。对于此示例，企业策略API可用于为策略指定额外的外部评估器，然后将其用于丰富策略评估器。

另一个API族提供了CSF 100与各种云平台(包括云应用，基础设施即服务平台，IDaaS平台等)之间的连接。这些连接器API 108允许CSF 100在云平台中以及在其上运行或在其上开发的应用中进行交互并发现用户帐户，数据，事件日志，应用和配置。连接器API108包括与异构云平台的本机API一起工作的许多不同的连接器144。当CSF 100的主机添加连接器并连接到云平台的API时，CSF 100可以自动提取通过云平台的给定API可用的数据，并且能够将该数据调用并集成到相关工作流中CSF100的各个模块，包括涉及策略，仪表板，图表，事件处理，用户行为分析等。如果CSF 100的主机希望添加对诸如OneDrive^TM平台之类的平台的支持，则主机可以例如实现用于检索数据的机制(例如，使用馈送迭代器和可选地将该特定源***中的源字段映射到CSF 100中的目标字段的配置文件)。因此，CSF 100能够通过API从不同的源收集数据，源原始地使用API用于代表用户启用各种应用。

CSF 100数据收集的范围和复杂程度各不相同。全面的方法可能涉及扫描企业的整个文件结构以获得用户，数据，帐户，应用等的广泛图片。当扫描所有这些材料时，它是一个非常结构化，高度密集的服务。一个枚举用户，并且对于所有用户来说，一个扫描并知道他们的文件。一个还可以扫描文件元数据，对元数据应用规则，并下拉内容进行扫描。完全扫描文件***的替代方法是使用域的web钩子来获取所选信息。虽然更容易，但这仍然是一个结构化的过程。

在实施例中，具有通过CSF 100获得、处理和提供值而未从文件***中完全扫描结构化信息的其它方式。一种这样的方式是使用服务API(具有一些后面的结构知识)，另一种方式是扫描更简单的事情，例如事件日志(半结构化)。没有理解结构就可以获得值。例如，可以通过识别的用户对包括趋势，频率分析等在内的各种平台的API发生的活动进行通用报告和搜索，以指示异常。通过相对简单的字段映射层(例如，将特定用户映射到特定帐户并将一组事件映射到事件类型)，可以提供对安全风险，威胁和行为的深入了解。例如，可以提供关于登录事件的基本频率分析，规则和异常检测，这是比尝试了解文件***的整个结构更容易的起点。因此，诸如用户行为建模的处理事件允许从CSF 100获得值，而不完全扫描文件结构。

应用连接API也可以连接到为企业提供服务的有价值的第三方服务提供商。例如，可以将连接器制作为向企业提供服务的单点登录(SSO)/身份和访问管理(IAM)***(例如Okta^TM)的API。这有助于CSF 100的主机识别企业的应用，即使没有对客户的文件***进行全扫描或者收集网络日志。一旦应用(或其中许多)已知，来自服务提供商连接器/API的数据可以指示用户使用特定应用的频率，如登录或登录事件所示。这通过代理给予CSF 100的主机和企业对于更多应用的更广泛的可见性，而不需要从CSF 100到所有应用的直接连接。因此，CSF 100可以连接到各种代理集线器中，以获得指示应用使用的数据。例如，诸如Akamai^TM或DNS提供商之类的内容传送网络(CDN)可以在事件日志中具有大量的企业流量，应用连接API可以从该事件日志提取事件，再次可能比全扫描文件结构更容易地提供值。

在实施例中，CSF 100可以包括配置管理能力134和配置安全性能力152，由此CSF100API可以比文件结构的批量扫描更简单地下拉配置结构。因此，CSF 100可以在收集器框架和转换器/映射器框架内操作，这些框架使得CSF 100的主机概述从全扫描到更小规模集合关于频谱的使用，并且经由应用连接API 108从其中进行收集的源可以从其它安全***(如SSO/IAM)变化到CDN，到基础架构即服务(IaaS)解决方案提供商和企业客户自己的私有或专有云应用的API。在私有云应用的情况下，如果企业构建连接器，则CSF 100可以使用应用连接API来将信息从连接器下拉到CSF 100中。在私有云的情况下，CSF 100实际上可以执行企业的专用脚本来收集相关数据。

CSF 100还可以提供开发者API族102，其允许诸如安全管理员和安全应用开发者之类的用户与CSF 100交互，包括启用CSF 100的特定模块或服务的使用。例如，对于企业正在生成的敏感数据需要企业级加密的开发者可以使用加密和密钥管理服务，该服务使用组成CSF 100的服务的一部分的密钥服务API和加密API，API在开发者API 102族内提供。在这种情况下，开发者API 102使开发工程师(他们可能专注于应用开发或部署的其它方面)在认证环境中使用适当配置的适当类型的加密，而无需自定义开发特定能力。例如，管理移动医疗保健应用的开发者可能正在处理需要加密的相关数据，在这种情况下，开发者可以与CSF 100集成，并通过访问来自CSF 100的密钥管理和加密API为应用提供密钥管理和加密。如果应用提供商希望将其销售到具有法规和合规性需求的组织中，则开发者可以与CSF100的各个服务(包括可以访问其它API(例如上述连接器API 108和企业API 104)的服务)集成。作为另一示例，开发者可能需要提供DLP服务或者确保PHI信息没有被存储，在这种情况下，开发者可以经由API通过CSF 100的服务流式传输其数据，该API将识别风险、PHI数据并且将可选地允许开发者加密或“擦除”该数据。因此，开发者可以通过经由开发者API 102访问CSF 100的能力来为其它应用增加价值。

CSF 100及其模块允许从孤立的、战术的安全过渡到集中的、统一的、跨不同平台的战略安全。用户能够直接继续访问SaaS服务。连接器108将CSF 100中的各种安全服务连接到SaaS应用。这些连接器API 108允许CSF 100的主机水平地缩放以支持更多的SaaS应用并且在所有SaaS应用中提供服务的一致性(例如通过单个策略自动化引擎116)。企业API104允许将CSF集成到现有安全基础设施中，包括将事件馈送发送到SIEM和票务***中，并以各种方式操纵或定制CSF 100。连接器API 108可以通过连接器144连接到CSF。CSF 100可以托管各种安全相关服务，包括内容分析服务110和内容分类服务146(其分析文档，文件和对象以基于模式，规则，频率，接近度，权重，指纹，字典等来实时查找特定信息(如***信息，社会保险号码))；上下文分析服务112(根据文件所有权，共享和访问模式等元数据标准分析敏感信息的文档，文件或对象)；用户行为监控服务114(其监视和分析用户活动以检测潜在异常和可能暗示恶意行为的重大变化)；策略自动化服务116(其包括检测诸如知识产权，PCI，PHI和/或PII之类的敏感数据是否在组织内部和外部被不适当地共享的规则引擎，以及可以执行诸如补救任务之类的一系列任务的工作流引擎)；中央审计服务118(其跟踪用户访问并记录在CSF中以及可选地在由CSF监视的目标应用/平台中执行的所有动作的审计跟踪)；威胁情报121(包括对可以从CSF 100提供并由来自各种其它***的API访问的威胁信息(其包括在CSF 100和贯穿本公开描述的其它能力内识别的威胁信息)、以及从外部***获得的威胁信息的馈送)；社区信任评级服务160(包括CSF 100的用户的社区标记、评级和共享与风险、风险管理、安全配置以及其它主题有关的信息的能力)；事件管理服务120(集中管理和调查组织的平台和应用组合中的事件)；加密和密钥管理服务122(其使得最终用户能够基于单个文件或完全自动化的策略升级选择性地加密敏感信息)；安全分析服务124(其提供与关键云安全风险和性能指标相关的洞察)和配置管理服务134(其允许CSF100从各种来源获取配置信息并配置CSF 100中或各种平台中的各种安全相关模块和服务)。CSF 100可以具有诸如应用防火墙服务148的其它服务，其可以实现或包括更一般的应用防火墙平台或AFW 300的一部分。CSF 100可以具有各种其它服务，例如用于威胁管理，联合搜索，动作框架等的模块和服务，每个模块和服务可以与CSF 100的其它模块结合操作，并且可以具有各种特征(例如具有本文所述类型的专用API)作为CSF 100的一部分。

在实施例中，CSF 100可以包括，启用或连接到(例如通过开发者API 102(包括CyberDev API 140))开发者开发在云平台上运行的应用(如SaaS应用和在PaaS和IaaS环境138上运行的应用)的各种平台和环境(如IT SaaS环境)。CSF 100的资源和能力，例如开发者API 102(包括CyberDev API 140)和CyberDev Pack 142帮助开发者使用CSF 100的各种服务的各种能力来开发应用，例如提供它们正用CSF 100的一个或多个能力开发的应用。这些资源和能力还可以包括一个或多个预先配置的服务和应用包，每个被称为CyberDevPack 142，其有助于使开发者，安全专业人员，开发操作专业人员或其它用户使用与特定类型的应用和平台相关的适当的服务和其它能力的集合。CyberDev API 140和CyberDevPack 142可以在CSF 100和各种IT SaaS环境136以及PaaS和IaaS环境138之间连接和操作。为了促进数据交换并实现CSF 100，CyberDev API 140，Cyber Dev Pack 142，IT SaaS环境136以及PaaS和IaaS环境138之间的动作，可以使用各种连接器144、146，包括被配置用于根据特定云平台的协议进行交换的连接器。

参考图2，连接器API 108可以实现各种网络安全功能和支持各种网络安全用例，每个都涉及CSF 100如何通过连接到各种平台提供能力，如应用发现和控制，风险合规性和管理，配置管理，审计和取证，威胁管理以及云数据保护。CSF 100可以作为企业的云安全架构。CSF 100可以是云本机的，并且在不影响最终用户体验或要求的情况下(例如在几分钟或不到一分钟内部署，其中包括自身实现为SaaS应用)迅速部署网关，代理，反向代理或任何其它侵入性技术。基于以API为中心的方法，CSF 100可实时或近实时地无缝连接和监视多个云应用，包括Google Apps，Salesforce，Dropbox，ServiceNow或其它应用。在实施例中，CSF 100能够扫描休息时或在基线时间点(数据移动之前)的数据，这相对于“人在中间”方法是有区别的能力，因为它允许寻址当前条件以及前进条件。基于API的方法还允许更丰富和更完整的信息，因为CSF 100的主机可以获得关于配置的数据和不是由用户直接生成的其它类型的数据。此外，CSF 100可以使用在CSF 100连接的目标平台(例如SalesForce^TM或Servicenow^TM)中运行的代理，其允许甚至更多的功能且甚至更快，接近实时或实时检测。代理还可以允许带内控制(仍然不需要改变或对核心客户网络或流量进入云端的任何影响)。

CSF 100可以包括多个核心安全服务的集合。CSF 100适用于解决许多关键用例：云数据保护，应用发现与控制，风险与合规管理，配置管理，威胁管理，审计和取证。云数据保护可以包括对公共云应用的持续监控，敏感数据的可见性和控制以及具有自动响应动作的策略执行。应用发现和控制可以包括发现直接连接到企业环境的第三方应用，并控制启用哪些应用以及哪些应用被撤销。风险与合规管理可以包括符合诸如PCI DSS，HIPAA，HITECH，SOX，CIPA，FISMA和FERPA之类的规定，以及PII，PCI，PHI和知识产权数据的发现和控制。审计和取证可以包括关键动作的不可变的审计跟踪记录，可疑行为的调查以及合规和取证的证据。

参考图3，开发者API 102使得开发者能够访问CSF 100的模块的能力和服务，以实现诸如SIEM 304，DLP 302，UBA解决方案310和IAM解决方案308之类的各种其它解决方案。CSF 100可以为这些解决方案中的每一个提供基本级别的功能，使得开发者可以在集中于特定解决方案的增强或扩展版本的同时获得所有这些解决方案的优点。

参考图4，仪表板400可以包括诸如涉及由CSF 100的各种模块和服务(包括当CSF100通过连接器API 108与各种平台132交互时)产生的事件的报告。CSF 100可以在多云产品上实现云采用，包括适合风险的统一安全和合规策略实施。CSF 100可以是云对云，即时可用的，并且可高度可扩展，并且可以提供多云可见性和控制。CSF 100可能不需要安装，流量路由，丢失应用或平台的功能或性能影响。

在实施例中，CSF 100可以使用户能够发现企业的用户正在使用哪些云应用和平台132(以及关于什么数据项)，例如通过检查在这些平台的事件日志和API中反映的这些用户的活动来实现，这些平台可以使用连接器API 108被检查。CSF 100还可以使得用户能够选择性地(例如实现用户控制)或集中地(例如基于策略)对诸如数据使用和控制数据使用相关的用户，活动，应用和数据等进行分类。控制可以包括各种自动响应动作，例如向用户自动发送警报，自动警报管理者，自动加密敏感数据，或自动触发在不同安全***(例如威胁管理***)中可用的广泛的响应动作。

CSF 100以及本文描述的各种解决方案能够实现企业的应用和用户的统一视图等。网络智能(包括将分析应用于各种类型的数据)将越来越多地从对关于应用(包括各种平台上的云和网络应用)的信息以及关于用户的信息(例如用户行为)的统一中获得收益。包括应用防火墙(AFW)300和下面描述的UBA平台500的CSF 100可以提供关于应用和用户的广泛数据，从而实现如下所述的更复杂的网络智能和分析。有些方面将用户分析和实体分析结合起来，其中实体将编程和机器活动称为“UEBA”，并且贯穿本公开对UBA的提及应理解为包括UEBA，除非上下文另有说明。

参考图5，例如在平台500上执行或与平台500相关联的用户行为分析(其进而可以与整个网络智能平台6500相关联，并且具有贯穿本公开所描述的CSF 100的各种其它功能(包括用户行为监控114和用户行为分析150))可以帮助实现广泛的其它安全解决方案，诸如安全信息事件管理解决方案512，欺诈管理解决方案510，云数据保护解决方案508，高级威胁分析解决方案504，以及身份访问管理解决方案502(包括单点登录(SSO)，AA，个人信息管理(PIM)和IGA解决方案)。在实施例中，UBA可以帮助实现其它安全解决方案，诸如企业移动性管理(EMM)解决方案和移动设备管理(MDM)解决方案514，下一代防火墙(NGFW)和安全网关网关(SWG)解决方案518，以及诸如内容传送网络(CDN)解决方案和域名***(DNS)解决方案520的其它解决方案。

SaaS供应商越来越多地提供对诸如SalesforceEventLogFile，Google ActivityAPI，Box/Events API，Office 365安全和合规日志，Dropbox，Okta等等的详细事件日志的访问。

现在可从主云平台获得的安全相关信息范围广泛。该数据允许诸如网络智能平台6500的平台来例如通过UBA平台500监视和分析用户活动。网络智能平台6500还可以诸如通过平台500监视和分析来自与IaaS/PaaS***相关的事件的日志和其它来源，来自其它安全***的事件的日志和其它来源，以及来自通过各种API传递的事件的日志和其它来源等的活动。

UBA平台500试图从用户行为(在某些情况下，为应用或机器行为)中提取可操作的安全洞察，在这种情况下，UBA有时被称为用户和实体行为分析或“UEBA”。除本文另有说明外，术语UBA应在整个本公开中被理解为包括UEBA。UBA平台500可以获得诸如与例如来自可以通过CSF 100的各种服务、以及从第三方安全供应商(例如，通过API)、以及从可用于将事件和日志输入到CSF 100中的输入API获得的事件日志，审核日志等的事件相关的数据。UBA平台500可以包括诸如数据处理流水线的用于流送、丰富、分析和存储安全事件信息的过程，如下面更详细描述的。UBA平台500还可以实现各种操作和取证功能，例如支持搜索(例如，按用户，按位置，按应用，按事件类型等)，允许用户深入了解细节(例如在可以搜索的区域)，以及启用各种用户界面和可视化功能，例如帮助安全专业人员管理各种网络安全用例(例如识别新兴事件，处理受损害的帐户，防止恶意软件，避免和管理数据泄露，提供取证功能，管理合规性等)的功能。

UBA平台500的基本特征可以包括基于规则的特征和异常检测功能。

基于规则的特征可以基于规则检测折中的指标。例如，规则可以指示用户不应该从白名单国家之外的国家等进行连接。然而，这些基于规则的***难以有效扩展，因为它们被围绕它们开发方法的恶意方了解。

由数据科学和机器学***台500还可以将异常检测与威胁或风险相结合，因为用户行为异常和数据敏感度的交叉相比按基于规则的功能可以以更可扩展的方式提供对正确指示符的关注。

一个重大的挑战可能是警觉疲劳。例如，像IPS***这样的***每天可以提供数百，数千甚至数万或更多的警报，使用户对个人警报不敏感。UBA平台500的目标可以是更好地指示诸如帐户受损的威胁，例如使用UBA技术连同通过CSF 100的服务指示的帐户受损的其它指示。这可能使警报识别更有效，允许生成更少，更相关的警报。

平台500还可以包括用于改进的UBA的能力，改进的UBA例如为上下文感知UBA，基于UBA的威胁分析，包括用于允许用户批准应用以代表其行动的oAuth，使用UBA信息的高级威胁分析和取证，以及基于UBA的用户教育的协议。

基于UBA应用网络智能的额外机会可能包括社区智能(包括与影响多个企业的威胁(包括不同的应用和平台)相关的情报)，安全配置管理，身份管理集成和实时会话管理。实时会话管理可以包括重建用户会话并允许用户管理会话。

有一些可以从改进的UBA解决方案中受益的重要的网络安全用例，其中识别用户或机器行为的模式允许识别威胁。重要的网络安全用例可以包括处理受损帐户。潜在帐户受损的行为指示符可以包括晚上和周末的活动，远距离地点同时登录，以及建议机器人/爬行器行为的访问模式，而不是真正的人类行为。

重要的网络安全用例也可以包括处理粗心的用户和数据泄露。数据渗透的行为指示符可以包括会话中的过多下载，“访问失败”事件的高峰以及将文件共享到个人电子邮件地址的指示符。

重要的网络安全用例和特征还可以包括特权管理，配置管理，处理Oauthspearphisihing，网络安全管理，风险管理，教育，事件管理，API集成，用户行为可视化，风险评估，适应性安全管理，社区功能，取证和合规。

来自UBA平台500的UBA信息的输出可能以多种互连的方式被消耗，如用于检测，分析和取证。检测可以包括在违反策略或识别可能的违规时创建警报。分析可以包括对所收集的数据执行离线分析以找到模式，异常值等。取证可以包括使用过滤器，向下钻取，刻面和图形可视化在线，手动询问原始数据。

UBA输出可用于许多不同的网络安全情况，包括与内部威胁，外部威胁，配置管理，日志管理，IAM，DLP和加密有关的情况。

有许多不同类型的行为可以用于一系列目的。这些包括来自新位置的活动，来自新设备的活动，来自不规则位置的活动，事件序列中的异常(例如识别帐户或机器(恶意软件)后面的不同人员(黑客))，事件频率中的异常(如建议帐户受损)，以及可疑IP地址的访问。行为也可用于检测高级威胁(例如更复杂的威胁)，例如通过关联，比较和以其它方式识别活动中的模式和不规则性，例如比较各种用户，组和企业。这可能是重要的，因为在一个用户的上下文中可能无法检测到非常小的活动级别，但是如果***看到在广泛用户中重复的小图案，则可能是受损的指示符。UBA平台500跟踪的事件集越大，检测事件的可能性就越大。UBA平台500还可用于建模和检测机器行为与用户行为。这对于帐户受损情况(包括由于恶意软件造成的)而言可能很重要，但它也可能提供机器的活动和访问权限(因为不一定知道受损，因为在某些情况下，一切似乎都在用户帐户/身份的上下文下)。UBA平台500可用于识别员工‘离开公司’的模式。多次离职的员工随他们带走数据，并展示不规范的活动模式。UBA平台500可以与HR***集成以提供早期的触发和/或补救措施，例如员工的绩效改进计划或绩效评估。

UBA平台500可以用于例如通过自然语言处理(NLP)和机器学***台500的操作者可以更加专门地对敏感数据进行行为分析。这使得更准确的‘传感器’能够访问敏感数据，例如对于详细的设施基础设施布局，可能是即将发生的攻击的指示符。

UBA平台500可以与“蜂蜜罐”结合使用来检测攻击。例如，可以使用UBA中识别的模式来生成智能蜂蜜罐(具有一定程度的活动和相关内容)，并“等待”攻击者咬住。

UBA平台500还可以用于检测不再活跃的僵尸帐户，并且识别恶意应用访问(例如机器人/恶意软件访问)。

UBA解决方案的其它功能可以包括响应动作。响应动作可以包括UBA响应，如重置密码和禁用用户。响应动作还可以包括最终用户受损验证。UBA解决方案的其它功能还可以包括与其它安全产品的集成，安全产品例如为身份即服务(IDaaS)产品和/或身份和访问管理(IAM)产品，其中这些产品的功能是用于响应于用户行为的分析来执行访问控制，诸如断开用户会话，提示“改变密码”协议，撤消应用访问，加强认证级别，阻止用户访问等。完整的IDaaS产品可以包括“活动视图”可视化来呈现目标应用，并可与各种身份平台，云环境，防火墙(包括应用防火墙(AFW)平台AFW 300)，单点登录(SSO)***和/或IaaS/PaaS平台，(如OneLogin^TM，Centrify^TM，Azure^TM)等集成。

UBA可以用作高级分析的途径，包括对频率异常检测策略用例的支持。频率异常检测策略用例可以包括过多的下载或任何活动类别或类型和不活跃的用户检测或任何活动类别或类型。

UBA支持高级分析的其它隐式要求可以包括UBA策略和UBA策略合并的操作。

UBA操作可以包括能够指定白名单IP地址和IP范围(包括与白名单国家或其它地理名称相关联的)。UBA解决方案可以包括默认可疑活动位置策略，诸如实现可以被打开或关闭的策略的能力，该策略可以指示存在速度检查场景。速度检查场景可能是用户在非常短的时间段内远离两个位置的场景。UBA解决方案可以包括速度策略，包括注册可信应用、可信IP地址等的能力。UBA解决方案还可以允许事件聚合，以实现类似的解决和调查，包括具有相似特征的分组事件。

为了实现高级分析，可以被称为“任务”的以下功能可以在UBA平台500中启用，具有以下好处。在实施例中，UBA统一策略任务可以整合诸如白名单策略和敏感用户活动策略之类的策略，以允许细化敏感的用户活动，使得它们仅根据策略例如在定义的时间段期间或者在定义的位置触发。

在实施例中，当检测到特定事件类别或事件类型或其一组时，活动检测任务可触发事件，其允许为任何平台或环境创建预定或“固定”策略。

在实施例中，可以向敏感的用户活动任务提供定义用于任何平台或环境的敏感用户类别的能力，例如管理用户，访问安全设置的配置的用户或具有访问秘密的用户。

在实施例中，当特定类型的事件或事件组在预定阈值上发生时，过度活动检测任务可以触发事件。

在实施例中，当对于用户，组织，应用等的自动确定的阈值执行事件的类型时，可能是统计任务的异常过度的活动任务可触发事件，其中阈值为通过计算基线活动确定，并使用统计量度来区分异常与基线活动水平。

在实施例中，“过度下载”任务或“失败的登录”登录任务可以包括用于检测过多量给定类型的活动(例如失败的登录，太多的共享，太多的下载等，其中任务可以在不同环境或平台上应用于同一用户)的用户活动策略。

在实施例中，当在新位置执行操作(诸如首次从新位置登录，从新位置下载，或从新位置执行某些其它操作)时，新位置检测任务可以触发事件。

在实施例中，当某一类型事件(或其一组)以建议非常罕见的活动的方式执行(例如在一段时间(例如，30天)内保持完全休眠的帐户)或在长期持续时间之后第一次在帐户中执行的操作(例如，在不活动30天后发生登录或下载)时，罕见的活动检测任务可以触发事件。

在实施例中，当活动在长时间之后首次执行时，异常罕见的活动任务可以触发事件，其中根据用户或组织的规范自动确定任务之间的“正常”或基准期间的持续时间。

在实施例中，不活跃的用户检测任务可以包括允许用户检测不活跃的用户的预定或固定策略。

UBA解决方案还可以提供执行威胁可视化功能。执行威胁可视化功能的目标可以是为安全分析人员提供管理员和高级取证的仪表板或类似可视化。

执行威胁可视化功能可以包括活动热图小组件，活动摘要时间表图，活动间隔工作时间图，其可以包括活动页面和活动取证的改进可用性。

要启用执行级威胁可视化，可以启用以下功能，具有以下优点。在实施例中，活动热图小组件可以包括通过地理地图上的位置的近期活动(例如，过去30天)的仪表板表示，其中链接提供获得关于活动的附加信息的能力(诸如通过链接到活动页面)。这可以包括各种过滤器，例如按城市，按国家，按应用，按用户等等。

在实施例中，可以提供活动摘要，其提供顶级活动用户的高级概要和组织的总计，诸如总活动，总登录，总下载，总共享事件，总安装事件等。在实施例中，可以基于用户行为来确定用户风险分数，并且向管理员呈现关于风险最高的用户的指示和/或用户正在进行的最有风险的活动。

在实施例中，可以提供各种特征以用于改进对仪表板或类似可视化中的活动的取证，例如提供允许用户将焦点放在特定字段进行分析的过滤器，为活动提供位置标记，提供关于设备标识符和/或用户代理，允许不同的基于地图和列表的视图，提供汇总表，提供行为过滤器，提供显示趋势和模式的视图，提供活动的颜色编码(例如基于事件关联)，并提供例如从对象到活动的链接。

高级UBA特征还可以包括事件频率策略特征(例如频率异常检测策略，包括针对各种行为和事件设置频率阈值)，不活跃的用户检测，UBA客户洞察，数据分析(包括使用BI工具)，组合DLP和UBA策略，首次定位，不安全代理警报，与防火墙(包括AFW 300)和SSO集成的集成(包括应用发现与SSO和应用安装异常，例如检测高频率的安装)。

参考图6，针对UBA平台500示出了***架构和数据处理流水线，包括用于UBA的事件数据的数据处理流水线。

用于UBA平台500的数据收集过程602可以从各种平台(诸如通过传递来自各种环境的日志信息的API以及通过传递来自各种环境的事件信息的API)收集事件和类似的数据，并且在实施例中可以具有两部分：特定于供应商的收集和处理部分以及供应商不可知的处理部分。

特定于供应商的收集和处理部分可以包括收集设备602。收集设备602可以包括各种适配器，其可以根据为了从特定平台收集诸如事件(包括从日志文件和其它源获得的事件)的数据所需要的而被开发，配置和部署。例如，这些可以包括用于从Google^TM平台收集数据的Google^TM适配器604，用于从SalesForce^TM平台收集数据的SFDC适配器606和用于从Microsoft^TM平台收集数据的Microsoft^TM适配器608。

供应商可以具有在许多方面(例如数据传输如何被触发，例如数据是被推还是拉，数据是否在通知之后被拉出等等)可能不同的API。API可能会使用不同的数据格式，例如JSON或CSV，以及不同的语义。例如，语义可以包括来自动作名称的任何内容，例如“视图”或“下载动作”到用户描述的方式。如何描述用户可以包括通过使用登录名，电子邮件地址等进行描述。

在实施例中，数据处理流水线的第一部分可以是特定于供应商的。数据处理流水线的特定于供应商的部分可以使原始数据流612从供应商进入，并将其转换成更均匀的结构，例如可能被下游子***吸收的结构。

该设计可能面向坚固性。从供应商API读取的数据可能是立即放置在特定于供应商的队列上并以最小的处理，从而可以减轻任何潜在的背压，并且可能降低故障概率。一旦数据在平台500中安全并持续排队，就可以重新尝试任意后续的数据处理失败。

一系列工作人员可以从原始数据流612抓取物品，例如从队列中取出物品，并将数据标准化为供应商不可知的模式。在此步骤之后，包含归一化格式和原始数据的对象可以被放置在对所有供应商来说可能是共同的单个出口队列中。

平台500还可以包括流处理组件626。流处理626可以包括获取原始流612，解析流632并使其合并634。

平台500的供应商不可知处理部分还可以包括流处理设备626。平台500的供应商不可知处理部分的流处理设备626可以包括丰富630。用于平台500的丰富630可以包括丰富功能636，其可以利用各种附加数据和元数据元素丰富数据流，例如通过在所收集的原始数据之上创建附加的数据层。额外的数据层可以包括诸如地理位置分辨率，IP/URL解析，用户代理解析以及可能需要增加事件数据的任何用户/组数据查找之类的数据，诸如允许下游子***以最小的努力处理事件数据。还可以使用信誉源，其可以在本地或远程托管，包括不同的提供商。

平台500可以使数据从上述队列中出列，执行所描述的数据处理，并将数据放置到另一个队列上。可以放置数据的队列可以称为“丰富数据”队列。

图6示出了平台500的***架构和数据处理流水线的实施例。可以通过摄取和分析可能来自不同服务提供商(诸如Google，SFDC，Microsoft，Box，Dropbox，Okta等)的API的事件日志数据来部分地执行UBA。

平台500可以包括各种能力，例如收集和保留，在线检测，离线分析，取证和DLP/扫描支持。收集和保留可以支持收集所有可用的事件数据并保留所有可用的事件数据(例如在长期存储装置中)。在线检测可以支持各种检测算法对传入事件(例如对近乎实时或实时的表面警报)的应用。各种检测算法可以包括规则，统计异常的检测和机器学习的实现。离线分析可以支持处理在大时间范围(例如到表面警报)内收集的事件的离线算法，发现模式并生成模型，例如在线检测中使用的模型。取证可以支持例如收集的事件的客户的交互式询问。取证还可以支持过滤，向下钻取和可视化。DLP和/或扫描支持可以向现有的DLP或扫描服务(例如CSF100或第三方的)提供馈送。对DLP或扫描服务的更改提供可能会触发文件重新扫描，组织配置文件更新等。

平台500可以是灵活的，可扩展的和操作友好的。灵活要求可以包括为UBA数据处理流水线添加阶段并替换组件的能力，而无需重新设计整个UBA数据处理流水线。灵活的要求还可以包括支持UBA数据处理流水线拓扑的迭代开发，并支持独立开发和部署处理步骤，同时对现有流量进行最小的中断。可扩展要求可以包括通过添加更多节点进行扩展的能力，以及对UBA数据处理流水线的每个部分的性能的可视性以及对UBA数据处理流水线的每个部分的缩放的控制。可以将可扩展要求配置为管理偏好，例如相比延迟优选吞吐量。操作友好的要求可以包括操作可视性和控制，能够以最少的停机时间和无数据丢失的方式部署更新到部分UBA数据处理流水线，以及UBA数据处理流水线的每个阶段和组件的性能测量和度量。

事件日志数据可以通过API调用来源于各种服务提供商，例如Google，SFDC，Microsoft，Box，Dropbox，Okta等。服务提供商可以支持推送通知，或者需要轮询来访问新的事件日志数据。

事件日志数据可以包括事件日志源，指示关于何时收集事件日志数据的频率的信息，关于是否在事件日志的源中保留事件日志数据的持续时间的指示符数据，事件日志级别的详细信息，数据量(例如，每10000个用户)和主事件类型。事件日志源可以包括例如EventLogFile(ELF)(它是SFDC生成的特定日志文件)或来自其它***的类似事件日志文件，活动报告，管理事件，审核日志，***日志，Office 365事件日志等。收集事件日志数据时的频率可以包括实时，近实时和批量场景。事件日志数据可以在源头保留各种持续时间，例如30天，180天，几天，无限数天或未指定的时间段。事件日志级别的细节可以包括低级的细节，中级的细节，高级的细节和非常高级的细节。低级的细节可以包括例如少于50个事件类型。中级的细节可以包括例如50到99个事件类型。高级的细节可以包括例如100到149个事件类型。非常高级的细节可以包括例如150个或更多个事件类型，以及例如25个或更多个文件类型或类别。数据量(例如每10000个用户)可以以存储量(例如14MB/天)和事件数量(例如在100-1000个事件之间)来衡量。主事件类型可以包括登录事件类型，文件访问事件类型，共享事件类型，管理/配置事件类型，设备同步事件类型，共享事件类型，应用事件类型，设备事件类型，配置事件类型，目录事件类型和文件访问事件类型。

用于UBA的传入事件日志数据可以具有不同的格式，速率，详细等级，及时性和历史可用性。格式可以包括JSON，CSV，平面JSON，嵌套数组等。细节等级可能会有所不同，因为某些数据源提供了很少的事件类型，而其它数据源可能会提供许多事件类型。及时性可以包括实时数据源，批量数据源或提供不严格时序顺序的事件日志的数据源。批次可以包括小时批量，每日批量等。历史可用性可以包括可以提供对历史事件日志数据的访问的数据源和不提供对历史事件日志数据的访问的数据源。

平台500可以处理变化的数据大小和数据速率的数据。平台500可以处理每秒2000个事件，每秒3000个事件，每秒20000个事件，每秒40000个事件或更高的数据速率。平台500可以每年收集、处理和保存50TB的事件数据和高达100TB或更多的事件数据。平台500可以管理多个管理域和源平台(例如1000个或更多个被管理的域和5个或更多个源平台)上的数据。

针对平台500的传入数据可能属于多个租户。每个租户可以从一个或多个来源提供数据。来自每个来源(例如，特定云平台或PaaS/IaaS环境)的数据在租户的形式和语义上可能相同或非常相似；然而，每个源的数据可能需要单独进行管理和处理。

平台500可以通过数据访问和管理，数据处理和服务质量(QoS)以及配置和控制来支持来自多个租户的数据的管理和处理。数据访问和管理可以允许从各种长期数据存储装置中清除单个租户，并防止一个租户访问另一个租户的数据。数据处理和QoS功能可以使每个租户的数据能够与其它租户的数据分开处理，除了为了提供匿名统计的目的之外，还可以防止一个租户的工作负载淹没或不利地影响其它租户的工作负载的处理，并且逐用户地提供有用的手段来衡量每个租户的处理成本。也可以在用户级应用QoS功能(例如，如果一个用户具有较高的风险等级，则处理该用户的事件比其它用户的事件更快)。配置和控制可以允许每个租户选择哪个检测策略来应用于处理租户的数据，并且允许每个租户配置阈值和其它输入参数以适用于租户的策略。每个源也可以配置检测策略选择。

UBA平台500的在线检测功能可以对每个传入事件应用规则，使用一些状态来允许诸如“一小时内超过300次下载”的时间规则。在线检测也可以检测某些聚合上的统计异常。检测某些聚合上的统计异常可能包括将传入事件与离线计算的统计基线进行比较。例如，检测某些聚合上的统计异常可能会在上午2:00至上午3:00之间检测到用户登录，其中1小时的存储桶(bucket)可能是低于该用户在过去三个月的登录活动中的平均值的不止两个标准偏差。检测某些聚合上的统计异常还可以包括将传入事件与可以针对先前事件的某个窗口计算的统计特征进行比较。例如，检测某些聚合上的统计异常可能会检测到在前五分钟窗口中所有用户的下载次数是高于最近三小时窗口中五分钟窗口平均值的不止两个标准偏差。检测某些聚合上的统计异常还可以包括可以应用给定模型(离线计算)来分类传入事件的模型应用。给定的模型可以离线计算。状态可能大部分是不变的。此外，基于机器学习(ML)的算法可以分批地和/或实时地执行。用于存储器内实时ML的技术可用于检测(例如基于ML算法，如聚类算法)。实时性质可能受到模型大小的影响，并且可能需要“稀疏”模型(仅使用可用数据的一部分)和/或在短时间帧上应用模型以实现实时响应。

CSF平台CSF 100和网络智能平台6500可以与UBA平台500的能力交互并且使用它们的能力。CSF CSF 100和网络智能平台6500与UBA平台500的交互和对UBA平台500的使用可能需要UBA平台500与CSF CSF 100或网络智能平台6500之间的信息交换。UBA平台500和/或CSF平台CSF 100或网络智能平台6500之间的信息交换可能需要数据大小，格式，品种，吞吐量，延迟，鲁棒性，多租户支持，配置和控制，开发和部署。在实施例中，数据大小可以是消息，例如大小在大约500字节和大约1500字节之间。格式可以是JSON，CSV和时间戳数据等。各种格式可能来自多个来源。在实施例中，多个源可以包括五个源和二十个源之间或更多个源。在实施例中，例如，吞吐量可以在每秒3000个消息和每秒30000个消息之间，或者更多。吞吐量可以优雅地处理摄入率的高峰。可能支持长达几秒的延迟。鲁棒性可以包括不丢失事件消息，而不是多次处理事件消息。在实施例中，可能希望设计***使得其可以多次处理事件消息。多租户支持可以包括租户之间的完全访问分离，用于避免一个租户的工作负载破坏其它租户的服务质量(QoS)，以及来自同一来源的多个事件(针对每个租户具有不同数据)。配置和控制可以使每个租户选择应用哪个策略，并使每个租户能够配置策略参数和阈值。开发可以支持添加新的检测方法，而不会中断和解耦开发检测和丰富模块。部署可以支持检测代码的更新，而不会中断。

继续参考图6，UBA平台500可以包括启用数据处理流水线的各种组件。组件可以包括收集组件602，消息总线610，流处理组件626和存储组件650。

收集组件(包括通过处理事件的API和处理日志信息的API)可以包括用于通过API调用收集事件日志数据的每个供应商的逻辑。收集组件可以作为webhook处理程序或任务运行，并且可以获取新数据并将其馈送到消息总线中。收集组件可以包括适配器。适配器可以包括Google适配器604，SFDC适配器606，Microsoft适配器608等。

消息总线组件610可以用作处理流水线的主干。消息总线组件610可以提供流水线组件之间的解耦，短期存储和发布/订阅(pub/sub)逻辑。短期存储可以指示当组件已经成功地将其输出消息或消息发送到消息总线610时，组件完成处理数据。发布/订阅逻辑可以允许多个读取器读取消息而不彼此干扰。消息总线组件UBA-210可以使用被设计为快速、可扩展和持久的分布式发布订阅消息***(例如Apache Kafka^TM)来构建。

消息总线组件610可以包括消息总线子组件。消息总线子组件610可以包括原始消息总线子组件612和丰富的消息总线子组件614。原始消息总线子组件612可以连接到收集组件602中的适配器，保留引擎流处理子组件628和解析流处理子组件632。丰富的子组件614可以从丰富流处理子组件636连接到在线检测流处理子组件608。消息总线610可以包括各种馈送，诸如用户改变馈送616(其可以处理与用户改变有关的事件，用户改变例如为对帐户的改变，对企业的用户的改变等)，资产改变馈送618(其可以处理资产的改变，例如存储资源、基础设施或平台资源的改变)，配置改变馈送620(其可以处理关于企业资源的各种元素的配置的任何改变的信息)和应用改变馈送622(可以处理关于应用的任何改变的信息)。丰富流处理子组件636可以连接到用户改变馈送616，资产改变馈送618，配置改变馈送620和/或应用改变馈送622中的每一个。消息总线组件610可以包括警报624。警报624可以连接到规则638，异常检测活动640，机器学习模型应用活动642和检测646。

平台500可以包括流处理组件626。流处理组件626可以读取事件的传入流，对其进行在线处理，并将其写回到消息总线610或其它最终目的地，诸如存储组件656。

流处理组件626可以包括保持引擎628。保留引擎628可将原始事件运送到永久存储装置。原始事件可以从原始消息总线子组件612被接收。永久性存储装置可以是原始的长期存储装置652。保留引擎628可以用作将数据发送到其最终目的地的连接。保留引擎628可以使用被设计为快速、可扩展和持久的发布-订阅消息***(例如Apache Kafka^TM)来构建。保留引擎628也可以使用基于长期云的存储装置来构建，例如用于S3^TM。

流处理组件626可以包括丰富流程630。丰富流程630可以读取原始事件并转换原始事件。丰富流程630可以从原始消息总线子组件612接收原始事件。丰富流程630可以通过解析函数632，统一函数634和丰富函数636来转换原始事件。丰富流程630可以包括日志管理工具，例如Logstash^TM，Splunk^TM和Storm^TM或Spark^TM。

解析函数632可以包括将各种输入格式解析成通用格式。通用格式可以是JSON格式。解析函数632可以包括用于公共字段的标准化格式。公共字段可以是时间戳。解析函数632可以连接到原始消息总线子组件612。

统一功能634可以将来自不同源的公共字段统一为标准化字段。标准化字段可以包括例如ip_address和user_login。统一功能634还可以将事件类型统一为公共本体。公共本体可以包括如asset_modify(针对关于在各种平台中表征的资产修改的信息)、登录(针对在各种平台中表征的登录信息)和login_fail(针对跟踪在各种平台中跟踪失败的登录尝试)的元素。

丰富函数636可以通过利用来自各种来源的外部查找功能来向事件添加信息。可以以各种方式使用各种来源，例如基于IP地址添加地理位置，解析用户代理字符串，咨询外部威胁情报数据以及从内部基于警报的数据添加上下文。外部威胁情报数据可以包括IP信誉数据。内部基于警报的数据可以包括事件中的用户可能拥有或经历当前事件的场景。丰富流程630可以将丰富功能636丰富的事件写回到丰富消息总线子组件614。丰富流程630可以连接到分析存储器656和询问存储器658。

流处理组件626可以包括在线检测功能608。在线检测功能608可以由可以执行事件的在线分析的一组活动组成，并且可以提出关于可能的安全问题的警报。这些活动可以包括基于规则的活动638，异常检测活动640和机器学习模型应用活动642。这些可以分为这些粗略类别。在线检测功能608可以连接到丰富消息总线子组件614。在线检测功能608可以使用包括诸如Storm^TM或Spark^TM的管理工具。

基于规则的活动638可以应用明确的规则和标志违规。违规的示例可以是在短时间帧内从两个远处位置登录的用户。基于规则的活动638可以连接到警报624。

异常检测活动640可以检测可能与基线异常相关的行为模式。与基线相关的行为模式可能异常的示例可能是当用户在夜间的某个时间(对该用户的活动来说可能是异常夜间时间)内登录时用户在短时间内访问异常大量的文件。可以通过基于阈值的规则，通过统计分析，或者通过机器学习关于帐户、用户、应用等的使用模式来定义许多其它类型的异常。异常检测活动640可以连接到警报624和短期状态和模型存储装置654。

机器学习模型应用活动642可以将预训练的模型应用于传入事件，并在模型指示问题时标记。机器学习可以包括模型可以基于大量数据构建的任何方法，并且随后应用于新数据以得出一些结论。机器学习模型应用活动642可以连接到警报624和短期状态和模型存储装置654。

基于规则的活动，异常检测活动和机器学习模式应用活动可能需要访问短期存储装置654，其中可以频繁地存储和更新中间数据，以支持在线检测流程608。在实施例中，短期存储装置654可以包括过去几天的数据。临时数据可以包括例如用户登录的最后位置，来自机器学习模型的数据和/或用于异常检测活动640的窗口/聚合数据。

流处理组件626可以包括离线处理功能624。离线处理功能624可以包括一组离线处理活动，其可以在较大的事件集合上执行，并且可以周期性地或基于其它触发而执行，而不是针对每个传入事件执行。更大的事件集合可以包括例如来自一段时间的所有数据。一段时间可以是一小时，一天，一周，一个月，三个月，一年等。

离线处理活动可以包括离线检测活动和机器学习模型训练活动。离线检测活动可以检测诸如休眠帐户，遗留资产和未使用的访问权限之类的问题。机器学习模型-训练活动可以创建或改进在线检测期间参考的机器学习模型。机器学习模型训练活动的一个示例可以是基于数据访问模式相似性的用户聚类。离线处理功能624可以连接到分析存储装置656。离线检测活动646可以连接到警报624。离线检测活动646可以包括集群计算框架，例如MapReduce^TM或Apache Spark^TM。机器学习模式训练活动648可以连接到短期状态和模型存储装置654。机器学习模型训练活动648可以包括机器学习库，如Apache Spark ML^TM或AWSML^TM。

存储组件650可以包括原始长期数据存储装置652，短期状态和模型数据存储装置654，分析数据存储装置656和询问数据存储装置658。

原始长期数据存储装置652可以将原始输入数据事件((几乎)无任何修改)存储到长期数据存储位置，原始输入数据事件可以从长期数据存储位置被中继到流水线中以供重新处理(如果需要)，由客户取回(例如充当数据保留服务)，并在达到预定义的年限时或基于其它数据保留策略被清除。原始长期数据存储装置652可以连接到保留引擎628。原始长期术语数据存储装置652可以包括诸如S3的基于云的存储装置。

短期状态和模型数据存储装置654可以是用于除可以在处理节点的主存储器中直接管理的状态之外的在线检测状态608、以及来自机器学习过程的模型输出的存储机制。短期状态和模型数据存储装置UBA-254可以连接到异常检测活动640，机器学习模型应用活动642和机器学习模型训练活动648。短期状态和模型数据存储装置654可以包括诸如Redis^TM的存储器内数据结构存储装置。

分析存储装置656可以是丰富事件的主要存储目的地。分析存储装置656可以从丰富功能636接收丰富的事件。离线处理644可以从分析存储装置656读取数据。

询问存储装置658可以是丰富事件的存储目的地。询问存储装置658可以支持在线询问并向下钻取。可以从丰富功能636接收丰富的事件。询问存储装置658可以与分析存储装置656统一。询问存储装置658可以是支持在线询问可能需要的不同访问模式的单独商店。例如，询问存储装置658可以支持索引到支持全文本搜索功能。询问存储装置658可以包括诸如ElasticSearch^TM的搜索服务器。

一旦例如通过丰富或以原始形式准备好数据，则数据可能被多个子***进程所消耗。在实施例中，例如使用诸如rabbitmq^TM的***，这可以被实现为扇出交换。这些子***进程之一可以是留存。留存可以将数据保存在例如诸如S3^TM之类的存储资源中以便将来批量处理，以及将数据保存在诸如ElasticSearch^TM之类的资源以被查询。可以启用GeoFence^TM和其它在线进程。平台500中的留存可以包括存储装置650。用于留存的存储装置650可以包括原始长期存储装置652和分析存储装置656。平台500中的留存还可以包括流处理626。用于留存的流处理626可以包括使用保留引擎628。

UBA平台500可以将数据划分为诸如S3的存储资源，例如对于每个组织使用桶。使用每个组织的桶将数据分成S3可以包括将多个事件批处理为由日期，序列号和元组表示的对象。例如，对于组织5，称为“org-5”的桶可以具有名为2015-05-01/39“的对象。

对于诸如ElasticSearch^TM之类的设施，平台500可以每个组织每个月使用一个索引。这可能允许平台500在不具有相关性的数据老化的情况下对整个索引进行归档和离线而不需要昂贵的删除操作。指数可能具有足够数量的分片，以便它们可以分布在所有服务器上。

平台500可以查看事件并基于它们创建事件。在策略引擎(PE)中通常设计检查事件可能存在问题。目前大多数PE的实现对于每个入站项目都需要复杂，耗时和资源密集的处理。项目相对独立，通常运送到像内容检查服务一样的设施进行处理，可能需要额外的API调用和从供应商API获取的内容。

与此相反，UBA平台500可以体验可能明显高于常规策略引擎的典型入侵速率的事件速率，但是每个事件在处理方面可能要求相对较少。事件检查员可以具有状态信息，并且可以在上下文中检查事件，例如确定何时预期事件是复杂的。

在实施例中，UBA平台500可以具有可以进行大多数过滤的预PE阶段，并且可以将某些类型的事件的涓流传递到PE中。UBA平台500可以具有可能为入站事件创建事件的传递策略。UBA平台500还可以具有例如与频率，位置，简档和营业时间相关的可能的附加规则。

在实施例中，UBA平台500可以具有可以与策略引擎并行操作的UBA处理引擎，并且两个引擎可以管理事件。

UBA处理引擎可以根据上下文以高速率评估入站事件，并可能根据需要创建事件。在实施例中，UBA处理引擎可以使用基准模型，基于历史数据的直方图以及机器学习模型。

平台500可以包括用于事件创建的服务。事件创建即服务可以由策略引擎和行为分析引擎(BAE)使用。

在实施例中，云安全性结构CSF 100可以被分段成多个产品，例如DLP和平台500。在实施例中，CSF 100可以具有统一的web应用和一组API，其可以允许用户与事件或事件交互，而每个子***可以管理和填充其自身的在其实体中不同的事件。例如，一些子***可能依赖于资产实体，而其它子***可能依赖于模型或事件。

图7示出了用于将来自UBA平台500的信息与策略引擎集成的示意图。图7示出了用于将UBA与策略引擎集成的原型流程，但是可以提供本领域普通技术人员将理解的其它示例。将UBA与策略引擎集成的原型流可以包括外部***，UBA组件和策略引擎组件。外部***可以包括供应商API和供应商馈送702。UBA组件可以包括收集器704(其可以包括用于收集事件的API和用于收集日志信息的API)，丰富数据阶段706，UBA数据模型714，UBA状态***716和UBA评估器718。策略引擎组件可以包括策略引擎扫描708，事件创建，读取，更新和删除(CRUD)API 710和策略存储装置712。

UBA收集器704可以从供应商API和供应商馈送702下拉数据。从供应商API和供应商馈送下拉的数据可以通过丰富数据阶段706使用数据流架构进行标准化、丰富和注释。丰富数据阶段706可以使用任务消费方(celery workers)、基于Storm^TM/Spark^TM的***等的集合来对供应商API和供应商馈送进行标准化、丰富和注释。

一旦数据完全丰富，其可以用于基于历史数据和策略配置，基于可以离线生成的模型来更新运行状态***。运行状态***可以是UBA状态***716，如图7所示。UBA状态***716可以从策略存储装置712接收配置信息，并从UBA数据模型714接收通过离线处理建立的模型。

在更新状态之后，可以将数据发送到诸如要扫描的策略引擎扫描API 708的策略引擎，以便检索有关用户或实体/对象的更多信息。策略引擎可以评估可以具有一个或多个UBA标准的策略。该标准可以接收由UBA评估器718评估的事件，并且可以咨询各种状态来确定是否打开事件。

在已经做出关于是否打开事件的确定后，流程可以继续进入可以创建事件，更新现有事件或删除不需要的事件的事件CRUD API 710。

UBA组件可以是固有可扩展的。诸如收集器704，丰富数据阶段706，UBA评估器718和状态变异器之类的所有数据处理器可以是固有无状态的，并且可以根据需要水平缩放。状态可能需要每个监控模型的恒定或亚线性存储。仔细分割状态和相关工作者(将其分解为单独的处理任务)可能允许水平缩放。例如，可以通过用户，按客户，按类型等拆分工作者来改进缩放，使得独立区域对不同的任务进行操作。

UBA评估器718和PE之间的API可以允许UBA在发出感知状态的变化时引用会话对象。

当事件被打开时，其可以被提供上下文。上下文可以包括在用户中以及用户在事件内的角色中。可以将上下文本体扩展为包括可以与一组其它项目相关联的用户会话的概念。其它项目可以包括与用户或用户组相关联的事件。事件可以是跨越阈值的原因。其它项目可以是用于创建当前可能违反的模型的数据。

在某些情况下，可能需要快速有效地检查事件流的最近部分。可能需要快速高效地检查事件流的最近部分的用例正在调整/创建策略，并期望它们几乎立即应用，并测试驱动新UBA策略配置，这可能类似于在应用到生产之前在样本语料库上测试正则表达式。可能需要快速有效地检查事件流的最近部分的另一种用例可以是当操作者的附加指令/提示可以触发重新分类并因此重新检查新模型规范下的最近事件时。例如，操作者可以暗示用户可能被怀疑有恶意行为，恶意行为可以表示受怀疑的用户需要更少的余地和利用更严格的阈值重新检查受怀疑的事件数据。

平台500可以通过在丰富数据阶段706和UBA状态716之间提供短路数据流来快速有效地检查事件流的最近部分。

一旦数据馈送完全耗尽，策略引擎可能会触发可能影响多个会话或事件的策略的重新评估。

一些事件在最终被UBA评估之前可以被其它标准注释，以使UBA能够同时处理具有内容模式或其它源/模式的行为模式。行为模式可以包括例如文档的频繁下载，并且内容模式可以包括例如被共享的敏感数据或仅仅是敏感文件。

在实施例中，个体PE工作者可以从共享队列中消耗项目并同时处理它们。PE可以通过使用划分的Kafka^TM主题和org_pk上的划分来允许这样的保证，例如，让每个工作者消耗可能是标准Kafka^TM拓扑的主题的子集。PE或UBA评估器718可以重新排序事件，以支持排序保证。

在实施例中，平台500可以提供DLP功能。UBA DLP功能可以围绕内容片段。内容片段可以是文件，各种形式的文档，社交网络帖子，访问控制列表(ACL)，用户和用户组。

内容片段可以具有供应商唯一ID，名称和MIME类型。内容片段可以与供应商相关联，并且可以具有供应商的子类型。内容片可以有日期戳。日期戳可以包括指示何时创建，更新，删除和查看内容的信息。内容片段可以具有存在状态。

实体可以与特定扫描相关联并且可以具有与其相关联的各种ACL。每个ACL可以映射作用域，用户，通常和角色。作用域可以是用户。角色可以是所有者，查看者，编辑者等。

事件可以是在审查某一数据后触发的策略的结果。事件可以具有各种日期戳，类型，严重性，基数以及对单个实体的多个引用，触发它的策略和产品应用。

事件可以有多个与之相关联的事件详细记录。这些多个事件细节记录可以是针对策略的个人匹配，例如社会保险号码或信用***码。

仅当创建可能依赖于该实体的事件时，实体才可以被记录在平台500中。

平台500可以扩展如何感知实体，例如经由“额外的”关键值集合字段。“额外”关键值集合字段可以是Postgres中的汇存(hstore)，例如在Microsoft Office 365的情况下通过子表，或者例如在App Firewall的情况下通过一组表。

平台500可以具有事件的单一统一视图。事件可以具有针对其显示的相同字段，并且各种类型的事件针对数个字段可以被映射到不同的措辞。并非所有字段都可能与各种事件有关。几个字段可以是空的，并且字段的意义可以适应于现有字段。

实体可以表示文件和资产。平台500可以将事件视为事件造成的。事件可以是进程的单次出现，其表示可以由用户动作或机器/程序动作引起或可以与用户动作或机器/程序动作相关联的***中的动作或变化。

事件可以具有例如何时、何人、何地以及谁与其相关联。当事件发生时，“何时”可以是明显的时间点(日期戳)。“何时”可以是日期戳。“何人”可以是用户。“何人”可以是演员。“何地”可以是资产或位置或设备。资产可以是文件，文档和/或ACL条目。“何物”可以是动作。例如，动作可以是编辑，授权和撤销。“谁”可以是当演员授予另一个实体或个人许可时。“谁”的示例可以是当A演员A向个人A授予许可时。

可以以UBA模式提供部分和不匹配的信息。当在UBA模式中提供部分和不匹配的信息时，事件可能缺少关键数据以适应实体模型。例如，对于描述用户应用登录的事件，可能没有资产实体或MIME类型。对于失败的登录尝试，可能没有用户关联失败的登录尝试，或者可能有几个用户与失败的登录尝试相关联。可能有几个用户与失败的登录尝试相关联的情况的示例可以是当用户从用户从未访问过的卫星办公室登录时，其呈现潜在的嫌疑人池。在此示例中，登录尝试可能没有创建、更新、查看或删除日期戳。登录尝试可能只是事件，因此可能有一个时间戳。

信息基数可能以UBA模式存在。当以UBA模式存在信息基数时，事件可能是多个事件或实体的结果，例如SSN通过用户A的编辑泄漏到文档中，被用户B移除，并且由用户C“拥有”该文档。在该示例中，可能有一个文件，但有三个用户和两个版本的文件。这种情况可以部分地间接处理。

我们想要建模的另一类情况是以下情况：其中，事件通过一组事件的结果定义、或与这一组事件有关。例如，可疑的登录尝试或数据“爬取(spidering)”对我们而言可能需要多次尝试或动作发生才能确定这样的事情发生或跨越一些背景噪声阈值。

相反基数场景的示例是基于来自用户的事件的缺失来检测不活跃的帐户。

在某些情况下，可能希望基于单个用户或一组用户的过去行为创建行为模型，然后将检测引擎与这些模型相关联。在这种情况下，可以将事件映射到确定模型的数据集中。映射可能是间接映射。在这种情况下，可能会有数千或数百万项。可能直接或间接指向项目。

平台500可能需要尽可能早通知客户事件。这可能需要事件随时间更新和更改。创建事件之后传入的其它事件可能会提供更多信息，并允许平台500改善置信区间，提高事件的严重性，或用于完全消除事件。

一些事件可能与来自多个供应商的数据相关联，但是可以从单个供应商链接到单个实体。例如，用户可以在短时间内从美国登录他们的Dropbox帐户，并从英国登录他们的Google帐户。这可以呈现出可能基于来自单个供应商的数据而不能检测到的条件，但是可能由于对于相同用户访问不同帐户的数据而导致可疑模式。

虽然UBA平台500可能是面向数据的，但组织也可以从可能需要额外建模的其它角度来看待他们的安全性。组织可能希望从组织结构的角度来看待安全性，尝试回答以下问题：哪些组是“最危险的”，哪些个体违反了最多的策略，哪些行业最容易遭受泄漏或挤压。

为了回答这些问题，UBA平台500可以映射到组织方面，并将用户和组视为***中的一流公民。用户和组对事件或事情的可能映射可以是标记机制，其中事件或事情将被相关用户和组标记。用户或组或用户风险分数和组风险分数到有关事件或事情之间的相关性将是可能的。

UBA平台500可以解决当前UBA模型的各个方面，这些UBA模型可能需要进行一些调整，以便通过将事件作为单独的流程进行处理，并提供基于事件的统一流程来更好地适应UBA模式。

事件可以是用户与之交互的中央面向用户的项目。而事件可以将用户的注意力引导到诸如实体的数据片段，UBA平台500可使得模型指向一个或多个事件。

与事件相关的任何查询或视图可以被统一为包括将用户的注意力引导到一个实体，一个事件或不止一个事件。平台500可以包括不同的用户界面，以使用户能够与一个实体，一个事件和不止一个事件交互。

平台500可以基于事件提供统一的流程。当平台500基于事件提供统一的流程时，平台500可以是事件驱动的而不是状态驱动的。在这种情况下，平台500架构，由于API、供应商或商业限制而可能被公开和收集为快照信息的数据可以被翻译并注入可由所有感兴趣方检查的统一事件流中，例如，它可以在策略引擎中用于策略违规。事件可以基于事件，其可能与文件、文档或其它数据片段的特定状态有关。

在这种情况下，文件可以不被视为具有特定状态。可以存在可能与文件中的突变相关的事件，这可能导致与突变之后的文件不同的内容。

该模型可以允许平台500将事件链接到多个事件，增强客户分析和理解其基础的能力。例如，个人身份信息(PII)提取事件可以链接到共享文件的用户的事件，以及用户按照他们发生的顺序将SSN添加到同一文件中的事件。

将数据建模为在事件流中进行突变还可以允许平台500支持客户数据的取证细粒度时间点遍历和调查，而不是可隐藏复杂违规行为(例如涉及可能将其踪迹覆盖地很好的攻击者)的数据的周期性的时间机器状视图。

不同的事件可能需要UBA平台500来维护或显示不同的字段。例如，怀疑登录尝试可以包括概率语句，而DLP事件可以包括找到的搜索项。

事件可以将数据按直接与事件1：1的方式链接至它们，并且事件可以将数据间接通过n：1连接中的事件详细信息行链接至它们。可以将数据按直接与事件1：1的方式链接至它们的事件可以支持生命周期管理，并且可以包括与事件开始的时间相关的数据，事件的组织标识符，事件的当前状态，事件的严重性事件等。可以将数据间接通过n：1连接中的事件详细信息行链接至它们的事件可以与平台500中的其它数据(例如用户，事件，资产等)有关。

平台500可以处理许多类型的事件。每种类型的事件可以有不同的界面来配置，查看和调查事件。例如，过度共享事件可能导致客户需要知道“谁可以访问”，“谁分享给谁”，“谁实际使用这个”。这些常见任务或查询可以集成到特定于事件类型的取证工具和窗格中。可以通过用户界面实现或通过API询问这些问题。

许多平台500策略可能需要随着时间推移查看多个事件和内容片段。平台500可以获取供应商数据并在本地缓存它，因为可能需要时间和空间局部性来支持可能需要随着时间推移查看多个事件和内容片段的策略。平台500可以包括高速缓存。缓存可以快照外部数据和内部对象。

UBA平台500可以使用上述处理流水线和建议的实现方式来在所需的支持数据上支持针对用户行为分析(UBA)的几个用例。

对UBA用例的支持可以包括映射元素。映射元素可以包括用例定义，数据要求，实施注意事项和特殊考虑，值和挑战。用于UBA平台500的用例定义可以包括如500的客户将被标注的情景描述，检测类型，用户控制和配置的级别，提供为预先策略或总是需要客户设置的策略的能力，用例是否需要持续或接近实时检测，相关响应动作以及跨源应用对用例的影响(例如，将独立供应商的数据是否具有特殊价值？)。检测类型可以包括显式规则检测，异常检测，与模式检测的匹配等。用户控制和配置的级别可以包括用户控制和配置所需的级别以及用户配置的所需级别(例如，用例仅允许用户打开和关闭用例或用例还允许用户设置适用于用例的其它参数？)。

用例可以包括数据要求。用例数据要求可以包括支持用例所需的事件日志数据，辅助数据，例如组织中可能需要支持用例的用户列表，所需数据的时间窗口(例如两天或两个月以及是否需要数据丰富处理)。

用例可以包括实施注意事项。实施注意事项可以包括建议的分析模式，建议的处理工具和建议的数据流水线。建议的分析模式可以是离散分析模式，流分析模式，批次/MapReduce分析模式等。

用例可以包括值尺寸。值维度可以包括可视化值维度，风险值维度，自适应值维度，教育值维度，社区值维度，取证值维度和合规值维度。

通过收集和分析来自各种来源的事件日志数据来进行用户行为分析。事件日志数据可以大致分为这些类别。类别可以包括登录类别，活动类别，点击流类别，资源访问类别，资源共享类别，管理活动类别，配置类别，用户管理类别以及应用和API类别。登录类别可以包括但不限于用户或应用(程序/机器)登录，失败的登录和注销事件。活动类别可以包括用户或应用(程序/机器)执行的所有活动的完整日志。点击流类别可以包括由用户执行的所有用户界面(UI)活动(诸如页面和点击)的日志。资源访问类别可以包括诸如创建，删除，重命名，编辑，查看等的资源访问事件。资源共享类别可以包括资源共享事件，例如通过共享事件共享，撤销共享和访问文件。管理员活动可以包括管理操作的日志。配置类别可以包括对组织配置的更改的日志，需要多个登录，允许外部共享，并且对域名配置的更改可以应用于由最终用户制定的用户配置更改。用户管理类别可以包括用户管理活动，例如创建，修改，删除，暂停用户或组，从组添加/删除用户并改变用户角色。应用和API类别可以包括应用授权和活动数据，例如授权，撤销，组织范围安装，API调用和应用的其它活动数据。

UBA用例可以包括受损帐户用例，异常活动用例，恶意应用用例，非活跃帐户用例，爬虫/僵尸(crawler/bot)活动用例以及收集和保留用例。

受损帐户用例可以基于访问位置和时间。受损帐户用例可以包括场景。场景可以包括在预定时间(例如在晚上)和日子(例如周末)登录帐户，从未知设备登录，活动异常(例如，频率异常或访问通常不使用的非常敏感的项目)，从一个位置(例如，geoIP位置，例如在黑名单中或不在白名单中(例如来自中国或俄罗斯))登录到帐户，帐户中在短时间帧内来自两个遥远位置(例如，1小时内距离超过500英里)的活动，来自受污染的IP地址(例如基于外部IP信誉服务)的活动，参与违规的手动识别的IP地址、和/或点击流分析场景(当流氓用户正在使用帐户时，可以识别不同的点击流模式)。另一种场景可能是登录活动频率的变化。除此之外，识别非常敏感的数据可以是生成更准确的一组事件(具有较少的假阳性事件)的有效方法。

受损帐户用例的检测类型可以是显式规则检测类型。受损帐户用例的用户控制和配置可以在每个场景的基础上进行，并且可以提供关于非工作时间和周末、地理白名单/黑名单(例如按国家)的定义，修改阈值的能力和指示不需要用户控制和配置的能力。

受损帐户用例可以提供将用例作为活动的预先用例进行传送的能力，例如针对受污染的IP地址和点击流分析场景。其它受损帐户用例可能需要客户设置。受损帐户用例可能需要实时检测。

相关响应针对所有用例情况的操作可以包括向管理员或其它用户发送消息以将可疑活动验证为合法。消息可以通过主要和次要通信方式发送给管理员或其它用户。辅助通信方法可以是短消息服务通信方法。如果可疑活动未被验证为合法的，则响应可能会通过要求加强身份验证，会话终止，在SaaS服务上暂停违规用户帐户，并可能在其它供应商的SaaS组织中暂停该用户的帐户来升级。

受损帐户用例的跨供应商影响可能很高。受损帐户用例的跨供应商影响可能包括在账号中检测到来自跨供应商的两个遥远位置情景的活动，例如用户从波士顿登录SFDC并且同时该用户从芝加哥登录到Dropbox，或例如，利用在Google上检测到的受损帐户，以例如在诸如SFDC和Box等供应商之间执行响应操作。

检测受损帐户情景可能需要最近的活动和登录跟踪数据。受损帐户用例的事件日志数据可以包括活动和登录跟踪，其中包含位置或IP地址事件日志数据。

受损帐户用例的辅助数据可以包括目录数据，以完全关联来自不同供应商的用户；例如，可以使用电子邮件地址进行基本关联。针对来自受污染的IP地址场景的活动可能需要外部IP信誉辅助数据。

可以定义受损帐户用例的时间窗口，例如长达24小时，最长为一周或更长时间。较旧的数据可能不会用于检测这些情况。较旧的数据可用于其它响应动作。

受损帐户用例的数据丰富可以包括geoIP数据丰富，以提取位置信息和用户查找数据丰富，以获得完整的用户帐户详细信息。

受损帐户用例的实施注意事项可以包括将基本规则应用于活动事件流。

可以在离散处理(例如通过策略引擎)中检测账户中来自各种场景的活动(例如，在预定义小时场景期间登录到帐户、从位置场景登录到帐户和来自污染的IP地址场景的活动)的分析模式。涉及帐户中来自两个遥远位置的活动的场景的分析模式可能需要利用在例如Redis中管理的基本状态(存储器)进行流处理或扩充离散处理。

异常的活动用例可以基于异常的位置，异常的时间和异常的活动模式，以及在本公开中指出的许多其它活动类型中的任何一种。异常的活动用例可以包括各种场景。异常的活动用例场景可以包括来自异常位置情景的登录，例如对于非旅行用户，在一周的异常时间或日子场景登录，从新设备登录，以及用户场景的异常活动模式。用户场景的异常活动模式的示例可以包括其中检测到许多文件移动的场景，其中通常很多的文件移动是罕见的场景，其中许多通常不被访问的文件被下载或查看的场景，和/或异常的共享活动。

针对异常活动用例的检测可以是统计异常/机器学习检测类型。异常活动用例的用户控制和配置可能很低，并且可以包括提供针对关闭检测的地点/时间的白名单，免除旅行用户和/或用于标记“异常”活动的控制阈值。

异常活动用例可以包括将用例作为预先用例进行传送的能力。异常活动用例可以在未配置的情况下被传送。异常活动用例可能需要实时检测。

异常活动用例的所有场景的相关响应动作可以包括向管理员或其它用户发送消息以将可疑活动验证为合法。对异常活动模式的验证可以包括使用挑战短语或加强身份验证，以及已检测到可疑活动的指示。如果可疑活动未被验证为合法的，则可以升级响应。指示帐户受损的上述各种动作也可能与异常活动用例相关。

异常活动用例的跨供应商影响可以包括活动的基线以及跨供应商的检测，以获得比在单个供应商的平台的活动中可以发现的更丰富的模型。

检测异常活动场景的数据要求可能需要最近的活动和登录跟踪数据和历史活动跟踪数据来建立基线。

异常活动用例的事件日志数据可以包括活动和登录跟踪，具有位置或IP地址数据以及有关已使用设备或启动活动的程序的信息(类型、管理的或无人的等)。

异常活动的辅助数据可能需要目录数据完全关联来自不同供应商的用户。电子邮件地址可用于基本关联。

异常活动用例的时间窗口可以包括至少三个月数据的基线时间窗口和可以是持续/实时活动跟踪的检测时间线。

异常活动用例的数据丰富可以包括使用geoIP提取位置和用户查找以取回完整的用户帐户详细信息，例如，如果事件日志仅包含原始用户ID。

用于检测异常活动场景的实施注意事项可能需要统计异常和/或机器学习工具来创建可以比较正在进行的活动的基线。基线还可以将传入事件与基准模型进行比较，并标记异常值。设置检测异常活动场景的基准可以由历史活动模式确定。检测异常活动场景的实施注意事项还可以包括将帐户聚类到共同活动类别，而不是使用每个帐户的基线。检测异常活动场景的实施注意事项可以包括位置和时间/日子基线。位置和时间/日子基线可以包括非常简单的模型，其可以从指定的时间量、天数和月数保存用户的所有位置的集合。如果在该集合外检测到新访问，则事件可以被标记。例如，事件仅可以保存在第90百分位数，如果在已知集合、已知时间或已知日子的半径之外检测到新的事件，则事件可以被标记。异常活动模式场景的检测可以包括活动模式基线。活动模式基线可以包括基本模式，例如仅包括由用户执行的动作的模式。活动模式基线还可以包括被访问的资源，例如动作目标。

用于检测异常活动用例的分析模式可以包括：在基线被计算之后，在离散处理(如通过策略引擎)中检测来自异常位置的登录、以及在一周中异常的小时或日子场景处的登录，或者来自异常设备的登录。检测用户的异常活动模式可能需要状态处理，例如收集最近活动的模式并将其与基线进行比较。

恶意应用用例可以检测可疑的应用活动。恶意应用用例可以包括场景。恶意应用用例场景可以包括诱骗多个用户授权恶意应用的钓鱼式(spearphishing)攻击，并可以通过检测许多用户在短时间内安装相同的应用来检测。恶意应用用例场景还可以包括显示可疑活动的授权应用。可疑活动可以是许多资源的过多下载，例如试图窃取财务或IP信息，应用的过度和/或冒险的共享和自我传播。恶意应用用例场景还可以包括受到污染的IP地址或直接受到外部信誉来源污染的应用的应用活动。

用于钓鱼式攻击，显示可疑活动的授权应用和来自受污染IP地址的应用活动的检测类型可以是基于规则的检测类型。

恶意应用用例的用户控制和配置可以包括白名单应用，白名单应用可以被允许执行其它“危险的”活动，例如下载所有内容，以及设置标记“可疑”应用活动的控制阈值。

恶意活动用例场景可以在不需要作为预先用例的配置的情况下被传送。恶意活动用例场景可能需要实时检测并包括相关的响应动作。相关的响应动作可以包括向管理员或其它用户发送消息，以验证应用不是恶意的，如果应用未被验证为非恶意的，则撤销用户或所有用户的应用，并禁止应用的未来安装，除非应用被明确列入白名单，进一步与网络安全解决方案(如下一代防火墙)(NGFW))集成可以进一步阻止恶意应用。恶意活动用例场景可能会有或可能没有跨供应商的影响。

检测恶意活动用例场景的数据要求可以包括应用安装跟踪或授权跟踪，对API访问的跟踪和对由应用执行的动作的跟踪，其可以被包括在常规活动跟踪中，并且可能需要确保活动是由应用进行的，而不是手动进行的。

恶意活动用例场景的事件日志数据可以包括应用安装/授权跟踪事件日志数据和应用活动跟踪事件日志数据。用于恶意活动用例场景的辅助数据可以包括例如来自市场的应用供应商信息、辅助数据。用于恶意活动用例场景的时间窗可以包括小时的时间窗口，日子的时间窗口等等。恶意活动用例场景可能不需要数据丰富。

处理恶意(例如钓鱼式)攻击场景的实施注意事项可以包括检测应用授权活动中的尖峰。应用授权活动中的尖峰可以由对同一应用的许多安装或对几个应用(这些应用可以是伪装成几个应用列表的同一应用)的许多安装，以及在几个小时或一天的时间段内超过了阈值数量的应用安装(这可以表示成功的钓鱼式尝试或有效的应用营销推动)来指示。

授权应用显示可疑活动的场景的实施注意事项可以包括指示用户的可疑活动的应用的可疑活动。用于授权应用的行为的实施注意事项的检测工具可以基于数量，例如，可能怀疑做太多的应用。太多的数量可以由太多的下载，太多的共享事件和/或太多失败的资源访问尝试来表示。用于授权应用的检测或实施注意事项的工具可以使用基于规则的标准。此外，可以通过目标数据或其尝试访问的用户跟踪应用活动。将监测活动集中在敏感目标上是快速检测和减少误报的有效方法。

来自受污染IP地址的应用活动的实施注意事项可能很简单，例如使用来自外部信誉来源的信息。

恶意活动用例场景的分析模式可以包括使用简单的存储器进行离散处理(例如速率限制)或基本流处理(例如用于将定量阈值累积到应用活动的流处理)。

事件日志中的应用活动也可能不容易识别，因为在某些情况下，由给定用户帐户的人生成的活动事件和由该帐户的程序生成的活动事件之间不会产生特定的标记或差异。可以使用统计分析，位置分析和机器学习等技术来表征和区分人类事件与程序事件。这本身就是一个有价值的功能，有助于取证和检测受损和恶意活动。

不活跃的帐户用例可以包括标记不活跃的帐户和要取消配置(de-provision)的帐户。不活跃的帐户用例可以包括各种场景。不活跃的帐户用例场景可以包括例如在SaaS组织或Paas/IaaS平台上识别用户的帐户长时间(例如六周)没有活动，或用户的帐户上的唯一活动是API活动。不活跃的帐户用例场景还可以包括以下情况：其中在账户在一段时间不活跃后，在帐户上检测到新的活动。不活跃的帐户用例场景还可以包括孤立帐户场景，其中用户已离开组织，但未从组织的所有应用中取消配置。

不活跃的帐户用例的检测类型可以是基于规则的。不活跃的帐户用例的用户控制和配置可能允许调整不活跃窗口。不活跃的帐户用例可以作为预先用例来传送，而不需要配置。不活跃的帐户用例可能不需要实时检测或可能需要实时检测。不活跃的帐户用例的相关响应操作可以包括向管理员发送有关不活跃的帐户的信息，暂停不活跃帐户，向管理员发送关于孤立帐户的消息并暂停孤立帐户。

在不活跃的帐户用例中的跨供应商影响可以比较用户在供应商之间的活跃和不活跃，并检测一个供应商上的暂停和取消配置，以触发其它供应商上的相同暂停或取消配置活动。

不活跃的帐户用例的数据要求可以包括检测不活跃帐户，并可能需要用户管理日志数据以及登录和活动日志数据。孤儿账户的检测可能需要用户管理日志数据和目录数据，以便直接访问取消配置信息。

不活跃的帐户用例的事件日志数据可以包括用户管理数据，登录数据和活动数据。不活跃的帐户用例的辅助数据可以包括目录数据和外部取消配置信息。例如，不活跃的帐户用例的时间窗口可以是几周。在一些实施例中，不需要用于不活跃的帐户用例的数据丰富。

可以使用离线批处理(例如活动流上的MapReduce^TM作业)来检测不活跃的帐户，以展现在很长时间内具有零或非常少的活动(包括任何活动或仅仅手动活动)的帐户。假设帐户被不活跃的帐户检测标记，则对不活跃的帐户中的突发活动的检测可以是用于传入活动事件的基于规则的应用。

可以使用离线批作业来检测孤立帐户，并且可以依赖于关于取消配置的用户的直接信息，其中该帐户针对取消配置的用户未被暂停或被移除，或者账户在一个供应商的***上被暂停或被移除；然而，该帐户或取消配置的用户的帐户可能不会在其它供应商的***上被暂停或被移除。离线和批处理以及离散处理可用于检测以下情况：在帐户在一段时间不活跃后，在帐户上检测到新的活动。

一些供应商允许***取回用户的最后活跃时间(如登录)时间。这可以允许***立即检测活动。

爬虫/僵尸活动用例可以检测所执行的非人类活动，例如通过API或通过非API接口。爬虫/僵尸活动用例可以包括诸如由脚本执行的非API活动之类的场景或其它非人类源场景。

爬虫/僵尸活动的检测可以包括明确的规则检测和统计模型检测。爬虫/僵尸活动用例的用户控制和配置可以包括调整检测阈值。爬虫/僵尸活动用例可以作为预先用例进行传送，而不需要配置。爬虫/僵尸活动用例可以使用实时检测。针对爬虫/僵尸活动用例的相关响应操作可以包括向管理员或其它用户发送消息，以验证可疑活动是否合法。如果可疑活动未被验证为合法的，则可以升级响应动作。在异常活动模式的情况下，可以存在挑战，即消息说出已检测到或加强身份验证。爬虫/僵尸活动用例可能会有或可能没有跨供应商的影响。

爬虫/僵尸活动用例的数据要求可以包括最近的活动跟踪，并且可以主要依赖于活动事件的时间分布。爬虫/僵尸活动用例的事件日志数据可以包括活动事件日志数据和点击流事件日志数据。爬虫/僵尸活动用例可以不需要辅助数据。例如，爬虫/僵尸活动用例的时间窗口可以是几个小时的时间窗口。爬虫/僵尸活动用例可能会或可能不会使用数据丰富。

检测爬虫/僵尸活动可能会利用事件的时间分布，并可以通过日益复杂的方法来实现。方法可以包括“太快”的方法，事件方法与贝叶斯或HMM模型方法之间的统一时间。“太快”的方法可以以太高而不能由人产生的速率(例如在一段时间内持续的每分钟十次动作)来检测用户的活动事件。事件之间的均匀时间方法可以检测连续动作之间相同或非常相似的时间差异，例如每20秒精确地执行一次动作。贝叶斯或HMM模型方法可以考虑诸如动作速率，动作类型和故障率之类的特征。爬虫/僵尸活动用例的分析模式可能包括常量的流处理记忆/会话和针对统计模型的模型的离散处理。

爬虫/僵尸活动用例可以包括专注于单个IP地址或小型IP子网的用例，捕获分布在多个帐户中的僵尸活动。

爬虫/僵尸活动用例可以包括可能对应于“派生”事件的直接用户操作的识别日志条目。例如，删除文件夹(一个动作)的用户可能会为所有受影响的文件引发大量的删除事件。点击流数据可以是当存在大量删除事件时导出事件。在爬虫/僵尸活动用例中，统计模型需要提前创建，而不是每个客户创建，并且在数据源之间可能会有显着差异，例如Google和Dropbox可能会使用不同的统计模型。

收集和保留用例可以从SaaS供应商收集和保留事件日志数据。企业可能需要针对由合规性、取证和保管(vault)要求指定的长时间段访问由SaaS供应商提供的原始事件日志数据。

收集和保留用例的用户控制和配置可以包括控制要保管哪些数据源并控制哪些数据需要被保管更长时间段，例如管理员动作。

收集和保留用例可以作为不需要配置的预先用例来传送。收集和保留用例可能会或可能不会使用实时检测。

收集和保留用例的数据要求可以包括任何可用的日志数据。

收集和保留用例的事件日志数据可以包括任何事件日志数据。在不同的实施例中，收集和保留用例可能需要或不需要辅助数据。例如，收集和保留用例的时间窗口可以是数月或数年。由于原始数据可以被保存，所以收集和保留用例可以不需要数据丰富。

数据收集和保留用例主要可以通过提供客户之间的分隔来管理数据的实际存储数据，有效清除旧数据的能力，从请求的时间段恢复和传递到客户数据的能力，以及例如，追踪存储和恢复活动成本的能力。

数据收集和保留用例可以包括选择性保留层，其可以允许用户根据数据来源，动作或事件类型来保存不同时段的数据；例如，点击流可以保存六个月，但管理操作可以保存三年。演员(例如特权用户)的活动可以被保存更长时间。与资源相关的活动可以被保存更长时间。与之后检测到的持有更高风险的用户、资源或IP地址相关联的活动可以比其它的活动被保存时间更长。

在收集和保留用例中，可以直接保存数据客户拥有的存储。在采集和保留用例中，存储和收集成本可以被恢复。

附加的UBA用例可以包括孤儿文件用例(其中文件可以由外部的、不活跃的、已暂停的或取消配置的用户拥有)、不活跃的文件用例(其中文件可能无法访问，甚至可被任何人访问)、以及不活跃的应用用例，其中检测到授权但未对任何用户进行任何活动的应用。用例还可以包括来自单一来源用例的跨帐户可疑活动，其中相同的IP可能被多个用户使用。

其它UBA用例还可以包括涉及多次失败登录尝试的情况(其中目标帐户和源IP地址可以被标记为具有风险)、对于使用相同电子邮件地址或其它标识符的用户建立重复帐户的情况、以及不活跃共享的情况，其中存在未被主动访问或由特定协作者访问的已经被删除或被暂停的共享事件。用例可以包括涉及过时的浏览器或本地客户端的情况，其中可以检测到使用旧的网络浏览器访问Dropbox或没有最新的Dropbox同步客户端的用户。

使用情况可以包括带宽监控，以基于多个文件或总大小检测异常大的下载或上传。用例可以解决过度共享，与个人电子邮件的自我共享，和/或存在访问资源的许多失败尝试(可以表示用户搜索有趣的数据)。

图8描绘了用于在云(在这种情况下是使用Amazon Web Services(AWS)的云)上部署CSF 100的架构和基础设施。CSF 100可以部署在具有本领域普通技术人员将理解的具有变化的其它云环境中。用户或API调用对CSF 100的访问通过可以验证用户和API调用生成器的身份的逻辑组件(在某些情况下称为守门人802)进行认证和控制。一旦请求被守门人802批准，则它可以被路由到web/API服务器，该服务器将从永久存储装置804检索所请求的数据(例如，Postgres SQL或其它存储介质)，或者将向CSF 100发出命令以执行一些动作，如启动扫描或执行一些批处理操作(如加密文件)。这些动作由web/api服务器发布到排队机制808(目前由rabbitMQ^TM实现)，其进而被路由到相关的工作者节点集群810。工作者节点集群810可以由多个工作者812中的一个组成，并且可以执行CSF 100的一个或多个核心结构服务。可以访问诸如加密，策略自动化，内容分析等的服务。在排队机制808中定义了路由规则，该排队机制知道命令应该被定向到哪个工作者集群。每个工作者群集810可以通过统计收集代理814(例如，statsd^TM)来报告关于其操作的统计信息，然后将这些统计信息发送到统计收集框架(当前的图书馆)。CSF 100的整体部署还可以包含附加组件，诸如BackOffice 818(其可以包括用于CSF 100的中央管理***)，高速缓存***(例如，AWS elasticache^TM)，电子邮件***(AWS SES^TM)，中央监控(AWS cloudwatch^TM)等。此外，CSF 100的部署可以以子***分成不同的虚拟网络(例如，使用AWS VPC^TM)的方式配置，并且可以经由NAT和Web服务器(例如，Nginx^TM)路由外部访问。***管理员还可能会有一个“跳转框”设置，用于安全地连接以管理***。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供信息安全性。

在实施例中，本文公开的方法和***可以包括用于提供威胁管理的与云安全结构相关联或作为其一部分的一个或多个模块。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供配置管理134。CSF 100的配置管理模块134可以允许用户获取配置信息(诸如管理员用于各种与安全相关的应用所使用的设置)，并且配置CSF 100或者各种平台和企业资源的服务和模块CSF 100通过贯穿本公开描述的API交互。配置管理模块134的一个目的是结合由CSF 100启用，增强或扩展的广泛范围的解决方案来审计各方(诸如CSF 100的用户)使用的配置。基于大多数用户、最成功的用户等已经如何配置其各种解决方案，CSF 100的主机可以显示这些配置之间的差异并且向用户群体提供关于最佳实践的建议。这种洞察可以以匿名、聚合的方式提供，以便社区在没有任何特定用户的配置与他人共享的情况下获益。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供内容检查和分析110(包括元数据)(在一些情况下称为广告内容分析)。参考图9，公开了用于内容分析服务的架构组件和数据流，其可以被容纳在诸如的AWS^TM环境之类的云计算环境中。这些组件产生端到端的文本内容分析，并且可以结合其它内容类型来部署类似组件。应当注意，内容分析服务(在某些情况下称为内容分析即服务(CaaS)，内容分类服务(CCS)等)可以在文件级进行，或者可以在块级上应用。它也可以扩展到分析二进制文件，并可以使用诸如指纹的技术。

在实施例中，分类服务可以提供许多益处和能力，包括可扩展性，可延展性，鲁棒性，避免单点故障，处理可追溯性，灵活性，服务质量(QoS)，***行为监控，处理效率和组件化。在可扩展性方面，该***能够扩展到应对大量非常苛刻的请求。请求可能很大，或者很小，和很频繁。关于可延展性，可以使用各种配置选项，包括服务器端的域，角色和用户配置。例如，配置可以包括特定于组织的布隆过滤器，基于用户角色的合规策略等。方法和***可以实现其它能力，例如布隆过滤器和指纹。该***可以包括各种提取器，诸如tika^TM、outside in^TM、keyview^TM和通过远程API调用所调用的提取器。该***可能是高度鲁棒的，其中可靠的组件具有对错误条件的鲁棒性。如构造的，没有架构组件可能导致***故障(即，没有单点故障)。方法和***可以包括例如通过观察日志了解内容分析请求已经经历的处理流程的能力，从而提供可追溯性。方法和***是灵活的，例如可以在稍后进行替代设计选择，而不需要重大的重新工作。通过将资源分配给基于类型或协议级别的任务来确保服务质量；例如，可以为高级客户提供专用资源，或者分析器可以专用于处理特定项目，诸如Salesforce^TM中的字段。服务质量也可以由数据的年龄(新鲜相对于旧，或正在进行相对于回填)，文件大小等驱动。方法和***可以提供行为监控，例如提供关于诸如***上的负载的项目的度量，这使得能够理解***行为以及对其操作进行智能决策。度量可以包括允许和支持自动缩放的度量、允许操作者推断服务请求的成本的标准的度量等。在实施例中，能够实现处理效率，诸如为分批请求提供分析请求的高速吞吐量和有效路由。方法和***可以实现使分析(例如在第一次匹配之后)短路的能力，以及例如使用MD5^TM检测重复(例如避免重新扫描内容)的能力。组件化可以包括为架构内的每个定义明确的单元提供清晰定义的API。

如图9所示，架构组件可以包括可用于分发处理请求和故障切换的多个配置的组件，例如弹性负载平衡器(ELB)902。诸如S3文件blob(二进制大对象)存储之类的临时高速缓存缓冲器的存储设施可以提供要分析的文件的临时存储，但不是强制性的。对缓冲区的调用可能是异步的，因此高速缓存缓冲器中的延迟和从其中检索不应该不利地影响服务水平。高速缓存缓冲器可能始终可用，并具有生命周期管理功能。高速缓存缓冲器还可以存储开发，列表和特定于客户的配置。另一种缓存缓冲器可以使用DynamoDB^TM。

架构可以包括用于分析任务的排队功能(例如由RabbitMQ^TM实现)。这可以由弹性缓存(如ElasticCache^TM)支持，用于任务状态监视。弹性缓存可以提供内容分析任务状态和缓存结果。

可以结合图9的架构提供各种处理。这些可以包括请求处理器904，例如由Gunicorn^TM实现为一组管理的Python进程，其负责接收和响应请求。请求可以采取诸如“分析文件/文本/批处理”的形式，并且可以获得分析的状态/结果。请求处理器可以向具有元数据的队列908添加分析请求，并且可以存储要在内容缓冲器910中分析的数据。请求处理器904可以轮询弹性高速缓存910用于分析进展，返回当前状态和结果。请求处理器904还可以例如基于分析请求队列的大小来调节请求。

组件和/或过程可以包括各种提取器912，例如可以从要分析的文件中提取文本的Java进程。这可以包括例如解压缩/爆发压缩文件(例如Zip^TM文件)的能力。这种处理可以是有状态的。例如，可以基于诸如文件名，元数据等的各种标准来处理这样的文件。提取器912可以包括解析器，诸如Apache Tikka^TM解析器，Java组件以及可以是REST接口的接口。请求可以解析文本，例如来自给定的缓存缓冲器位置的文件或块。提取器可以从内容缓冲器910获取文件，从文件或块中提取文本，并返回提取的文本(例如返回到分析器)。

该架构的组件和/或过程可以包括各种分析器914，其可以包括分析感兴趣的项目的内容的python进程或Java、C或其它面向对象的编程模块。分析器可以调用位于本地或远程的不同进程/库中的功能。示例可以是在Google App Engine^TM***上运行的进程。分析器可以将任务从分析任务队列908拉出，分析任务队列908可以由请求处理器904填充。(一个或多个)分析器914可以用于各种目的，例如监管内容分析，列表分析(包括自定义列表)，布隆过滤，文本或二进制指纹等。在实施例中，正则表达(正则表达式)模块可以体现在C语言代码中。实施例可以包括使用C语言扩展，诸如python正则表达式扩展。在实施例中，可能需要进行前处理和后处理以实现分析，其可以通过示例的方式体现为C语言扩展。根据对***和性能要求的要求，一些实施例可能希望实现定制解决方案以提供更大的功率和分析能力。

分析器914可以向提取器912提供文本提取的请求，随着请求状态的改变来更新弹性高速缓存918，驱动分析，执行内容分析和写分析结果(诸如写到弹性缓存请求条目)。

分析器914可以被布置到银行，其可以服务特定请求类型和/或被设计为优先地服务于特定请求。例如，具有专用于小文本分析的分析器914可能是有利的。同样地，可以优先处理来自“高级”客户的请求。

内容分类服务可以用于广泛的用例，其中一些在下面描述。参考图10，一个用例涉及对给定项目文本进行分析的请求。客户端可以将文本内容传递给服务，以进行分析。在这种情况下，可能不需要获取内容，因为它可能被提供或推送到***，并且可能不需要提取或使用缓存缓冲器来进行临时缓存。考虑到文本可以很小(这可以是可选的约束或强制的)，文本可以被缓存在分析队列上同时等待处理或存储，其中指针或引用被放置在队列中。如图10所示，文本分析可以遵循涉及以下步骤的流程：1)客户端发布内容分析请求(请求提供要分析的文本)；2)请求被引导到请求处理器904；3)请求处理器904将请求和文本放置在队列中；4)请求的进度状态被保存到弹性缓存；5)分析器从队列中获取请求(包括文本)；6)分析文本并将结果推送到弹性缓存918；7)从客户端收到内容分析进度请求；8)请求处理器904从高速缓存取回进度和结果；以及9)将进度和结果返回给客户端。

参考图11，在另一个用例中，可以使用***和方法来分析特定的文件。在这种情况下，客户端传递要分析的文件。该文件可能很大，可能需要在文本提取之前临时存储。诸如S3^TM之类的缓存缓冲器可能是一个很好的文件缓存解决方案。首先，客户端提出内容分析请求。然后，该请求被引导到请求处理器。处理器进程然后将内容blob放入高速缓存缓冲器中，并将分析任务添加到队列中。请求的进度状态被保存到弹性缓存。分析器从队列中获取请求，从提取器请求文本提取，并更新请求的状态。提取器从缓存缓冲器中取回内容的blob，并提取文本，然后将文本发送到分析器。分析器分析内容并将其发送到弹性缓存。当从客户端收到内容分析进度请求时，进度和/或结果由请求处理器获取并返回给客户端。

参考图12，另一种用例可能涉及在一个位置分析文件。在某些情况下，例如在过份恐惧漏出的情况下，甚至暂时存储可能不被允许或期望的用户内容。在此上下文中的内容的处理可能必须在存储器中进行，并且在需要时可能需要由分析器/提取器取回内容。在这种情况下，客户端可以在分析请求中传递对内容的引用，以及获取内容的凭据。在这种情况下，内容分析请求可以由客户端提出，其可以包括对内容位置的引用，并且可以包括访问凭证(例如在头部中)。请求可以被引导到请求处理器，请求处理器可以将请求和访问凭证(可选地加密)放置在队列中。请求的进度状态可以被保存到诸如弹性高速缓存918之类的存储设施。分析器可以从队列中获取请求，从提取器请求提取，并更新请求的状态。提取器可以从引用的外部源(可能使用访问凭证)中取回内容的blob，并提取文本。提取的结果和内容可以被发送到分析器。一旦被分析器分析，则文本和结果可以被推送到弹性缓存。当从客户端收到进度请求时(或按照日程表)，可以通过请求处理器从缓存中取回进度和/或结果并返回给客户端。

在实施例中，可以提供替代流程，其中请求处理器可以例如通过执行内容“获取”作为初始操作来提取内容，并且可以存储在高速缓冲存储器中，否则如上所述操作的情况分析文件。这解决了客户端不想负责下载(可能是为了带宽原因)，同时实现良好吞吐量的用例。在某些情况下，内容可能会整体缓存在服务器上，这在某些情况下可能引起关注，尽管像S3^TM这样的缓存缓冲区可能会提供各种安全选项，数据可能以加密形式存储以减轻某些关注。此外，在一些实施例中，内容可以被缓存在RAM中而不被保存到服务器上的盘上，这可以减少曝光。

在实施例中，如果“获得”可能需要很长时间，那么它们可能最好由a处理离散的“内容获取”任务和队列。可以在创建分析任务之前执行“获取”任务，或者如果对内容类型进行过滤，则分析器可以选择启动获取任务。

在上述情况下，客户被认为负责轮询内容分析服务以获取进度信息和请求的结果。这并不总是最理想的选择。例如，诸如策略自动化引擎116的CSF 100的元件可以从更直接的机制中受益，以便响应。因此，服务可以将结果返回到指定的端点(例如，URI帖子)或外部队列，例如在预定的时间表上。这在图9中由从分析器在子网外部延伸的“结果”箭头表示。

结果目的地的配置最初可以作为请求的一部分传递，或者可以是在请求原点上枢转的***配置。这样的设置可以在分配给或可访问的配置文件中指定，例如由各种分析器指定。

上面的例子说明了分析文件的过程，例如pdf。设想其它类型的内容分析请求，例如需要文本提取的文件，文本(不需要提取)，文本字段或片段(其中不需要提取，并且可能不需要高速缓存缓冲区，少量)可以在处理之前存储在队列中)，字段组(例如在诸如JSON模式的模式中定义的字段的集合，其中可能需要文本内容提取并且抽取器可能需要解析)，文件批次(诸如如下所述的以zip文件或批次提交的文件的集合)和/或内容引用(例如客户端将文件位置的引用传递到哪里(提取者可以从该位置获取内容并提取文本，文件，对象，数据库记录等。

可以使用json结构(例如处理批次的内容)在单个内容分析请求中轻松传递字段内容组。如果客户端具有压缩功能，则可以通过ZIP上的内容分析请求来处理一批文件。为了更好地控制和在ZIP类型压缩不适用的情况下，***和方法可以使用一个过程，例如反映在以下步骤中，由此客户端将项目添加到存储桶并且桶被提交用于处理。首先客户可能会提出一个桶获取请求。请求处理程序可以在弹性缓存中创建(批量)请求，例如JSON。请求处理程序可以返回桶资源标识符(请求)。客户端可以请求添加到桶中的文件。请求处理程序可以将内容blob放在缓存缓冲区中。请求处理程序可以更新弹性缓存请求。这些步骤可能会重复，直到桶完全返回或客户端准备提交内容分析请求。随后，客户端可以提出内容分析请求，之后请求处理程序可以将分析任务添加到队列中。分析器可以将多个分析任务添加到队列中，例如每个文件(或其它内容单元，例如帖子，对象等)的弹性缓存中的一个条目。从那时起，每个分析任务可以按照上述针对单个请求所述的情况所述来处理。一旦完成，分析完成后，结果桶可能会返回给客户端。在实施例中，为了减轻带宽需求，可以通过客户端库提供衰减。

在实施例中，可能期望为客户提供修改开箱即用内容分析配置的能力，并为特定用户和组提供配置。这可能是布隆过滤器和自定义单词列表的形式，或者可能涉及使用元数据以及内容和其它技术来扫描自定义数据类型的策略的复杂分析。

这样的定制配置可以直接由分析器914访问进程和部分或全部加载到缓存的内存中。这种类型的配置可以被存储，例如在缓存缓冲器(例如，S3^TM或DynamoDB^TM)中，用于加载和使用。图9包含在“特定配置”组件中的引用。可以遵循发布者/订阅者方法，以便分析者知道根据需要进行交换的配置更新(与之相关)。更新和通知可能由中央管理流程/机制推出。该通知模式可以通过队列(可选地基于主题)来服务。

如上所述，提取器可选地放置在弹性负载平衡器902的后面(ELB)，并且可以从内容分析器914进程调用。这种配置产生了许多好处，比如：分析通常是所有请求的第一个任务，因为这决定了是否需要提取请求；提取过程可以返回可能具有很大尺寸的文本，不适合队列存储；提取错误可以由分析器报告和处理；分析器可以直接产生许多提取请求，例如处理zip文件时可能需要；并且通过分析过程驱动请求的所有方面，可以在日志文件中轻松追踪进程。

使用队列去耦提取有益处，但也可能引入复杂性和缺陷。在某些情况下，将提取器放在ELB后面仍然是一个不合适的选择。

内容分析请求的缓存条目的示例说明部分完成的双文件批处理请求。在实施例中，多个分析任务可以更新相同的条目：

在实施例中，可能期望了解***的性能如何，从而可以将其调整为更有效并产生更好的服务质量。这可能包括各种监控模块，服务和操作。可以相对于分析器进行监视(例如，确定分析器队列长度，在给定时间内使用多少和哪些分析器，确定通过内容类型分析内容的平均时间，确定内容类型以及确定提取的字节。提取器的监视可以包括在提取提取请求之前监视延迟，确定在任何时间点有多少和哪些提取器正在使用，以及确定用于提取内容类型，内容字节等的平均时间。监视请求可以包括跟踪平均请求时间，例如按字节，按内容类型等。成本监控可能包括成本发生和***如何更有效率。

基于监视，可以进行各种动作，诸如增加分析器或提取器的数量，修改分析器或提取器的路由(例如，将特定内容发送到特定的分析器或提取器或基于服务等级具有优先级队列)，以及将逻辑放入分析器中，例如只有在需要分析或非常高优先级时才获取，存储和处理内容。

在实施例中，***可以允许提取器，分析器和特定分析包的独立软件更新。还可以并行(同时)运行不同版本的分析器提取程序包，以通过将请求复制到新版本或将请求的路由部分复制到新版本来启用新版本的验证。

参考图12，替代架构可以用于分类服务，其可以包括执行处理而不需要内容和缓冲体系结构的任何存储的在线架构，其中涉及由主机分类服务存储内容。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供上下文分析112。

再次参考图1，在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供行为分析和建模114(例如，用于从地理位置识别可疑登录，访问模式和从行为建模获得的其它信息)。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供配置管理。

在实施例中，本文公开的方法和***可以包括用于提供威胁管理的与云安全结构相关联或作为其一部分的一个或多个模块。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供全球策略创建和策略自动化116(诸如能够管理工作流并实现各种规则，例如由规则引擎启用，关于在企业环境(包括任何云)中采取行动)。因此，在实施例中，CSF 100可以包括全局策略管理和自动化引擎，在这里，在某些情况下称为策略自动化引擎116，其可以允许诸如企业之类的用户创建，部署，以集中，一致的方式管理和执行企业策略，跨所有云平台使用企业策略管理用户的不同云平台。

除此之外，策略自动化引擎116可以通过在定义类似策略的用户群(例如CSF 100的主机的多个客户端)之间交换的益处来自动地提高策略定义的质量和容易性。在实施例中，可以使用机器学习或通过人机辅助机器学习来开发规则，而不是由人类用户完全配置。

策略自动化引擎116可以通过各种API来访问，包括策略自动化引擎116，与CSF100的其它模块和服务一样。与CSF 100的其它服务和模块一样，策略自动化引擎116可以具有用于策略的一个或多个开发者API，其可以包括：a)允许客户简化和自动化策略的更新；b)从内部或DLP***或平台功能(例如在Google^TM或Salesforce^TM平台中本机配置的基本策略)丰富CSF 100策略；c)提供外部来源的能力，以便在应用策略方面评估其它标准；以及d)从外部源检索关于实体的附加元数据的能力。因此，策略自动化引擎116可以用作服务来评估各种实体以及用于构建与安全性相关的策略工作流程。

策略自动化引擎116可以允许用户定义在策略中使用的标准，例如检测标准，并且定义响应动作。这些和其它参数可以以通用语言定义，其中提供关于如何在给定的云环境中应用策略的细节，允许基于策略的规范表示的多个平台的适用性，然后将其转换为环境适当的形式对于每个环境，并通过策略自动化，在不同的平台上始终贯彻执行。策略可用于管理检测到的曝光，解决和响应用户行为(例如基于位置，时间范围和频率特征)，以处理数据的所有权，处理允许和禁止的应用，以及广泛的范围其它用途。因此，诸如数据隐私官员，安全操作，法律部门或其它方的企业用户可以定义策略一次，并以自动的方式将该策略应用于由企业用户。

例如，用户可能希望针对个人身份信息(PII)，PCI，HIPPA管制的信息，知识产权和其它敏感类型的数据在组织及其所有基于云的应用中应用一致的策略。

因此，本文提供了用于策略创建和自动化全球实施的方法和***，在本文中作为上下文许可在一些情况下统称为策略自动化引擎116，其可以作为云安全结构的组件来提供，以允许在使用不同云平台和应用的用户工作流之间统一安全相关策略。这可能包括以标准化语言(包括基于字典或图书馆或与企业策划或从第三方来源获取的策略相关或包含的策略的其它知识库)来表达策略的能力。企业可以通过云安全架构100来一致地翻译和部署策略异构本机平台和应用。

在实施例中，策略自动化引擎116可以用作用于从第三方平台获取暴露标准的平台，例如用于企业的一组策略的快速入职。这些可以是以本领域普通技术人员已知的各种策略语言和环境开发的策略，例如表达适用于特定领域的策略的领域专用语言，例如与卫生保健数据，财务数据，消费者数据，或类似物。在实施例中，策略自动化引擎116可以查询诸如特定云平台的平台的API，以确定该平台上哪个策略的配置是可用的。然后，策略自动化引擎116可以生成反映可用于该平台的可用标准(例如，曝光标准)的用户界面，以及关于如何表达策略以便在平台上执行的信息。每个平台的模型可以与集中式或规范模型相关联，使得可以在平台特定的策略模型和集中式模型之间进行转换，诸如从抽象的或规范的表示形式转换特定策略的表达，成为适合本土环境的表达。除此之外，这可能会消除用户的责任，以试图了解或符合不同平台的特定曝光标准和语言。

除此之外，策略自动化引擎116允许企业提升其用户使用的每个平台以满足关于策略的最低要求。例如，企业可以创建一个策略并持续部署，例如为所有应用提供相同的PCI策略。

在实施例中，策略自动化引擎116的设计可以采用某些基本概念，包括分离策略的含义及其实现。这些包括例如分离后端标准，用户界面标准和产品标准。参考图14，在实施例中，策略被表示为与逻辑运算符组合的简单后端标准的树1402。树1402可以捕获基础标准与根据标准操作的策略的关系的逻辑结构。例如，图14的树1402示出了如何在涉及用户(Sam)或组(dev)的特定平台(在这种情况下是Google^TM平台)中标记涉及社会保险号码的Google Plus帖子。

在实施例中，实体可以通过API发送到策略自动化引擎116，在实施例中可以是REST API的形式。可以以嵌套JSON表达式的形式指定树1202。标准可以与表达式中反映的逻辑运算符分组。

如本文中关于策略自动化引擎116所使用的，术语“标准”应被理解为包括上下文指示的含义范围。在实施例中，标准由评估器组组成，并且策略被表示为具有逻辑运算符的一个或多个标准的树。在策略自动化引擎116的后端中，特定标准函数可以是实现一些评估者的简单的通用函数-对实体或ACL中的数据的评估(这样的后端标准通常由特定名称引用，具有初始大写字母在下面的披露)。后端标准主要集中在数据类型和评估类型上。在前端，术语“条件”可以指策略配置的离散组件，例如与特定解决方案相关的平台标准或所有权标准。如下面更详细地所述，前端标准可以被实现为后端标准树。

标准可以进一步分类为包括内容，上下文，应用分类和行为标准。这些是定义可能执行的评估类型的大类。例如，内容标准可以包括涉及文档或对象内容的评估的任何标准集合。上下文标准可以包括涉及文档所在的“上下文”的任何一组标准，例如平台，所有权，曝光和权限，这些都是上下文标准的示例。行为标准可能涉及评估用户行为事件，位置，时间范围以及与涉及用户行为的事件相关的其它数据的序列。

参考图15，策略自动化引擎116请求可以使用诸如brew install graphviz或npadmin org<org>策略图<pk><output_file>的设施。

在实施例中，启动策略自动化引擎116可以包括启动任务1502，例如run_policy_engine()任务。可调用元素可以是函数的点路径。可以包括序列化实体和访问控制列表(ACL)饮食的列表(entities_和acls)。

标准评估者可以写在策略自动化引擎116中，它们是理想的通用(不依赖于平台)，简单且专注于数据操作。评估者类可以从基准标准评估器继承属性。作为示例，评估者类“实现评估(要评估的数据)”可以包括实体和acl列表的饮食。

策略自动化引擎116可以包括用户界面(UI)准则，其可以实现扩展一组基本标准的对象。这些可能包括用于返回对象的元素，具有新UI标准的默认设置。(例如“getDefaultUIComponent”)，用于将策略API响应解析为getDefaultUI组件返回的对象(例如“getUIComponent”)，用于对用户提供的输入进行验证(根据需要发出异常)(例如“验证”)，一个用于格式化保存或更新策略的请求(例如，“finalize”)和用于解析API响应的请求，以显示策略卡的描述列表(例如，“getSummaryStrings”)。策略帮助服务(例如，“policyHelperService”)可以提供用于实例化UlCriteria对象和格式化响应的服务。它可能包含一组标准指纹正则表达式(正则表达式)，例如用于将标准树路由到UlCriteria对象。参考图16，树可以表示标准指纹，包括各种逻辑组合(基于“或”和“和”和“运算符)，例如在本例中涉及关于用户，组和角色的访问。

策略自动化引擎116可以包括CSF 100的服务。策略模板可以促进新策略的创建，并且可以存储参考的策略集合以供策略自动化引擎116的用户访问。这些可能包括引用定义的字符串列表的标准集合。策略自动化引擎116可以适于使用或转换为各种领域特定的语言。

参考图17，框图1702示出了策略自动化引擎116以及可以部署其的环境和***的设计的实施例。策略端点1704创建或编辑策略(使用任何策略创建设施，例如平台或CSF100的主机或通过开发者API)，并将其传递到策略存储设备1706，例如Postgres数据库。策略细节可以被提供给任务1502(诸如“run_policy_engine”任务)和/或导演演员(directoractor)1710，其中任一个可以向策略自动化引擎116提供输入。因此，任务1502和导演演员1710是用于调用策略评估的两个可能的导管。由于各种情况(例如通过标准评估器1714对标准进行评估)，可能会导致评估，或者可能导致直接执行任务(单次或批处理)以运行一个或多个策略(其可以涉及图17所示的实施例中的任务1502或导演演员1710。

在哪里用作流水线，run_policy_engine任务1502将实体列表ACLS，策略和作业ID作为输入。该任务使用作业ID从应用于作业的数据库中获取策略列表，并将策略数据传递到策略自动化引擎116。在作为导管的地方，导演演员1710直接运行策略自动化引擎116，例如在actor的perform()方法期间将相关策略，实体和ACL传递到策略自动化引擎116中。

在实施例中，run_policy_engine任务1502由域活动扫描器用于处理编辑事件。在其它情况下，特定平台(如SalesForce^TM，G+^TM和Google Drive^TM)的扫描方法可能会涉及可能直接与策略自动化引擎运行或交互的平台本身的角色。这通过可适用于这些环境的标准评估器1714的执行来反映，而不是由任务1502或导演演员1710来反映。

策略自动化引擎116可以将策略应用于与标准评估器1714交换的输入或信息，并且还可与CSF 100的内容分类组件或本公开其它部分所描述的其它内容分类器进行交互。在实施例中，策略自动化引擎116可以主要由称为PolicyEngine的类组成。在实施例中，类可以用策略列表，URL生成器功能和回调来实例化，以生成内容部分。然后，evaluate_policies()函数可以基于这些策略执行评估给定实体的工作。策略自动化引擎116本身可以执行两个主要任务。首先，将对象内容或URL传递给CSF 100的内容分类服务或用于内容扫描的其它分类器(如果策略中存在任何内容标准)。然后将来自CaaS，实体数据和ACL数据的匹配传递给一组CriteriaEvaluators 1714，它们在与每个策略相关联的一个或多个标准的上下文中评估数据。

如果实体通过给定策略的标准，则可以将其传递给store_incident函数，该函数确定是否应引发新事件或更新现有事件。基于策略的应用，引擎可能会产生事件1720，这些事件可能被企业采用，例如通过API，用于处理各种事件响应***。

在实施例中，策略自动化引擎116使用适当的抽象和模型来适应各种环境和域的可预见的策略标准。策略自动化引擎116优选地支持新平台的扩展，而无需广泛的修改。可以自动适应简单的自定义领域比较，也应该促进更复杂的评估。在实施例中，通过策略端点1704的API来管理(添加，修改和删除)策略。策略定义本身存储在数据设备1706中。

在实施例中，策略自动化引擎116的用户的用户体验可以在很大程度上独立于基础实现。例如，用于识别所有权标准的UI组件实际上可以包括几个不同的后端组件，例如，“由用户Y拥有并且不由用户Y拥有”或“可以由OU M访问或者可以对组N访问”。将选择UI组件和分组以促进用户配置，而不一定映射到后端表示。

在实施例中，任何应用可以通过经由API提供序列化规则和序列化实体来请求规则评估。策略管理(策略管理器-个别规则的保存，编辑等)可选地与策略评估(策略自动化引擎116)正交。

策略自动化引擎116可以处理各种各样的标准，包括与协作安全性有关的标准，并且包括与CSF 100和相关组件相关的标准。这些可能包括与所有权有关的标准(对“所有者”字段(包括白名单)上指定的用户，组织单位(OU)，组或域指定执行“或”操作)；基于时间的标准(例如，识别在指定时间段内没有被修改的文档)；数据类型标准(例如，识别文档，文档类型或站点或全部)；共享标准(例如，对用户，组织单位(OU)，组或指定的域(包括白名单)执行“或”操作；暴露标准(公共，外部，全域曝光(也可与链接公开/domain)；内容标准(例如，使用平台API调用来获取运行其余策略标准的过滤文档集，例如使用根据给定平台的查询语法构建的查询过滤器)；符合标准(例如，与SSN，***，文件内容有关的规定(“改进的内容搜索”)匹配标题，描述和内容)；所有权标准(用户，组，OU)；以及与该***的报告和出口有关的标准。

为每个新的领域和领域类型创建新的标准是具有挑战性的。新平台可能具有需要自己的评估的自定义字段的自定义实体。被评估的每个实体可能有自己的一组可用标准。表1示出了可以由策略自动化引擎116管理的标准的类型的示例，通常对应于这样的标准的一些类型的数据，可以进行的比较以及在某些平台中发生的示例。

表1

由策略自动化引擎116处理的不同类型的对象可以具有不同的可用标准。实体可以具有元数据和分类标准(例如独立于元数据的显式标记)。用户可能具有协作模式和分类标准(如组合)。应用可能具有分类标准(如社区，组织等)。例如，如果管理员想要配置在Google和SalesForce DC中可以在外部访问的对象内识别信用***的策略，则标准可能包括实体(全部)，内容(PCI)，可访问性(客户-外部)和平台标准。另一个例子是，如果管理员想要配置一个策略来识别在Google和SalesForce DC中可以外部访问的对象内的社会保险号码，那么将涉及相同的标准，除了内容标准将涉及社会保险号码(SSN)而不是PCI。如果管理员想要配置一个策略，以确定Google和SalesForce DC中对象内的特定关键字或模式，那么将涉及实体标准，内容标准(监管)和平台标准。因此，各种配置可以涉及上述标准的各种组合，诸如实体，内容，可访问性，平台，地理位置以及基于时间和其它标准。可以考虑许多策略的例子。例如，在许多其它方面，管理员可能希望激活一种策略，该策略标识被CSF 100的主机所服务的公司的X％的所有应用；激活地理感知策略，以识别和展示任何可疑的登录活动(例如，一旦识别到可疑登录，策略可能会以配置的严重性级别引发事件)；激活一个策略，标识任何没有在3/6/12个月内被查看或编辑的“停滞”文件的用户；激活识别新接触文档的用户的策略(例如选择策略应识别的多个暴露级别)；识别任何报告导出活动(例如，识别包含特定数据的报告，从而将其纳入数据地理感知策略)；如果有人创建一个字段或重置一个字段的字段级权限，使其可以由***内的任何用户编辑，就会引发事件；如果有人向具有可疑配置文件的用户(例如“喋喋不休的外部用户”配置文件)分配特定权限集，则引发事件；如果不是特定营业单位的成员，如果有人不在Google+上建立***息，则会发生事件；匹配M个项目的N个(例如，符合HIPAA标准)；或者在特定用户或非管理员用户执行报告导出时引发事件。请注意，配置文件和权限集合可以组合以确定整体访问。配置文件可能会在用户之间共享，但每个用户可能都有一个配置文件。权限集扩展由配置文件定义的基本访问权限，并可能在用户之间重新使用。

在实施例中，每当发现匹配时，每个策略可以具有指定用于执行的一个或多个动作。首先，最简单的这些操作是向管理员或其它方发送电子邮件通知，但是可能有更多复杂的响应。

策略自动化引擎116可以在各种实施例中实现考虑的因素包括最小标准封装(封装标准所需的最低逻辑是什么)，标准组合/汇总标准；持久性/串行化；轻松添加新标准；并使用通用构建块实现自定义标准(即，不需要或最小的新开发)。

与策略自动化引擎116相关联的用于标准评估的实施策略可以根据评估标准的工作是由标准对象执行还是由标准评估器单独执行而变化。无论评估发生在何处，策略评估的逻辑可能相似。当评估由单独的评估者执行时，可以实现标准评估的统一界面。抽象类(例如，BaseCriteriaEvaluator)可以用标准饮食构建，并且用实体和ACL列表进行评估。如果实体满足条件，则返回CriteriaResult对象，其中布尔结果为“true”，并且匹配对象(如Match或SuspectMatch)包含与条件相关的元数据，如果条件生成则为“None”没有元数据。

用于评估标准的逻辑可以在BaseCriteriaEvaluator中实现并移出策略自动化引擎116的evaluate_policies()函数。这可以简化evaluate_policies()函数的逻辑。接下来，可以实现二进制表达式树来评估策略标准。此树可能存储在策略附加列中。可以使用指定的运算符和评估标准的结果递归地评估树，以确定是否应引发事件。

在实施例中，“OwnerCriteria”类可以是或可以不是独立类；如果没有，则OwnerEvaluator类可能需要额外的任何费用从通用基础容器中提取标准数据所需的序列化/反序列化逻辑。

如果评估工作要通过标准模型对象本身来完成，那么可以将基准标准模型中的evaluate()方法作为输入作为评估的实体。

对于每种单独类型的标准，可以实现从基准条件派生的新的Criteria类，并且此子类将实现该特定条件类型的评估方法。数据访问对象(DAO)可以使用条件数据库中的criteria_type列来确定要实例化的条件的子类。该方法可以通过消除将标准评估者映射到标准的必要性来简化策略自动化引擎116的逻辑。

策略可能有多个条件，可以使用OR和NOT来评估运算符除了AND运算符之外。这包括不同的标准(所有权与共享)以及某种类型的标准(由用户OR组拥有)中的操作者。为了便于以一般方式实施这些多标准策略，实施例可以将策略评估为二进制表达式树。表达式本身可以在策略创建期间生成，并且可以使用标准主键(PK)来引用标准。

如上所述，二叉树可以被序列化为JSON对象并存储在策略数据存储设施1706的策略表中，诸如在HSTORE表或JSON列中。这种方法的挑战是如果添加或删除条件，表达式树可能会变得过时。如果仅通过策略端点1704创建标准，或者在初始入职时使用“setup_policies”等功能，则可以减轻这一点。

二叉树的实现，简称为

“cl.vendor.tools.policy_expression。CriteriaExpressionTree“可以存储为嵌套饮食，如表单上：

其可以被表示为

其中整数(ints)是标准主键。

在实施例中，树中的每个节点存储由字符串表示的运算符和两个叶，其可以是CriteriaEvaluators或CriteraExpressionTree节点。CriteraExpressionTree节点可能有两种方法。evaluate()方法采用data_to_evaluate饮食，并递归地评估树中的标准。由于一些CriteriaEvaluators返回元数据，由左和右节点返回的CriteraResult对象存储在树中。get_matches()方法递归地遍历树并返回由匹配的CriteriaEvaluator创建的每个CriteriaResult。在根节点上调用此函数的结果是所有匹配条件的结果列表。

在替代实施例中，不是将树存储为单独的结构，而是可以创建一个新的“树”标准，其存储应用于其的操作者。可以将列添加到引用父标准的标准表。如果此值为NULL，则该条件将被视为树的根。树标准将对所有子项调用评估，然后将结果与指定的运算符相结合。

这种方法的优点在于它不需要任何外部数据结构。评估树在策略标准本身中变为隐含的。

有许多合并标准评估的例子，其中一些是如下。也许最简单的现有标准是元数据标准类型。如果实体中的任何键和值与条件附加中的任何键和值匹配，则此标准将评估“true”。

在一个示例中，CriteriaResult是一个简单的容器类，用于存储a的结果标准评估。此容器的主要用途是捕获有关内容检查可能产生的匹配的附加元数据，例如上下文，文字匹配数量或其它描述性信息。类的一个实施方式如下：

在一个实施例中，Criteria是存储在数据库中的标准表中的数据的模型：

在实施例中，BaseCriteriaEvaluator类是用于标准评估的基类。构造函数采用标准作为输入并存储它。evaluate()函数需要包含实体，acl，内容扫描器匹配信息以及评估标准所需的其它任何信息。evaluate()函数返回CriteriaResult：

在实施例中，MetadataEvaluator类可以针对存储的标准实现指定实体的元数据评估：

在其它实施例中，上面显示的标准类别通过添加一个扩展“评估”函数在基类中：

def evaluate(self,data_to_evaluate):

pass

单个标准通过子类化标准和实现评估函数来实现：

列数据库中的criteria_type字段可由标准DAO(数据访问对象)使用以在标准检索过程中构造适当的子类。

在某些实施例中，可以使用两条信息来执行策略评估：实体信息(实体可选地为例如从数据库的实体表生成的对象)和ACL信息。实体可以是文件、对象、用户等，并且在实施例中，实体可以在扫描过程中动态生成，并且被传递直接用于策略评估，例如不被存储在数据库中。实体可以包含各种信息，例如供应商信息、名称信息、mimetype、有效载荷(对象内容)以及对相关范围的引用。ACL可以包括从范围和一个或多个表导出的对象，例如scope_role表。具体来说，可能会指出范围类型、角色、组织、名称、范围值或权限标识以及供应商。

在策略自动化引擎116的实施例中，策略由一组标准树组成，每个树的结果由“与(AND)”或“或(OR)”操作组合以产生最终策略结果。标准可能侧重于数据操作，而不是用户意图。

在实施例中，可以提供前端标准的各种后端实现，如下所述。请注意，这些树中的某些树具有布尔(Boolean)标准，其不是不严格必要的，但在少数情况下，这些树可以简化前端逻辑。虽然可以执行一些树优化来移除它们，但这些布尔运算符的评估足够快，以至于可能不需要树优化。

参考图18，内容标准可以覆盖定制正则表达式(Regex)、对象的SSN和CCN扫描。它还可以覆盖正则表达式例外、阈值和邻近度。因为所有这些都由CSF 100的内容分类服务直接处理，所以内容标准可以被实现为后端中的单个CONTENT节点。

参考图19，可以使用平台标准来对策略应用基于平台的限制。其可以用UI 1902的一部分来配置。如果选择“所有平台”，则后台中不存储任何平台标准，因此策略将适用于实体，而不管供应商和供应商类型如何。参考图20，如果选择了特定平台(这里是Google驱动器和SalesForce^TM沙盒)，则创建METADATA标准2002、2004以检查实体的供应商和供应商类型。

曝光标准可用于标记违反一组指定曝光限制的对象。参考图21，可以用UI的曝光配置部分2102来配置曝光标准。策略配置可以被实现为相对复杂的METADATA、ACCESS、ACL和DOMAIN标准的树，如图22所示。请注意，树2202包括两个主要分支，每个分支适用于不同的平台(受METADATA标准限制)。该示例是高度复杂的曝光标准版本。如果不需要，可以修剪不需要的子树。

所有权标准可用于标记个人或OU和组中的成员所拥有的对象，你还可以定义所有权例外，你可以说“标记不被<用户>所拥有的文件”。参考图23，可以用UI的所有权标准配置部分2302配置所有权标准。如果选择了“所有用户”，并且未选中“例外”，则不会创建所有权标准，无论所有权如何，都将应用策略。否则，将创建一组ACCESS标准，一个用于所有用户，一个用于所有组织单位(OU)(其中组织单位可以是表示在层级关系方面用户针对组中成员身份的构造)，一个用于所有被用户选择的组。除非可以添加NOT运算符以使得标准的结果反转，否则遵循与例外相同的模式。如图24所示，在后端实现上述UI配置。

参考图25，可以使用UI的行为配置部分2502来配置行为标准。行为标准可以被实现为与“AND”运算符组合的一组平台特定的“BEHAVIOR”标准，其中，一个标准基于UI部分PE1402中为每个复选框项而创建。还可以提供供应商或平台无关的行为标准的实现方式。参考图26，图25中所反映的标准配置可以在后端中实现。

再次参考图1，在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于为安全相关项提供中央配置管理。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供集中审核118。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供联合搜索。

在企业的用户使用的所有应用和信息技术资源的领域中，有一定百分比的应用和信息技术资源被批准，一定百分比的应用和信息技术资源是未经批准的或是“影子”信息技术。虽然今天的安全公司通常专注于减少与使用经批准的应用相关的各种风险，这些经批准的应用有几千个，其中包括企业在许多不同业务中使用的很大一部分经批准的应用，有数万(甚至数十万)的影子应用被用户在典型的企业控制或认知之外来使用。例如，发现数以万计的不同的影子应用，包括数百万个安装和用户已在使用，包括在线分析处理(OLAP)应用中的许多应用，其中，用户授权OLAP应用(如云中的一个OLAP应用)以访问用户帐户中的某些数据或服务，例如联系人、驱动器上的文档等。普通企业的用户可以访问数百个、有时甚至数千个不同的未经批准的应用，并且有数百万个未经批准的安装。其中许多涉及不可信的供应商、过度访问企业或用户数据、或不当的应用。这些类型的影子应用以非出现的方式在企业网络之外运行。在这种情况下，企业数据和资源的安全性仅与云应用的安全性相当。已经有大量文件化的攻击，因为人们利用这些应用安全性的漏洞。同时，企业甚至可能不知道他们的用户正在使用这些应用。因此，需要发现影子IT使用情况，并在需要时阻止其使用。通过发现影子IT，企业还可以在某些策略和控制下，教育用户并对应用进行制裁。

本公开涉及CSF 100在诸如企业网络之类的用户网络上实现应用发现、监控和控制的能力，以及中的其它地方(例如在云中)使用的应用提供那些能力，如在本公开其它地方所描述的那样。本文公开的方法和***包括CSF 100为广泛的场景针对应用如何部署及其运行位置提供统一的可视性、监控和控制的能力，包括应用在企业网络上的情况，应用在云中或云之间进行交互的情况，以及应用涉及网络和云中的活动的情况。CSF 100的这种统一的监控和控制能力在本文中被称为“统一应用防火墙”，“统一AFW”，“AFW平台”或简称AFW300。在实施例中，统一AFW可以包括CSF 100的一个或多个服务，例如，应用防火墙服务148。

除了其它好处之外，这里描述的方法和***解决了企业对其用户使用的IT资源(包括影子IT)具有可见性的需求。统一AFW方法和***可以允许企业了解哪些应用和其它资源正被使用(在云端和企业网络中)，识别制裁某些应用的机会，整合这些应用的使用情况，和管理这些应用的策略和用法，以及阻止应用中或与应用相关的风险应用或风险活动。

通过在企业在不同环境和不同平台上使用的不同应用间提供统一的视图等，对CSF 100的使用可以允许对企业使用的“影子IT”的快速评估报告。CSF 100的AFW能力还可以提供阻止对某些应用和/或应用的某些操作的使用的能力，例如上传或下载文件。

如图27所示，企业用户2704可以访问诸如Evernote^TM 2702之类的应用。用户2704可以在企业网络2706上，诸如在防火墙2708之后，并且在一些情况下，访问可以涉及代理服务器2710。企业可以跟踪企业网络上发生的应用访问和使用事件，例如文件上传和下载，并将这些事件转发到SIEM 2712。在某些情况下，用户2704可以通过云2714来访问应用2702，这可通过各种API 2718发生。在通过防火墙2708访问云2714的情况下，企业可以具有记录关于对应用2702的访问的信息的各种日志2720，并且日志2720可以为SIEM 2712提供信息源。API 2718和日志2720还可以提供CSF 100的信息源，因为它根据在本公开内容中描述的各种能力来收集数据。在某些情况下，用户2704可以从不在受管理的企业网络2706上的设备访问应用2702，使得企业可能不能通过与对企业的受管理的网络的跟踪使用相关联的相同API 2718和日志2720访问完整的使用信息，因为应用和相关流量没有遍历该网络。这可以通过家庭计算机，笔记本电脑或移动设备上的浏览器或者通过其它设施2722进行，并且可以由用户进行，或者可以由程序或机器(诸如物联网(IoT)设备)完成。关于这些类型的访问的信息可以在处理设备访问的其它设施中被跟踪，例如云平台2714内的跟踪设施，实现不使用云的应用的PaaS/IaaS设施2714，移动设备管理设施，内容传送网络(CDN)，身份管理***，单点登录***(SSO)等，其中每一个可以通过向其一个或多个服务馈送信息或通过使用API来向CSF 100提供信息，CSF 100可以根据贯穿本公开描述的各种实施例进行检查该API。此外，诸如云SWG^TM或云DNS服务的云服务可以提供所请求的数据流，例如通过提供镜像在某些网络或设备的某些部分上发生的流量的端口，这些端口在一些案例为“水龙头(tap)”。因此，为了提供用户2704对应用2702的使用的统一视图，需要知道比仅通过查看日志2720或仅通过查看云2714中的活动可以获得的更多信息。

参考图28，过程2800可以包括如下一系列步骤：使得能够开发每个应用的使用情况的统一视图，进而是由企业的用户使用的应用情况的整体集合。在步骤2802，CSF 100可以使得能够收集各种事件，诸如来自日志2720，API 2718，来自SIEM 2712的事件的公布，云2714中的服务器以及其它API，使得能够访问应用或报告应用的使用情况的各种设施日志和跟踪***，如上面结合图27所述。这可能包括收集和形成各种格式的消息，如http消息。在步骤2804，CSF 100可以使得能够对所收集的信息进行过滤。例如，企业可能没有兴趣跟踪某些类型的资源(例如来自广告网络的广告)的使用情况，并且可以过滤出广告网络的已知目的地。在实施例中，过程2800可以可选地使得能够从API、日志或跟踪***等中混淆、标记和/或加密某些内容，使得数据可以以除明文之外的形式被存储。

可以在收集步骤2802中使用各种扫描策略，其可以根据所扫描的环境(例如云平台)而变化。对于像Google^TM这样的平台，在某些情况下，该过程可能会使用目录API和令牌API以及OAuth审核报告进行基本级别的扫描。对于像Salesforce^TM等平台，过程2802可以使用称为AppMenultem或OAuth令牌(例如，来自API v32)的设施来获得更丰富的信息。对于像Dropbox for Business^TM这样的环境，处理2802可以使用事件日志(其可以基于API，例如“安装”和“撤销”事件)。在其它情况下，例如基于对特定类型的事件或与具体定义类型的活动相关的数据馈送的订阅，环境可以将数据推送到过程2800。

在步骤2808，可以以各种方式丰富从各种来源收集的信息，例如通过将数据格式化为通用格式以进一步操纵，清理数据(例如通过重复数据删除，开发中的相同应用的一致标识符，以及对在不同协议中呈现不同的信息进行归一化)，针对应用分组数据(例如通过对用于访问不同域中的同一应用的不同URL进行分组)，对发现应用的域进行分类(例如，分为诸如娱乐，社交媒体，游戏，文件管理等类别)，组织和添加关于应用的细节(例如应用的描述及其属性和/或关于应用的供应商的信息)，收集和组织关于应用或应用供应商的质量的数据(例如，基于第三方环境中标识的评级，基于应用的属性的评级，基于供应商的评级等)，并提供应用范围的指示符(例如其能力的简档，风险特征或能力的简档，应用的位置的简档，和/或部署应用的平台的简档)。在实施例中，可以通过使用API来实现丰富，包括针对各种其它***(包括网络安全供应商的其它***)通过API获得用于丰富的数据。步骤2808包括开发应用目录和相关联的URL。在没有用于访问每个应用的各种URL的关联的情况下，可以开发出已发现的所有应用的列表，但对每个应用的统一理解要更加难以开发，因为使用细节可能会跨所访问的不同目标而碎裂。

因此，可以通过各种来源收集(2802)关于应用的其它数据，来收集关于在收集步骤2802中获得的应用的各种信息。在步骤2810中，信息可以以各种方式被报告，例如通过应用(例如提供关于从应用上载和从应用下载的信息，使用频率等)和用户(例如指示哪些用户已经从应用进行了多少上传或下载)。确定用户信息可能涉及与步骤2808中开发的应用目录的集成，以便可以跨不同的URL和跨用户用来访问应用的不同设备来观察用户。这可以进一步包括访问关于用户身份的信息，例如当在不同的环境(诸如不同的云或PaaS/IaaS环境)中访问应用时链接可与同一用户相关联的各种用户名。收集步骤2802可以在各种云环境和平台上进行，例如所提供的Dropbox^TM，Google^TM，SalesForce^TM等。在实施例中，集合是地理感知的，使得可以通过地理来理解应用的使用情况，例如通过识别用于访问应用的已知位置的IP地址，或者通过使用从蜂窝网络信息获得的移动设备位置，从Wifi接入点的位置目录或其它技术获得的移动设备位置。

可以使用上述步骤中所收集和组织的信息来在单个应用的上下文中(例如，识别具有不寻常的上传或下载数量的用户，或通过识别正在使用特定应用远远超过其它用户的用户)以及跨应用(例如通过识别与其它类似企业相比异常的应用类型的使用模式)识别异常。收集的关于应用使用的信息可以与在AFW-208步骤收集和组织的其它信息一起使用，以提供关于应用的各种指标，例如针对应用的整体评分(例如，风险评分或信任评级)或应用的特定属性的分数(例如其供应商的声誉，创建数据泄露的风险级别，使黑客能够利用漏洞的风险等级等)。各种应用的总体评分或构成因素可用于基准测试的目的来使用，例如帮助企业了解相对于其它类似企业在使用特定应用，一类应用或应用方面的风险级别或者企业内的哪些用户正在使用风险应用，或者在企业内的其它用户或使用CSF 100的企业中的其它用户与应用之间进行风险行为。通过在许多应用和平台上收集许多企业的信息，CSF 100可以简单地通过观察单个应用，用户或企业的信息，为应用及其用户提供更完整的视图。

图29描绘了实现统一AFW的功能组件和功能平台300，用于与CSF100连接。目标是提供应用索引2912，其可以收集可以使用或产生社区信任评级2914，风险评级2930或其它度量，评级或评分(参见图28)所描述的各种类型的信息，对于在企业的用户操作的各种环境中发现的每个应用，其可以是与特定属性相关的总分或组分得分)。

AFW平台300可以发现云应用2902，例如通过连接，获得令牌列表，以及经由收集设备2952发现应用，收集设备2952可以使用在整个本公开中结合CSF 100描述的各种能力，包括收集来自日志和API，以及从各种来源获取信息。例如，发现云应用的一种方法是通过与指示云使用的日志(例如Checkpoint^TM)进行集成，Checkpoint^TM在实施例中可以启用收集设备2958和zscale^TM日志，这可以使收集设备2962可用于可以发现并且可以使用用于数据收集的相似范围的选项以及来自其它(例如安全性)服务2908(诸如诸如Akamai^TM的CDN服务，诸如指示网络上的应用的DynDNS^TM的DNS服务，像Airwatch^TM这样的服务，包括有关设备使用情况的信息(例如，移动设备使用情况)以及管理用户身份的Okta^TM等服务，并且还提供有关正在使用哪些应用的信息。可以检查与应用交互的各种服务，日志应用活动，管理对应用的访问等信息，以指示正在使用应用的信息。来自云应用2902的数据可以由过滤设备2954过滤，并且来自另一服务2908的数据可以由过滤设备2964过滤。

也可以经由收集设备2958收集数据并通过过滤进行过滤用于在企业网络2904(包括非云应用)上运行的应用的设备2960。这可以包括收集关于这样的应用的内部部署策略和防火墙规则的信息，这些应用可以被存储在统一的AFW平台300中的应用中，诸如以后用于其它上下文中的应用(例如，外部场所使用(包括云使用)相同或相似的应用。

因此，AFW平台300可以从各种服务和平台收集指示应用使用的所有信息，并且过滤出不需要的信息。一旦过滤，信息可以存储在统一的AFW存储2910中，提供统一的应用使用模型所需的数据(包括特定应用如何在不同的网络和平台上使用，以及有关应用的信息)用过的)。在实施例中，对于特定应用，统一信息存储器2910可以存储应用的各种属性，诸如应用具有网络存在，可以在各种环境或各种PaaS/IaaS平台，应用如何连接到第三方应用或资源，应用启用什么类型的访问以及应用的其它功能和属性。

通过这种统一的观点，AFW平台300的方法和***允许创建应用索引2912，其中AFW可以对应用2922进行分类(例如通过主题，通过属性2924(提供它的供应商，市场评论)它)和许多其它如本文所述和本来所述本领域的普通技术人员理解)。可搜索的应用索引2912可以利用各种输入，例如社区信任评级2914和诸如网络扫描，诸如由Checkpoint^TM等提供的索引的第三方评级来源以及人类研究的其它输入2918以及任何其它可用的分类类型分类可以是自动的和/或动态的(例如通过跟踪应用的访问范围)，并且可以通过人类分类和来自其它来源的分类信息，如网络安全社区。分类可以包括观察应用的行为，使得执行增加风险的动作的应用可能被分类为恶意的。应用也可以使用蜜罐技术进行分类，其中允许应用访问安全区域(例如，无法访问真实企业数据的用户)，可以观察其行为并将其风险评估为分类的一部分。索引2912可以包括可以访问应用的目的地的映射2928，诸如云环境2902中的URL，企业网络2904上的网络地址(例如，IP地址)以及各种服务2908访问的地址应用。在很多情况下，一个地址并不清楚应用是什么，还是什么地址真的是。例如，它可能是像“dfb/docx/appl”这样的字符串。“映射设备2928可以用于将用于访问应用的字符串映射到真实的(例如，在Dropbox域上访问的特定应用)。映射设备2928允许将各种标识符映射到应用，使得它们都可以被显示为与一个应用相关。在实施例中，这样的信息的映射可以是自动化的，例如通过提供可以由人类输入辅助的自然语言处理，例如通过训练机器学***台上)与相同的应用相关联。在实施例中，自动分类引擎可以用于对应用进行分类，例如基于可以从网络和云环境(例如URL，属性和类别)自动提取的特征。在实施例中，用户可以直接更新应用索引2912，例如通过指示已经基于应用的实际经验获得的信息。例如，如果企业的安全人员或其它用户已经确认该应用对于企业是安全的，则社区不被广泛信任的应用(因为它是新的)可以被升级到改进的风险评分。

应用索引2912可以用于提供简单的信息，诸如收集指示从企业的受管网络访问Web应用的信息。这可以指示应用的使用，应用的分类(例如按类别)，风险等级和用户的使用(或者如果不与用户名相关联的IP地址)。

应用索引2912还可以为应用提供诸如风险评级的度量2930，其可以是与特定风险类别相关的总分或一组组件分数。

有各种因素有助于确定风险评级2930或针对应用的类似度量。一组因素可能是动态的，例如在给定时间点解释应用的访问范围(例如应用是否访问敏感数据，应用是否上传数据等)。另一组因素涉及社区信任申请的程度。可以提供社区信任评级2914，其可以表示关于应用的聚合(例如，人群来源的)信息，诸如应用是否被其它企业信任，该应用是否被其它企业禁止等。社区信任评级(CTR)2914可能适用于在企业网络上访问的云应用和应用。由于CSF 100可以部署在许多企业和平台上，并且可以从所有企业和平台部署信息，并且可以提供所需的数据，以便开发可以使用这些企业和环境的可信任应用的整体视图。提供整体社区信任评级2914。例如，信托评级2914可以基于信任申请的企业的百分比，以及禁止申请的企业的百分比，在每种情况下都可以根据有助于评级的企业的规模来加权。可以使用各种方法来实现社区信任评级2914的使用。点击率优选地将具有与公司部门，大小等相关的领域，并且将提供关于评级的原因的可见性。在实施例中，数据可以被匿名化。AFW平台300可以包括背景中的作业，诸如“CTR同步”作业，以使CTR设施2914与另一***保持同步，诸如用户或应用的任何其它***跟踪活动。该作业可以通过API使用各种实例数据，例如基于基线和三角形。该工作可以将事件馈送到AFW平台300，例如进入数据库或其它数据存储设施。第二份工作可以从AFW平台300数据库获取分类事件，并执行CTR结论。在实施例中，可以向另一***的实例提供反馈。可能针对各种情况(如政府与普通客户)开发类似的API。

还可以提供其它输入2918，例如来自第三方的评分或得分来源，这可能有助于2930的风险等级。来自应用属性的信息也可以有助于得分；例如，访问用户联系人数据的社交网络类别中的应用通常被认为比主要企业软件供应商提供的生产力应用更为风险，反之亦然。另一个例子，来自第三方***(如查找云应用的Checkpoint^TM)的信息可用于丰富有关应用的数据。这样的信息可以通过API到第三方***，或通过扫描由这样的第三方***提供的报告(例如，.pdf)来获得。此外，可以从主要关注确定提供者的声誉的第三方***或来源获得信息。

最终，可以开发一种算法，考虑到所有这些因素，为应用提供总体风险评分，和/或与特定类型的风险相关的一组分量分数。该算法可以随着时间的推移而改进，例如通过机器学习设施，基于反馈，例如提供关于使用CSF 100的企业遇到的实际体验的信息。

在实施例中，可能希望调整索引2912，例如说明各种因素的重要性例如，来自大型企业的评级可能比来自个体用户的权重更大。另一方面，已经提供了大量评级的企业中来自额外用户的增量输入可能会减少重量。可以使用各种统计技术来帮助提供用于对应用进行评估的输入的归一化，以及自动化技术，例如使用基于学习的机器学习(其可以通过来自人类评估者或分类器的输入来辅助)。

CSF 100访问部署在云中的应用的整体视图PaaS/IaaS平台，SaaS应用和网络应用可以提供对许多不同类型企业的大量应用的可见性，从而提供对应用使用情况和相关风险的更全面的了解，而不是只能通过查看个人应用获得。这包括在云中和云之间相互交互的应用(和风险)的行为，而不仅仅是应用在企业网络上的行为。可以在应用索引2912中考虑各种属性，包括应用属性(描述，供应商，信誉)，分类，URL目的地映射以及风险分类和评级/评分。

AFW平台300可以包括允许人员工作水平的管理界面2920，例如允许管理员注意知名的可靠供应商或应用。为了获得输入2918，AFW平台300可以以编程方式扫描应用审查的各种市场，并收集评论和评级。信息的编程收集可能是可取的，因为由于独特应用的数量超过十万，所以依靠手工分类属性或手动评估风险的方法是非常困难的，例如供应商使用的手动风险评分方法，以适应应用的扩散。

与CSF 100的其它服务一样，可以为可搜索应用索引2912提供API2932。API 2932可以用于访问由AFW平台300收集的总分或其它信息，以及可以使用由AFW平台300收集并由应用创建的信息生成的附加报告(包括可视化)指数2912。可以提供与应用2940的使用相关的报告和可视化设备2950，其涉及用户行为2942并且涉及风险2944。报告可能包括提供可以纳入其它报告(包括离线开发的报告)的Feed或批次数据，以及通过API报告相关信息，包括自动报告。报告还可以在应用或环境中显示相关统计信息或信息，例如提供分类和附加属性。还可以通过提供连接器来实现报告，例如中继事件报告，风险信息或其它信息，以便信息可以由或在各种第三方环境中使用。

AFW平台300还可以包括管理和部署策略和动作2948的能力，诸如允许用户定义规则2934的准则和定义响应动作2938，诸如阻止被发现提供对敏感数据的访问的应用企业的资源，阻止应用的过度使用，或阻止具有差的风险评分或社区信任等级的应用等。策略和行动处理2948可以与其它***集成，例如由Checkpoint^TM提供的安全***或由Cisco^TM提供的防火墙使用由AFW平台300收集的信息，包括在应用索引2912中，例如在其它***中调用操作(例如阻止可疑的恶意软件穿过防火墙)。因此，AFW平台300不仅可以使得应用的分类和风险的报告，而且主动修复，例如通过自动阻止对高风险应用的访问，自动实现增加的安全措施(例如，要求更高级别或更频繁的认证)用于高风险用户，高风险用户的自动化教育等。这可以结合本说明书中描述的CSF 100的其它功能来完成。

可以通过诸如存储在基于云的代码中来实现AFW平台300存储库(例如，标记为“csf_afw”等)，其是启用CSF 100的各种服务的代码库的一部分或与之相关联。可以为每个重要的云平台开发不同的存储库。代码库可以包括为API和其它功能组件启用代码，包括用于配置，版本控制和迁移的代码。由AFW平台300收集，使用和生成的数据可以存储在各种类型的数据存储资源中，诸如一个或多个关系数据库，面向对象的数据库或其它数据存储库。这可能包括PostgresSQL^TM，SQLAlchemy ORM^TM等。可以使用不同的模式来解决不同的用例，例如用于启用不同类型的安全解决方案。

为了能够与CSF 100的核心能力进行交互，AFW平台300可以具有各种组件和服务，诸如预定工作登记服务；许可服务(授予许可证/核实许可证是否已被许可并提供许可证(用于预定工作))；策略引擎(例如允许***将AFW实体发送到策略引擎进行评估和处理AFW具体标准)；实体服务(例如将应用的每个安装建模为实体；范围服务(例如获取用户列表(例如，可能依赖于组织配置文件作业的Google^TM平台))；缓存服务；OAuth服务；以及入职服务。存在将应用的安装建模为实体的各种可能的方法，如图32所示。这些包括具有用于应用领域的具有额外元素的实体模型，具有统一的应用安装实体，或者将应用安装实体存储在AFW平台300中，并具有到CSF 100的核心中的实体的映射。图33描绘了可以在本文公开的方法和***的实体模型中使用的多个对象类型和相关属性。可以使用服务来保存实体，并且可以使用服务来保存范围，诸如在用户扫描期间。可以开发用于策略引擎的各种标准，并且可以用于触发各种响应动作。策略可以考虑到优先事项，例如优先考虑某些标准或响应行动，例如可能需要干预的可能事件。标准可能包括与评估范围(例如应用允许的访问范围的程度)相关的标准，与社区信任评级(包括评级原因)相关的标准，与所有权标准相关的标准(例如，用户，由用户，由管理员，组织单位(OU)或组合)以及特定应用的明确标准(例如与单个应用或应用列表相关)。响应动作可能包括撤销访问，分类应用，提供通知，提供教育等。引擎可以启用白名单策略，其中企业指示允许哪些应用(并且不允许其它应用)，黑名单策略(允许特定应用)以及冲突策略(例如在AFW平台300中更快地表达潜在冲突))。例如，当相同的项目在白名单和黑名单上时，可能会发生冲突情况，并且可以在实施例中通过在默认情况下给予黑名单策略的优先级，或者通过表现冲突来进行手动解析来寻址。在实施例中，分类可以包括结果(手动或自动)，但不能用作标准。当管理员对应用进行分类时，在实施例中，这可能导致应用和相关匹配标准被自动转换为策略，使得管理员不一定需要在策略引擎中单独配置策略或设置新规则除了进行分类。

图30提供了可由报告和可视化设备2950产生的可视化的示例，以指示在给定情况下由AFW平台300发现的不同类型的应用，例如提供什么应用的感觉一组企业用户正在使用不同的类别。图30显示了一个示例企业的用户在社交中使用的应用通讯类别3002。图30显示了企业3004使用的业务生产率应用。图30示出了示例企业3006的用户使用的其它应用(诸如游戏，娱乐和其它非生产力应用)。在每种情况下，可视化可以使用诸如尺寸(例如，图30中的圆的相对大小)，视觉元素的不透明度，颜色和定位等属性，使观众能够快速了解企业内的应用使用情况，整体或类别。例如，图30中的可视化查看器可以快速查看许多使用用户在Youtube^TM，Grooveshark^TM和Airbnb^TM3006上花费时间。这些可视化可以利用图28的丰富步骤2808中的信息，例如基于应用的描述或其它属性将应用放入一个或多个类别的信息。

参考图31，诸如包括用于报告应用的安全性的仪表板的单独***3102可以与CSF100集成，例如由CSF 100的主机或由Checkpoint^TM的供应商单独提供的，包括AFW平台300，例如通过API 3132。这种集成可以为第三方***3102提供关于企业用户使用云和网络应用的信息的更多统一性，简化报告和可视化的生成，并为AFW平台提供增强的应用目录300和第三方***3102。用于集成解决方案的信息可以使用在本公开内容中描述的各种技术来获得软件，例如从诸如由Splunk^TM和其它人提供的SIEM获得的信息以及可以访问有关云中使用的信息的其它服务获取信息，例如DNS***，SSO***，CDN***，MDM***，VPN***，SDNW***等。

图34示出了报告3402的示例，其提供在应用索引2912中收集的信息，包括与针对每个应用确定的与风险等级2930有关的信息。该信息表明企业发现的应用总数中的高风险应用和中等风险应用的数量，每个应用的百分比，高风险和中等风险应用的名称以及用户的数量使用每个高风险和中等风险的应用。报告3402提供了对企业风险领域的良好总体评估。

图39示出了提供云分解的报告3902的示例企业根据风险水平使用的应用。它显示了发现的应用，访问发现的每个应用的请求数量，应用使用所涉及的流量以及应用的风险分数。报告还显示了概率或预测分数，这可能表明企业用户实际安装了应用的概率，应用的使用概率会产生问题等。概率或预测分数可能与特定企业情况下的应用的基本风险评分不同，例如因为应用涉及大量访问请求(如报告中的LastPass^TM的情况)3902)，或者应用的流量较多(如报告3902中的Slack^TM)。在不完整信息可用的情况下，例如用户不完全允许监视所有应用的情况，概率或预测分数可能是有用的。该分数可以基于在CSF 100的各种服务中收集的信息，诸如信息指示用户正在连接到一个环境中的应用，其可以支持如果在另一环境中发现应用的推断，则存在增加应用使用的机会，即使没有直接数据来指示是否是这种情况。该报告还可以显示最具风险的应用和用户，并为用户提供特定的IP地址，以便企业可以进行干预，例如通过教育用户，阻止对特定应用的访问等。

图40示出了一旦报告4002可以使用在应用索引2912中被收集的信息而被生成的报告4002的一个例子，一旦应用被识别，并且对它们中的每一个执行风险级别2930。报告4002显示已安装并正在使用云应用的前5名最具风险的用户，用户由唯一的IP地址标识。报告显示了每个用户按高，中，低风险使用的应用细目，根据每种应用的风险等级2930。

图41示出了提供业务细目的报告4102的示例被认定为具有高风险或中等风险的企业用户使用的应用的吞吐量。该报告根据应用类别显示访问请求的数量，以及涉及每个应用使用情况的流量细分，作为总流量的一部分。这提供了一个很好的意义，即企业可能会面临数据泄露的风险(因为大量的流量可能与上传大批文件(可能包含敏感信息)相关联)，以及企业可能在浪费资金(如在某些情况下，流量可能涉及过多的数据使用费用，例如在移动设备上使用时)。

应该注意的是，虽然图34,39和40所示的报告提到了云应用，但是可以提供综合报告，报告云应用的使用情况和企业网络上的应用的使用情况。例如，用于上传大量数据的网络上应用可以被标记为具有风险，并以与图34、39和40中的演示相似的方式与其它应用一起呈现。

在实施例中，AFW平台300的各种特征和服务可以通过可能符合RESTFul的各种API来访问。可以提供支持以进行过滤，分页，模式验证，资源缓存，版本控制，层分离和其它功能。在实施例中，客户端可以透明地访问AFW平台300，例如通过代理。因此，AFW平台300可以采用“API First”方法，围绕添加文档的API框架(public)支持丰富的生态***等。由于AFW平台300可以单独安装以添加其自己的端点，所以可以使用Flask^TM作为单独的API服务器，并且使用Flask RESTful^TM包作为AFW平台300的REST层的基础。终点可能包括以下示例：1)/app，可用于基于过滤器检索应用安装；2)/app？计数，可用于检索基于过滤器的应用安装计数；3)/app？agg＝app，可用于基于摘要分类框的过滤器检索聚合应用；和4)/app/agg＝install，可用于检索汇总安装。在实施例中，AFW平台300可以分开安装。用于AFW平台300的平台的前端可以存储在独立的存储库中。可以使用基于插件的架构。

在实施例中，可以在不访问API的情况下获得数据，例如通过摄取日志，例如来自诸如Checkpoint^TM的***。AFW平台300可以导出日志作为快照分析。在实施例中，可以启用数据的连续流。数据来源可能包括基于云的应用，如Zscaler^TM，可以通过API访问数据，以及Splunk^TM等内部应用，可以通过API提供各种格式的事件。

在实施例中，可以提供预测或概率分数。即使企业在企业网络上没有安装AFW平台300的情况下，CSF 100可以例如基于多个企业的全局数据集来预测地说，给定企业的用户的概率很高正在安装特定应用(企业甚至安装AFW平台300之前)。

图42示出了影子IT报告4202的一部分的示例，其列出了云中及其网络上的企业的用户使用的一些应用，以及可从以下各项获得的各种类型的信息的子集：应用索引2912，例如应用的风险级别的指示(例如由风险等级2930确定)，访问风险(即，应用请求的访问级别，例如“完全数据访问”与访问有限数据或无数据)，每个应用的社区信任评级，应用类别，预测风险级别(可能反映应用被使用的概率)，除了常规使用之外的用户的概率允许访问企业资产(例如，基于OAuth)的应用等，以及社区信任评级，反过来又反映了应用被使用的可能性，该应用实际上是g无论应用是否管理用户数据，应用是否允许访问完整数据，应用是否可能涉及模拟，应用是否读取基本信息，应用是否访问受限数据，是否访问有限数据应用管理设备等。这允许更详细地分析各种应用为企业创建的风险的种类。类似于4202所示的报告可以是结合图28描述的过程的结果，并且它还可以涉及开发包括从其它索引获得的信息的复合索引，诸如手动由第三方执行的应用的分类，可以通过文件传输或通过使用提供对其它方的索引的访问的API来访问。因此，在实施例中，应用索引2912可以是包括从各种源获得的信息和各种数据收集，过滤和浓缩处理的复合索引。访问级别属性可以包括可能产生风险的应用的各种属性，例如：“访问联系人”，这意味着应用请求访问合同信息(可以被认为是中等风险属性)；“访问完整数据”，意味着应用要求对数据或文件进行完全访问(读/写)(可能被认为是高风险属性)；“访问受限数据”，意味着应用请求访问数据的有限部分(可以被认为是中等风险应用)；“访问付款信息”，意思是应用请求访问付款信息(可能被认为是高风险因素)；“模拟”意味着应用请求使用模拟来访问用户数据(可以被认为是中等或高风险属性)；“管理设备”，意味着应用请求来管理允许的设备(可以被认为是中等风险属性)；“管理用户数据”，这意味着应用请求来控制用户属性(可能被认为是高风险属性)；“读基本信息”，这意味着应用请求读取访问用户的基本标识信息(可以被认为是低或中等风险属性)；“读取数据”，意味着应用请求读取访问部分数据(可以被认为是中等风险属性)；“读取位置”，表示应用请求对用户位置的读取访问(可能被认为是中等风险)；“阅读个人信息”，意思是应用请求读取访问基本标识信息(可能被认为是低风险属性)；以及反映应用读取或访问用户，设备或企业数据的能力的应用的任何其它属性。

在实施例中，可以提供来自AFW平台300的报告以增加第三方平台提供或使用的信息，例如像Zscaler^TM这样的各方提供的安全网关。例如，由这样的平台提供的报告可以包括从应用索引2912获得的关于影子IT的细节，例如风险评级2930或社区信任评级2914。第三方平台可以通过AFW平台300的API 2932访问信息。或者，可以向第三方授予访问应用索引2912的权限。

在实施例中，应用索引2912的创建可以是自动化的与更常规的手工建设指数相比，使用技术，例如审查从网络刮刮技术获得的材料，人类评论者通过审查网页和类似材料中的应用的材料来获取有关应用的信息。在实施例中，软件代理或类似设施可以进入在线应用市场(例如，Google，Microsoft等)，并且刮取关于应用所在的位置的信息(例如，可以被访问的域)，它们的URL可以访问等，使得可以针对索引2912识别应用。代理还可以从其它域获取信息，例如应用的供应商和应用的描述等属性。在实施例中，自然语言处理(NLP)可以用于增加包含在索引2912中的应用上的信息。例如，可以从Web上的博客中介绍有关应用的说明，它所做的以及它属于哪个行业。然后，***可以从该文本中提取实体和信息，并在关于该应用的索引2912中增加信息。

与安全公司常规使用的手动方法相比，索引2912的自动化可以实现大量(例如，数万或更多)应用的分类。随着跟踪的应用的数量的增加，不仅能够扩展列表的创建，而且可以自动化表达其中最重要的内容(例如，贡献最多的属性)应用的风险)。

图43示出了一个实施例，其中关于应用的信息(在这种情况下可以在第三方环境或仪表板4302中报告诸如来自应用索引2912的Twitter^TM以及来自其它来源的关于应用的信息。

在实施例中，本文公开的方法和***可以包括与云安全结构相关联或作为云安全结构的一部分的一个或多个模块，用于提供加密服务，包括启用加密管理122，其可以包括启用选择性加密(其中用户只是企业作为一个整体)可以自行选择对云平台(例如CSF 100具有信息的云平台)中存储或共享的数据项的数据的控制。参考图35，如上所述，选择性加密3502可以允许企业或用户使一方提供能够访问，修改或共享某些所选数据的另一因素。例如，企业可以采用导致基于由本公开其它地方所指出的策略创建和自动化功能管理的上下文策略，内容策略或行为异常来自动加密某些类别的数据的策略和规则。选择性加密可能比传统的批发方法提供显着的优势，其中企业通常加密整个驱动器或加密跨越防火墙或安全隧道行进的所有流量。由于数据项目现在经常从云端存储或传输到远离企业网络的云端，企业无法对发送到云端的所有内容进行加密(在离开网络之前)。因此，能够帮助识别什么是敏感的并且使得用户能够选择性地应用加密(例如仅针对敏感信息)变得越来越重要。在实施例中，选择性加密3502可以从发现，分类和控制的过程中受益。因此，通过访问给定云平台(例如，Google Drive^TM)的API，CSF 100的用户(例如企业安全管理员)可以发现存储在云平台上的敏感信息，例如FERPA，PII，PCI，IP，HR数据，财务数据等。通过CSF 100的一组分类服务，如图9的分类服务体系结构所示，可以分类各种类型的存储内容，例如在企业用户使用的云平台上。如本公开其它地方所述的这样的分类服务可以涉及提取和分析存储的文档中的文本和其它内容，然后向CSF 100提供一组结果，或者通过CSF 100指示正在被存储的内容类型的可能性质在特定的云平台上使用或共享。例如，从文档提取的文本可以被馈送到内容分析器，其可以基于文本来得出结论，数据是敏感的。例如，以社会保险号码格式存在的数字与常见医学术语(例如，药物的名称)相结合可能表明数据应该被分类为患者的医疗记录。可以使用各种内容检查和分析服务来提供这种分类。基于分类，企业或用户可以控制某些信息，例如通过选择性地加密特定分类的项目，可选地不限制通过云平台可用的协作功能，例如与另一用户共享内容项的能力。在实施例中，选择性加密可以响应于CSF100的策略自动化引擎116，使得加密基于策略。例如，策略可以将其留给用户来决定是否加密特定类型的内容，同时它可以自动加密其它类型的内容，或者可以“隔离”敏感内容，直到用户加密或批准异常。如本公开的其它部分所述，这可以以集中式策略自动化引擎116的方式发生，该策略自动化引擎116发布关于以适用于不同应用的本机格式实现的加密的一致策略。因此，无论用户选择使用该数据的环境如何(或者在一些实施例中考虑到基于所述的数据的策略)，用户对加密的选项可以与数据类型一致关于用户的环境或环境，例如给定环境的感知安全性)。在实施例中，选择性加密为云平台的用户提供以人为中心的加密能力。选择性加密模块102本身在云平台中工作，而不会阻碍在云平台中启用的实时协作和编辑能力。在实施例中，CSF 100的分类服务连续地监视给定的云平台(例如，Google Drive^TM)，发现和分类本公开其它地方所述的潜在敏感信息。内置在监控中是一种灵活的***，用于向用户和管理员通报潜在风险并提供加密功能，而不需要额外的硬件开销。使用云文件共享平台创建和共享文件的用户可以根据CSF 100的类别通知某些内容项目(例如，似乎包含HIPPA数据的文件)的潜在敏感性，在这种情况下管理员的用户可以使用CSF 100的选择性加密服务将敏感项目添加基于密码的加密，或者作为附加控制的次要因素或辅助认证。用户仍然可以与他们共享密码的任何人安全地共享和协作，例如，如果使用了第二个因素或身份验证，则向CSF 100注册的任何人。因此，安全性得到鼓励和启用，但是在云平台内部和之外分享资料的能力并不受阻碍。因此，企业可以使用策略自动化引擎116和分类服务来在各种云平台上查找其用户的敏感和调节数据；要求，允许或鼓励用户加密数据；并允许用户在本地云平台界面内安全地共享和协作加密文档，而无需用户访问，安装或操作其它软件或硬件。

在实施例中，选择性加密有助于确保仅信任的外部用户合作伙伴，潜在客户和客户可以查看和共享敏感信息，可以防止意外过度共享，并可以强制保护免受离线数据访问权限传播的高度敏感信息。例如，如果使用客户端同步并且文件被加密，那么该文件现在将在端点上同步并加密，这将被配置为阻止离线访问。

在实施例中，选择性加密可以确保受损的证书集合不等同于敏感文件的受损集。在实施例中，选择性加密允许企业安全地启用第三方应用，而不会影响通过云平台发送的敏感数据。

选择性加密和CSF 100可以允许用户启用诸如此类的功能同步到云平台，同时避免重大的额外端点安全风险。选择性加密为保密业务数据提供额外的安全层次选项，例如并购规划文件，软件路线图，知识产权和财务记录。

在实施例中，由CSF 100启用的加密服务可以用于帮助隔离工作流程或使其更安全。例如，在给定的工作流程中，数据可以存储在各种领域中，其中一些适用于机密信息(例如，用于社会保险号码和其它PII的加密字段，信用***码，密码等)，以及其中一些是针对较不敏感的信息(如日期，非敏感数字等)。在实施例中，可以进行与工作流相关联的字段的检查，例如使用本文所述的内容检查和分类服务，以及被发现在未受保护的字段中的敏感数据可以被加密(在同一字段内)或从一个不受保护的领域，更安全，加密的领域。这可以自动进行，或者可以通知用户并提示采取行动以确保位置不正确的数据。在此工作流程中，敏感数据可以被隔离(例如，临时移动到***帐户并进行私有化)，同时用户通过电子邮件通知“智能”操作，提示用户查看敏感数据并进行加密。当用户确认提示时，则本实施例中的选择性加密引擎可以“恢复”并将数据以加密形式返回到原始字段，或者可以将数据移动到不同的加密字段。

在实施例中，诸如选择性加密的加密服务可以使用强加密协议，如强AES 256加密，有时表示为“军级”加密。这种加密水平可以帮助用户遵守有关保护敏感数据的某些规定，例如与患者数据有关的HIPAA规定，财务数据规定(例如，与信用***、姓名和CVV有关)以及与个人身份信息(PII)有关的规定。在实施例中，不需要安装客户端软件来使用选择性加密，因为选择性加密的能力可以被集成到诸如Google云的云资源中。选择性加密可允许加密广泛的内容类型，例如存储在云存储和应用(例如Google Drive、Box、Drop Box等)中的内容类型，例如图像、文档、.pdf文件和云原生内容项目(例如Google^TM文档)。在实施例中，可以共享加密文件。这样的文件可以具有加密的文件类型(例如.elk格式)，并且可以像基于云的共享环境(例如Google^TM Drive)中的其它文件类型一样被共享。例如，对于选择性加密的内容项目，可以享有“可编辑”和“仅查看”的共享权限。在实施例中，可以启用选择性加密，而无需CSF 100的主机访问密码；例如，正在使用CSF 100的企业的选择性加密管理员可以访问在他/她的域中加密的文件，而无需CSF 100的主机访问密码。在实施例中，可以对文件夹和批量操作启用选择性加密，使得可以针对多个内容项目同时执行和管理加密。

在实施例中，可以为对选择性加密文件的访问提供超时特征，使得当浏览器窗口关闭或浏览器会话结束时(例如由于检测到的网络故障)，文件访问自动结束。在实施例中，管理员可以通过调整组(例如Google^TM组)的设置来为一组用户启用选择性加密。

可以在对用户影响最小的各种云平台的本地用户界面中启用选择性加密3502。在实施例中，可以存在用户可以使用选择性加密3502的用户界面。参考图35，用于选择性加密3502的用户界面3504可以允许用户打开诸如Google之类的平台中的文档，以使用选择性加密3502作为选项来打开文档。在实施例中，可以提示用户设置密码，在这种情况下，文档将以加密的文件格式保存。因此，基于逐个文档的加密在用户的控制下，不需要比保存文件所需的更复杂的操作。在实施例中，为了打开文档，提示用户或另一用户输入由原始用户设置的密码。

在实施例中，一旦用户输入密码，就将用户直接带到该文件。当窗口关闭时，更改将自动重新加密。用户可以通过简单的操作来删除加密，例如点击“删除加密”按钮。

在实施例中，为了共享加密的文件，用户可以简单地选择将在诸如Google的云平台的文件***中共享的文件。在实施例中，用户可以通过云平台中的用户界面点击“共享”按钮并添加协作者。

在实施例中，用户还可以选择使用CSF 100的选择性加密3502作为默认加密方法。

在实施例中，默认打开加密文件可以在平台或文件***的“管理应用”菜单中完成。

参考图36，在实施例中，CSF 100可以具有启用或与选择性加密模块102及其服务交互以启用加密和/或解密的多个选择性加密API 3602。这些可以包括ID API 3604、加密API 3608、ACL API 3614、解密API 3612和密钥库API 3610。

ID API 3604可以将用户登录到或是选择性加密模块102、或是CSF架构100、或是CSF 100的主机的***等。ID API 3604可以作为认证的第二个因素，例如与登录到像Google^TM这样的云平台上的用户并行。ID API 100可以存储和访问足够的信息以识别CSF100的用户，其可以可选地包括将给定平台上的用户的ID映射到与主机、CSF 100等相关联的ID，以及存储用户的密码(或其散列值等)。因此，ID API 3604可以实现登录和密码管理方法。

在实施例中，除了密码之外或作为密码的替代，还可以使用其它因素与登录关联。在某些情况下可能希望避免要求用户登录到第二***。第二认证因素可以由CSF 100通过集成到特定平台130的能力或通过与客户控制的身份或诸如由Okta^TM提供的多因素认证(MFA)***集成来生成。

加密API 3608可以可选地使用特定于选择性加密模块102或特定于CSF 100或其主机的文件格式(例如“.elk”格式)来加密馈送给它的数据。从ID API 3604传入加密API3604的用户ID使得可以为该用户以及该用户的域管理员加密数据。因此，加密API 3608实现了加密数据和用户ID的方法。

ACL API 3614可以设置和管理用户和数据之间的关系。在每个关系中，可以指定控制该关系的参数，例如时间限制、用户可以与特定数据交互的次数，自定义密码关系等。ACL API 3614可以用于各种目的，例如安全共享、向组共享资源、重置密码以及让用户访问隔离文件，如上所述。当用户打开文档时，选择性加密模块102可以查看是否存在针对该关系设置的访问控制列表(ACL)。如果是，则可以遵循在所设置的规则(例如请求密码)。一旦通过ACL API 3614授予了访问权限，就可以通过以下描述的解密API 3612来访问信息。由ACL API 3614实现的方法可以包括添加ACL方法(用户ID、资源ID、参数)；查找ACL方法(ACL、用户ID、资源ID)，评估ACL方法(ACL ID、参数)和枚举ACL方法(用户令牌、资源ID)。

一旦从ACL API 3614授予访问权限，就可以使用令牌来解密使用解密API 3612的数据的有效载荷。由解密API 3612实现的方法包括解密数据方法(数据、ACL令牌)(例如在通过ACL访问数据时使用)和解密数据方法(数据、用户令牌)(例如在解密文件所有者数据时使用)。

密钥库API 3610可以在选择性加密模块102或CSF 100内运作以产生密钥并管理密钥(例如控制对密钥的访问)。密钥库API 3610可以充当与第三方和客户的密钥存储和密钥管理功能的集成点。此外，密钥服务器/密钥库API可以与客户管理的密钥库(例如通过网关、代理等)进行交互，这些密钥库例如是部署在公共云、私有云或客户的上述密钥库中的密钥库。

参考图37，提供了用于使用选择性加密模块102的API用于加密的流程的实施例的示例。用户可以使用选择性加密模块102的用户界面来加密文档，并且可以被提示通过IDAPI 3604登录。在输入选择性加密模块102或CSF 100的用户密码之后，获取文档的请求可以被传递到云平台(在图37的示例中，这是Google Drive^TM，但是它可以是任何平台)并且选择性加密模块102可以使用用户和/或组织的加密API 3608来加密文档。加密API 3608可以从密钥库API 3610获得用户和/或组织密钥，此后，选择性加密模块102可以将加密的文档保存到云平台。

参考图38，解密可以涉及从用户到选择性加密模块102的解密文档的请求，从而导致涉及ID API 3604的登录过程，随后是与ACL API 3614进行交互以确定用户是否有权访问所请求的资源。如果是，那么请求用户输入密码(这可能是针对ACL API 3614或者更一般地针对CSF 100)。当密码被ACL API 3614验证有效时，可以从云平台(例如，GoogleDrive^TM)请求文档，并且可以使用解密API 3612来解密文档(可选地针对用户密钥访问密钥库API 3610)。然后可以将解密的文档提供给用户。

再次参考图1，应用开发越来越多地发生在PaaS/IaaS环境138中，并且这种环境的安全性需要共享责任模型。在共享责任模型中，供应商愿意承担和提供的安全程度往往被高估了。例如，PaaS/IaaS环境138的提供者可以提供“云”的安全性。然而，使用由服务提供商提供的PaaS/IaaS环境138的客户可能必须提供“云”中的安全性。是客户而不是提供商最终对客户的用户在PaaS/IaaS环境138中做了什么、哪些数据存储在此环境中以及如何配置此环境负责。

平台即服务(PaaS)环境可以提供一个平台，允许客户开发、运行和管理应用，而不需要复杂地建立和维护通常与开发和启动应用相关联的基础架构。PaaS可以至少以两种方式提供：(1)作为来自提供商的公共云服务，其中用户控制软件部署和配置设置，提供商提供网络、服务器、存储设备和其它服务来托管用户的应用，以及(2)作为安装在私有数据中心或公共基础设施即服务中，并且由内部IT部门管理的软件。PaaS提供商可包括ActiveState、Anaplan、AppearlQ、Apprenda、AppScale、AWS、AWS Elastic Beanstalk、Cloud Foundry、CloudControl、Cloudera、Distelli、Corvisa、Engine Yard、Google AppEngine、Heroku，Hewlett Packard、IBM Bluemix、Jelastic、Microsoft Azure网站、Azure云服务、Azure移动服务、Mendix、OpenShift、Oracle、OutSystems、Pivotal软件、Progress软件、QlikView、Ragic、Red Hat、Rollbase、Salesforce.com、Tsuru(PaaS)、WaveMaker等。

基础架构即服务(laaS)是指可以将用户从诸如物理计算资源、位置、数据分区、扩展、安全性、备份等各种基础设施元素的细节抽象出来的在线服务，包括云服务。例如，虚拟机管理程序(如Xen、Oracle VirtualBox、KVM、VMware ESX/ESXi或Hyper-V)可以运行一个或多个虚拟机作为guest，云操作***中的虚拟机管理程序池可支持大量虚拟机，从而能够根据客户的不同需求上下调整服务。IaaS云可以提供额外的资源，例如虚拟机磁盘映像库、原始块存储、文件或对象存储、防火墙、负载平衡器、IP地址、虚拟局域网(VLAN)和软件包。IaaS提供商可包括Amazon Web Services、AT&T、Bluelock、CA科技、Cloudscaling、Datapipe、ENKI、Enomaly弹性计算平台，Eucalyptus Systems、GoGrid、Google计算平台、HP、IBM、Joyent、Layered科技、Logicworks、Microsoft Azure、Navisite/Time WarnerCable、OpSource、Oracle、Rackspace、Savvis、Terremark/Verizon等。

为了本公开的目的，PaaS和IaaS各自包括服务和资源集合允许用户(如企业)在云环境中开发、部署和运行应用，包括支持诸如员工之类的其它用户，其中许多重要功能发生在云中，而不是在企业网络或用户的台式电脑上。除上下文有不同指示，否则PaaS和IaaS针对本公开可被理解为可互换。

如图1所示，可以扩展在本公开中描述的CSF 100，以保护许多类型的应用，包括完全在云中开发和托管的应用，包括在PaaS/IaaS环境138中开发和托管的应用。保护可包括跟踪和报告PaaS/IaaS环境138中发生的事件，跟踪和报告用户行为，以及各种修复操作(例如发送警报、更改访问控制权限、阻止或暂停访问等)，包括任何在本公开中提及的补救操作。

CSF 100可以使用扩展框架和API 140来保护在PaaS和IaaS环境138中开发和托管的应用。该扩展框架和API 140可以是或包括CyberDev Pack 142。CyberDev Pack 142可以是或包括到PaaS/IaaS环境138上的服务的PaaS/IaaS连接器146。

该PaaS/IaaS连接器146可以将CSF 100服务的使用扩展到可在Paas/IaaS环境138中构建的应用。为了使能开发者，CSF 100可以通过连接器144提供对CSF 100的所有单独服务的打包访问。连接器144的使用可以允许开发者102使得核心CSF 100服务能够应用于可以在诸如Amazon Web Services^TM平台(AWS TM)之类的PaaS/IaaS环境138上开发和运行的应用。

在实施例中，CSF 100可以监视诸如AWS之类的环境138上的所有活动。监视像AWS这样的环境138上的所有活动可允许开发者102将与AWS之上的应用相关的一切部署为平台。当开发者创建应用时，CSF 100可被立即配置成检测由支持该应用的环境138记录的事件和数据。

例如，客户可以访问亚马逊的应用市场，并下载应用，例如Gladinet^TM，它允许用户在用户的AWS资源上“运行自己的Dropbox”。用户可以在几分钟内设置此应用。因为应用使用S3作为存储机制，所以CSF 100可以自动保护它，而不需要编码。CSF 100可以用于通过监视到S3的访问日志来监视内容。CSF 100可以监视用户活动。可以为每个Paas/IaaS环境138启用类似的功能。

在每个PaaS/IaaS环境138(例如像AWS这样的每个平台)上，企业可能希望监视在其上运行的应用。在许多环境138中(包括AWS平台)，应用可生成日志文件。Cloudwatch^TM是这类日志文件的日志聚合器。在实施例中，CSF 100可以提供与Cloudwatch^TM或类似日志聚合器的集成以监视各种环境138的应用日志。在实施例中，不需要日志聚合器；例如，CSF100的操作者可以提供关于应用日志驻留在给定平台或环境中的哪里的信息，并且可以从该位置获取信息。类似于如本文描述的CSF 100的各种实施例中所描述的监视如SalesForce^TM的SaaS应用，CSF 100可以使用针对在每个PaaS/IaaS环境138上运行的应用捕获的聚合应用日志。至于本文所述的其它API，可以在CSF 100和PaaS/IaaS环境138之间提供PaaS/IaaS连接器146，以提供对这种聚合日志信息的访问。

在实施例中，许多私有云实现被Openstack^TM平台支持。通过支持Openstack^TM平台，CSF 100可以监视和报告私有云以及公共云上的活动。

CSF 100也可以为Docker提供启动器。Docker可允许开发者102将具有应用的所有依赖关系的应用打包成标准化单元以用于软件开发。Docker容器可以在包含运行所需的一切(例如代码、运行时间、***工具和***库)的完整文件***中封装一个软件。

CSF 100可以支持并使应用的整个生命周期更加安全，从设计到编码，到测试、部署、运行、数据收集和日志。CSF 100可以为非常宽范围的环境提供支持。如果环境具有API或在PaaS/IaaS环境138上提供日志，则CSF 100可以能够获取数据并使用CSF 100的各种服务内的数据。

在许多情况下，SaaS应用可能没有基于事件的API。一些SaaS应用可能具有显示相对于应用发生的事件页面的屏幕。在实施例中，CSF 100可以具有执行这样的事件页面的屏幕刮擦以获得至少一些信息的服务，否则这些信息将经由API获得。

可以注意到，当CSF 100在PaaS/IaaS环境138的水平上运行时，如AWS，可能存在没有应用感知的情况，例如，如果CSF 100正在检查应用本身的API/资源则可以观察到的活动感知，与PaaS/IaaS环境138相反。在实施例中，CSF 100可以看到平台，并且可以使用CSF100来为应用映射资源。

CSF 100可以用于给应用一个名称，跟踪应用存在于指定位置，并为应用映射资源(如存储)，以便CSF 100可以通过观察PaaS/IaaS环境138的特定资源正在发生的情况来查看特定应用正在做什么，例如反映在上述事件日志中。PaaS/IaaS环境138中的元素可以在理解它们与可在PaaS/IaaS环境138上开发或运行的应用的关系的情况下被标记和观察。

例如，开发者可以指定Cloudwatch^TM或类似日志用于特定应用的位置，可以指定应用的存储资源(例如，S3存储区)等。一旦以这种方式映射，则CSF 100可以看到实际应用或针对实际应用的相关行为，就好像CSF 100正在检查应用的API/资源。

因此，这里提供了允许开发者映射PaaS/SaaS环境138中的哪些资源由开发者正使用的应用来使用的设施。在可能的情况下，CSF 100的操作者可以使CSF 100自动地发现应用资源，如果不可能，则操作者可以通过标签和类似活动之类的各种其它方式映射应用资源。

今天，像Azure^TM这样的PaaS/IaaS环境138中，安全管理员可以查看特权用户的管理活动的日志。在实施例中，CSF 100可以用于将安全性扩展到应用本身，而不仅仅是某些用户的活动。

CSF 100可以包括提供和实现以用户为中心的网络安全解决方案的能力，包括提供网络安全的关键区域和用例。例如，参考图44，用户4416可以访问帐户4402、应用4406和数据4410。CSF 100可以保护帐户4402免受安全漏洞，例如受损帐户4404。CSF 100还可以保护应用4406免受诸如云恶意软件4408的安全威胁。CSF 100还可以保护数据4410免受数据泄露4412安全事件的影响。CSF 100可以包括提供以用户为中心的安全性的附加能力，诸如合规能力4414和安全操作(在某些情况下称为“全管理(secops)”)和取证能力4416。这些附加功能还可以保护帐户4402、应用4406和数据4410免受安全事件的影响。因此，CSF 100可以提供统一的安全方法，其提供网络安全解决方案的每一个主要需求和用例。

参考图45，CSF 100应用越来越多地仅在云计算环境中开发和部署。正在越来越多地仅在基于云的计算环境中开发和部署的应用可包括核心SaaS应用4502、扩充SaaS应用4504、本地云应用4506、ISV云应用4508等。正在越来越多地仅在基于云的计算环境中开发和部署的应用包括购买和使用4512、建立4514和/或销售4516的应用。随着这些应用的开发和增长，许多用于可满足少量用户需求的专门用途，越来越难以逐个地来管理这种“长尾巴”的不太知名的应用。通过跟踪IaaS/PaaS环境的各种活动，CSF 100可以更容易地提供关于这些应用的覆盖。

CSF 100可以连接到SaaS、PaaS/IaaS和IDaaS应用来提供连续的安全洞察和控制流。通过利用以前不同数据集的能力，API 108可以跨平台和在整个组织中关联信息，以将深度和上下文添加到看似无害的事件和事故中。

网络安全考虑可能不限于组织购买的应用。网络安全考虑可能会扩展到用于内部使用而建立的应用事务。通过将CSF 100与定制的本土内部应用集成，技术专业人员可关闭环境中的安全缝隙，并监控与组织针对受制裁的SaaS应用所具有的可见性和控制级别相同的定制应用。

CSF 100可以允许通过基于API与CSF 100的各种安全服务的集成的方式将安全性内置到应用中。这可允许独立软件供应商(ISV)将产品推向市场，对应用的安全完整性有信心，而不会将焦点或资源转移到核心竞争力之外。

专注于防火墙后面甚至在防火墙边界的企业网络中发生的安全事件的传统方法可能会错过与用户4416、帐户4402、数据4410和PAAS 446相关的许多最相关的安全事件，如图44所示。CSF 100可以包括提供网络安全的关键区域的能力，如图44所示，其提供可被购买4512、构建4514或销售4516的核心SaaS应用4502、增强SaaS应用4504、本地云应用4506、ISV云应用4508等。

现在参考图46，随着应用越来越多地仅在基于云的计算环境中被开发和部署，责任界限可在购买4602、构建4604和销售4606场景之间转移。云服务提供商可以实施和操作的安全措施可以称为云的安全性。客户实施和运行的，与客户内容、使用和应用的安全性相关的安全措施可被称为云中的安全性。

例如，利用IaaS可将一些较低级别的责任转移到IaaS供应商4608。较低级别的责任可包括虚拟化、存储、RDBMS 4610、联网4612和物理基础架构4614。向企业客户4616销售SaaS服务可能会引入企业客户责任领域。客户责任领域可以包括客户数据4618和访问控制和威胁管理4620。

CSF 100可以保护可在PaaS部署或IaaS部署中构建的应用免受安全事件的影响。例如，可构建在PaaS和IaaS部署中的应用可能比传统的基于企业预置的应用部署环境中构建的应用部署越来越容易受到更广泛的安全事件的影响。

还可以理解，因为可以在PaaS部署或IaaS部署中构建的应用可为来自多个客户的多个用户提供服务，因此应用易受攻击的安全事件可能会比威胁企业预置的应用部署环境的安全事件影响更多的用户和客户。

在示例中并且参考图47，IaaS帐户4726可以包括通常不存在于基于企业预置的应用部署中的组件，例如软件堆栈/服务器和应用4718，虚拟化服务器4720，网络和防火墙4722以及云存储4724。软件堆栈/服务器和应用4718可能容易受到不利的安全事件的影响，例如帐户泄漏4702和云端恶意软件4716安全事件。网络设备和防火墙4722可以记录并产生需要SecOps和取证组4704进行评估的各种事件。云存储4724可能需要针对遵守4714各种规则和规定进行估价，并且可能容易受到数据泄露4712等安全隐患的影响。此外，在某些情况下，可能存在在应用级提供附加对象上下文的信息(例如，表示与外部用户共享对象的ACL)。在许多情况下，可以配置CSF 100(诸如在配置接口和/或资源映射活动中)以理解用于提供这种上下文的模式。或者，诸如使用CSF 100的开发者API的应用开发者可以以编程方式丰富为正在开发的应用所处理的对象提供的对象上下文信息。

IaaS帐户4726还可以包括通常存在于SaaS中或基于企业预置的应用部署上的组件，例如身份和访问管理4706、API 4708和配置4710。访问管理4706还可能易受帐户泄密安全事件4702的影响。API也可能容易受到云恶意软件安全事件4716的攻击。配置D-10可能需要通过安全操作(“secops”)和取证组4704进行工作。

从该示例可以理解，PaaS/IaaS环境138中的应用可能比建立在传统的基于企业预置的应用部署环境中的应用部署更容易受到更广泛的安全事件的影响，并且CSF 100可以保护这样的应用免受这类更广泛的安全事件的影响，以及提供操作和取证功能，例如配置、报告和合规性。

CSF 100可以包括可用于支持开发者开发应用4802的能力。应用可以是可在PaaS/IaaS环境138中构建或运行的云本地应用。可以用于支持开发者开发应用4802的CSF 100的能力可以通过CSF 100提供的服务来实现，并且可以通过用于每个服务的单独的API或者通过Cyber dev包来使开发者可访问。

参考图48，可用于支持开发者开发应用的功能可包括内容分类服务146、用户行为分析150、策略自动化116、中央审核118、事件管理120、加密管理122、安全分析124、应用防火墙148和配置安全性152服务等。这些服务可以被单独访问，或通过开发者API 102(包括网络开发者API 142)成组访问，以及按照适用于嵌入特定类型解决方案的特定能力的包(包括网络开发包142)访问。

可以一个接一个地使用或组合使用的CSF 100的能力来支持开发者开发云平台的应用。例如，在各种云应用开发环境4804中或者在软件开发生命周期(SDLC)4810期间开发和管理SaaS应用的***中可能发生这种云应用的开发。一旦开发，可以部署、配置、提供和管理云应用，例如使用特定环境138的控制台4808，例如用于IaaS^TM的AWS控制台。CSF 100的服务可以一个接一个地或组合地提供作为由开发者打包或部署用于开发定制云应用的服务(包括使用CSF 100的网络开发者APIS 142或其它开发者API 102)，其可以使得这样的应用能够嵌入来自CSF 100的服务和/或与CSF 100集成。帮助开发者在云平台开发环境4804中嵌入CSF的服务或以其它方式访问或与CSF 100的服务集成以使能应用的服务的服务包，在某些情况下称为开发包或网络开发包142。CSF 100的其它功能包括可用于保护控制台4808、SDLC环境4810或其它环境的CSF 100的服务的各种API，例如用于配置与应用的管理、供应、配置等相关的服务，例如在应用于IaaS/Paas环境138上运行的期间。IaaS的服务和软件包可包括诸如UBA策略(例如针对特定形式如AWS)、存储资源(例如S3)存储区扫描、访问日志访问(例如S3日志)和整体平台集成等特征。用于定制应用或开发包的CSF 100功能可以包括诸如应用感知(可以通过应用和/或应用资源标记的自动发现提供)、应用日志(例如，通过CloudWatch^TM，日志聚合器)、以及附加平台或环境138的和感知和日志记录之类的特征。附加平台或环境138可以包括Force.com^TM、Azure^TM、OpenStack^TM、Heroku^TM等。CSF 100的安全服务API可以包括诸如数据扫描API、加密API和UBA API等特征。安全的SaaS SDLC服务可包括由开发环境提供商(如GitHub^TM、Slack^TM、Hipchat^TM、Bitbucket^TM、Confluence^TM、JIRA^TM)实现开发者服务、特征和资源，以及开箱即用(“OOTB”)开发策略和响应动作。其它特征可包括应用感知、EC2日志记录(例如针对UBA)、打包和装载以及密钥管理(如针对每个平台)。在实施例中，将安全性从生产中应用的使用扩展到在应用的生命周期的其它阶段，例如在设计和开发期间以及在运行时。例如，开发者(如github^TM)用于存储代码文件的资源可在软件设计过程中扫描敏感内容，可以扫描像Slack^TM这样的论坛中的会话，以扫描敏感内容，可以跟踪像Jira^TM这样的票务***中的票据。

可用于支持开发者开发应用4802的功能可包括针对开发者和用户两者的云开发CASB映射。用户可以是客户、内部用户和内部工作负载或进程。开发者和用户的云开发的CASB映射可包括到CASB解决方案的威胁保护、数据保护、合规性、可见性和审计要求的映射。

针对开发者的威胁保护可包括跟踪哪些开发者可以访问基础架构以及用户或资源如何访问它。针对开发者的数据保护可包括跟踪和管理对代码的访问、代码和日志中的秘密、应用中的有毒客户数据和敏感的开发者数据。敏感的开发者数据可包括与收入有关的数据。针对开发者的合规性可包括跟踪针对由应用使用或在应用中使用的敏感客户数据(如PCI、PII或HIPPA数据)有关的要求的合规性。针对开发者的可见性可包括开发和部署环境中的外部集成以及开发者使用的“影子”工具。针对开发者的审核可包括基础架构配置更改。

针对用户的威胁保护可包括谁可以访问应用，以及用户如何使用或访问它。针对用户的数据保护可包括识别和/或防止过度共享数据到应用，识别或防止过度访问应用数据，以及敏感应用数据的加密。针对用户的合规性可包括针对应用使用的或在应用中使用的敏感数据和/或有毒数据的合规性。针对用户的可见性可包括通过API报告事件和将报告特征集成到应用中。针对用户的审核可包括审核使用情况(包括应用配置更改)的能力。

可用于支持开发者开发应用4802的功能可包括为开发者和用户两者提供环境138(如AWS^TM)上的CASB映射。用户可以是客户、内部用户和内部工作负载。针对开发者和用户的AWS上的CASB映射可包括有关威胁保护、数据安全性、合规性、可见性和审计等的映射。

针对开发者的威胁保护可包括用户行为分析功能和配置监控(例如针对AWS帐户)，例如通过配置监控服务，如CloudTrail^TM和AWS Config^TM。针对开发者的数据安全性可包括Github^TM配置监视和扫描Github^TM日志(包括S3日志和CloudWatch^TM或类似日志)，例如针对秘密或其它敏感数据的存在。针对开发者的合规性可包括扫描存储资源(如S3^TM存储区)、数据库表(如RDS DB表)和数据库对象(如DynamoDB^TM对象)的功能。针对开发者的可见性可包括提供有关访问密钥或令牌(如AWS密钥或令牌)的信息，以及提供来自AFW 300的信息(例如Github，Slack，JIRA等)，以及扫描代码以获知所包括在内的软件包。针对开发者的可见性可包括基本的UBA特征，也可包括内容扫描。针对开发者的审核可包括监控AWS帐户配置更改(例如通过使用CloudTrail^TM提供的功能进行监控)。针对开发者和用户的AWS上的CASB映射也可包括从S3访问日志(包括用于UBA)和内容扫描(例如针对DLP)收集信息，以及EC2机器访问事件(例如针对UEBA)的评估(例如通过CloudWatch^TM)和针对应用日志的内容扫描(例如通过CloudWatch^TM)。存储资源(例如，S3)内容扫描可以包括用于指定的存储桶的扫描(例如，DLP)，诸如指定的S3桶。收集访问日志可能包括收集指定桶的S3访问日志。

用户的威胁保护可能包括用于自定义应用日志的UBA(例如，AWS CloudWatch)和UBA用于数据访问日志(例如，S3)。日志可能包括linux主机的日志。linux主机的日志可能包括/var/log/secure，/var/log/auth等。

用户的数据安全性可能包括收集有关应用数据共享和访问的信息，包括S3和DynamoDB的SE。用户的合规性可能包括扫描S3存储桶和其它AWS存储。用户的可见性可能包括使用AFW 300进行应用集成，例如通过诸如AWS API网关的网关。审核用户可能包括对应用配置更改的审核。

可用于支持开发者开发应用4802的功能可以为开发者和用户提供诸如AWS之类的环境138的用例映射。用户可能是客户，内部用户和内部工作负载。开发者和用户的用例可能包括帐户妥协(UB A/威胁防护)，数据泄露(Cloud DLP)，合规性，云恶意软件(AFW)和SecOps和取证。

开发商的帐户受损功能(例如，UBA/威胁防护)可能包括UBA，配置监视，例如用于AWS帐户(例如，通过CloudTrail和/或AWS Config)，用于机器访问的UBA和用于访问代码存储库的UBA。用于机器访问的UBA可以包括ssh活动(例如，通过CloudWatch)。可以应用CSF100的服务的代码存储库可以是Github代码存储库等。与数据泄露(例如，由Cloud DLP确定)相关的开发者功能可能包括Github配置监视和扫描Github日志(例如，S3/CloudWatch日志)，例如秘密或其它敏感数据。开发者的合规功能可能包括扫描存储，如S3存储区，RDS数据库表和DynamoDB对象。开发者的云恶意软件功能可能包括AFW 300的功能，例如访问键或令牌，如AWS访问键或令牌，以及AFW 300用于开发者资源(如Github，Slack，JIRA等)，以及扫描包含的程序包的代码。开发者的SecOps和取证功能可能包括监控AWS帐户配置更改(例如，通过CloudTrail^TM等服务)。

用户的帐户妥协功能(例如，UBA/威胁防护)可能包括用于自定义应用日志(例如，AWS CloudWatch)的UBA和数据访问日志的UBA(例如S3)。与用户数据泄露(如Cloud DLP)有关的功能可能包括管理和报告应用数据共享和访问，以及S3的SE和DynamoDB。用户的合规功能可能包括扫描存储资源，如S3存储区和其它AWS存储。用户的云恶意软件功能可能包括使用AFW 300，例如通过网关进行应用集成，例如AWS API网关。用户的SecOps和取证功能可能包括应用配置更改。

可用于支持开发者开发应用4802的能力可以通过CSF 100本身的能力以及通过报告在PaaS或IaaS本身上发生的事件来实现。例如，CSF 100可以使得可以通过API和可由API或其它方式访问的日志中的数据传递，例如发布到CSF 100的日志可用于开发应用。

在一组用例示例中，可用于支持开发者的功能在IaaS和PaaS环境中开发应用4802可能有助于保护开发栈中不同层的应用。开发堆栈中的不同层可以包括层1，层2和层3。

在第1层保护应用的示例可能是保护AWS帐户。保护AWS帐户可能适用于任何可能依赖AWS并可能希望保护公司的AWS账户的公司。这可能是经典SaaS保护的示例，可能包括UBA活动，对配置的敏感更改以及“超人”或基于速度的策略。保护AWS帐户可能包括控制台保护和AWS保护，并且可能适用于在AWS上运行其大部分IT功能的公司，或者在另一个例子中，即使制造商没有暴露在AWS上运行供应链工作负载的制造商或在AWS上销售任何东西，即使AWS在内部运行。

在第2层保护应用的示例可能是保护实际工作负载。保护实际工作负载可能意味着保护S3存储资源的内容(即使是用于内部使用)。保护实际工作负载还可能包括检查谁正在访问机器，例如检查访问EC2机器和检查防火墙(如Web应用防火墙(WAF))上的活动。访问EC2机器可能包括访问日志，安全和操作人员的ISV。保护实际工作负载也可能包括最终用户生成的文件的存储。

在第3层保护应用的示例可能与在用户(如企业的客户)使用的AWS上运行的软件产品相关。用户可以具有软件产品的所有者为客户存储的数据。客户可能希望软件产品的所有者保护数据和对该数据的访问模式。最终安全事件可能在软件产品中产生，并由软件产品的所有者向客户显示。这可能是一个多租户方式的例子。例如，软件产品的所有者可以授予客户查看谁登录到该客户使用的应用的实例的实例的能力。在该示例中，应用日志可以服务于第二和第三层。

参考图49，CSF 100可以包括配置监视和安全性。配置监控和安全可能包括敏感的监控特权访问的配置和监控。敏感的配置监控可能会检测密钥配置的更改，例如安全组和密码策略设置。安全特权访问可能包括监视创建访问密钥(如AWS访问密钥)，“root”用户对登录的监控以及无多重身份验证(“MFA”)的登录监控。图49示出了用于CSF 100的配置监视和安全性的用户界面PAAS 4902的一个实施例。配置监视和安全用户界面4902可以包括摘要，事件历史和事件注释。摘要可能包括事件细节。事件细节可能包括事件类型，平台，所有者，原因，位置，策略，状态，严重性和时间。用户或事件的位置可能会显示在地图上。

参考图50，CSF 100可以包括用户行为分析。用户行为分析可能包括检测同时的活动，以表明可能怀疑使用受损帐户。用户行为分析还可以包括提供现场活动和离线活动。图50示出了用户行为分析用户界面5002的一个实施例。用户行为分析用户界面5002可以包括指示可能发生活动的地图。用户行为分析用户界面5002可以包括平台，事件类别，事件类型，对象，用户IP地址，检测日期和国家。用户行为分析用户界面5002可以允许基于平台，国家，城市，用户，事件类型，事件日期和时间，行为简档，异常检测等来过滤信息。

参考图51，CSF 100可以包括特权用户监视。特权用户监控可以监视和记录管理员或其它特权用户(例如AWS管理员)的所有操作。特权用户监控还可以监视root访问和访问密钥管理功能。图51示出了特权用户监视用户界面5102的一个实施例。特权用户监视用户界面5102可以显示事件数据5104和原始事件数据5106。

参考图52，CSF 100可以跟踪事件作为安全事件。参考图1，事件可以通过内容分析110，内容分类146，应用防火墙148(诸如AFW 300，安全分析124，加密管理122，事件管理120，上下文分析112，中央审核118，策略自动化116，用户行为监视114，用户行为分析150，配置安全152和配置管理134。事件也可以被cyberdev API 140，网络软件包142，连接器144，应用连接API 108和/或企业API 104检测到。可以将事件跟踪为安全事件，在仪表板上报告并提供给SIEMS。

图52示出了安全跟踪用户界面5202的一个实施例。安全性跟踪接口5202可以显示事件5204。安全跟踪接口5202可以包括基于事件严重性5206的事件的汇总计数。事件严重性可能包括关键，警报，警告等。安全跟踪接口5202可以包括事件数据，例如发生事件的平台，事件的严重性级别，与过滤器匹配，策略信息，检测到的数据的性质，状态信息，事件名称和事件类型。安全跟踪接口5202可以允许通过平台，严重性，策略，状态，类型，所有者等来过滤事件。

安全跟踪用户界面5202可以提供应用保护。应用保护可能包括数据/存储保护，特权访问监控，应用活动记录和取证，事件和策略管理以及企业应用。可以提供应用保护，而不需要更改应用或应用的代码。

图53示出了使用CSF 100报告关于违反策略的检测的示例。CSF 100可以检测敏感活动的事件，并提供活动的可见性。检测和违反策略可能包括用户行为分析(UBA)的覆盖。UBA覆盖可能包括白名单，超人/速度策略等。检测和违反策略还可能包括配置，第三方API访问等。图53示出了关于对策略用户界面4502的违规的检测的报告。

图54示出了诸如S3直接访问的资源访问检测的示例检测。CSF 100还可以检测S3数据直接访问。图54示出了用于检测S3数据直接访问的用户界面5402。

参考图55，CSF 100可以使应用的提供者直接将软件栈和应用PAAS L-02构建安全特征，开发者将向第三方(例如他们的客户)销售。安全功能可以通过使用内容分析110，内容分类146，应用防火墙148，安全分析124，加密管理122，事件管理120，上下文分析112，中央审核118，策略自动化116直接构建到软件栈和应用5502中，用户行为监控114，用户行为分析150，配置安全152和配置管理134。还可以通过使用cyberdev API 140，cyberdev pack142，连接器144，应用连接API 108和企业API 104将安全功能直接构建到软件堆栈和应用5502中。安全功能可提升数据保护的可见性，实现活动记录和取证，并提供事件和策略管理。

参考图56，CSF 100可以包括嵌入式安全策略执行能力。在图56所示的示例中，嵌入式安全策略执行能力可以指示事件5604可能违反了安全策略，例如通过突出显示嵌入式安全策略执行用户界面5602中的事件5604(例如，以红色)。嵌入式安全策略执行用户界面5602可以包括与安全事件相关的信息。与安全事件相关的信息可能包括检测到事件的日期和时间，事件的严重性，事件的名称，策略的名称，状态等。嵌入式安全策略实施用户界面5602可以允许按日期范围，名称，策略和状态过滤事件。

图57示出了CSF 100可以承担的示例数据流，并且获得和检查其需要应用CSF 100的服务的数据。在图57的示例数据流程中，内容扫描5704可以收集诸如S3对象内容的对象内容以供检查。检查可能包括DLP检查和合规检查。还可以在步骤5706监视访问日志，其中CSF 100可以收集诸如用于UBA的检查的诸如S3访问日志的日志。在实施例中，代理5728可以收集诸如Cloudwatch^TM日志之类的机器日志5714，例如来自诸如AWS EC2实例5708的实例，并且将机器日志5714发送到云监视器5710。CSF 100代理5728可以从AWS EC2实例5708收集应用日志5712，并将应用日志5712发送到日志聚合器5710，例如Cloudwatch^TM聚合器。CSF 100可以收集机器日志5714和应用日志5712，以便从日志积分器5710(例如使用收集器5716)进行检查。收集器5716可以发送机器日志5714和应用日志5712以供检查引擎5718。检查可能包括UBA检查5720和DLP合规检查5722。在实施例中，UBA检查5720和DLP一致性检查5722可以检测事件5724和警报5726。

参考图58，日志聚合器5710提供收集器，其收集并将日志从本地文件***转发到诸如Cloudwatch^TM代理的代理5728中。本地文件***可以是AWS EC2实例，如图58所示。收集器可以是任何日志收集器5810，诸如事务日志收集器5812，访问日志收集器5814，ssh和sudo日志收集器5816等。Cloudwatch^TM代理5728可能会将从收集器收集的日志发送到日志聚合器5710。日志聚合器5710还可以直接从应用代码580-02，中间件5804，web服务器5806,5808等接收日志。在其它实施例中，可以使用具有类似日志记录和运输解决方案的其它设施来实现收集，例如Logstash TM。

图59至63示出了可以用于添加可以与CSF 100一起使用的定制应用的用户界面的实施例。图59示出了添加可以与CSF 100一起使用的客户应用的过程的启动。参考图60，可以通过在用户界面6002上选择添加新指示符5904来添加可以与CSF 100一起使用的定制应用的过程来添加自定义可用于CSF 100的应用。

图60示出了可以用于配置可以与CSF 100一起使用的定制应用的平台的用户界面6002。参考图60，用户接口6002可以用于配置可以与CSF100一起使用的定制应用的平台，诸如包括平台选择，显示名称，身份和访问管理(“IAM”)角色，应用资源标识符(“ARN”)，CloudTrail^TM桶扫描，S3桶扫描，S3记录桶，外部ID，ASW设置说明，以及取消和授权功能。

参考图61，用户界面6102可以用于配置可以与CSF 100一起使用的定制应用的平台，CSF 100也可以包括应用名称和图标。

参考图62，用户接口6202可以用于配置用于定制应用的平台，其可以与CSF 100一起使用，并且还可以包括平台，显示名称，区域，应用标签，资源，Cloudwatch TM日志组和类似。该区域中的多个区域，标签和值以及与标签/值选择相匹配的所有资源可由用户界面6002支持。用户界面还可以支持可能允许资源过滤的自由文本搜索。

图63示出了可以与CSF 100一起使用并被添加到用户界面5902的定制应用6302。

参考图64，网络安全专业人员必须越来越重视企业的广泛威胁，并满足来自其服务的企业和监管机构等外部方面日益苛刻的要求。这些威胁包括受损的用户帐户，恶意软件(如云端)和数据泄露，需求包括合规性要求以及操作和法医要求。为了解决所有这些用例，需要一种具有各种服务和组件的灵活平台。如本文所述，CSF 100及其某些功能可以为安全专业人员提供这些用例中的每一个的解决方案。例如，统一应用防火墙解决方案或AFW300可以解决恶意软件威胁，包括基于云的恶意软件。用户行为分析，如本文其它地方所述，可以解决受损的帐户。DLP和类似解决方案可以解决数据泄露情况。各种报告和策略功能可以满足合规性要求。管理能力可以满足安全操作和取证需求。

像Gartner这样的安全行业分析师越来越多地建议采用适应性上下文感知的安全架构和框架来管理IT安全性，并通过持续监控和分析。这种方法是一种改变的方法，例如从“事件响应”的焦点到“持续响应”。“越来越需要投资于检测，响应和预测能力，这反过来又可以创建更多的上下文感知保护平台。需要一种可以执行连续监视并可以解决可能发生威胁的IT堆栈的所有不同层的架构。这包括可以处理网络数据包，流程，操作***活动，内容，用户行为和应用事务的架构等。

参考图65，平台6500可以提供用于实现网络智能的各种组件，服务和能力。这包括为特定企业和企业社区提供高级见解和报告的能力(即社区情报，例如允许一组企业应对共同的威胁)。平台6500可以包括基于云的网络安全平台，具有机器学习和网络分析工作台，以提供围绕本公开所公开的方法和***收集的广泛范围的数据的高级分析。

平台6500可以包括一组网络智能引擎服务组件6502，其可以包括数据流处理器6520，安全建模器6518，逻辑引擎6514，机器学习引擎6510，社区智能模块6504和网络分析工作台6512。社区智能模块6504可以针对第三方应用提供或使用社区信任评级(CTR)，以及基于在不同企业(例如使用CSF 100或其各种服务的企业)确定的模式来提供智能。

网络分析工作台6512提供网络实验室功能，例如允许数据科学家和其它安全分析师识别模式并分析各种事件，跨企业等的趋势，提供有关上述用例的企业整体安全性的见解。

逻辑引擎6514可以包括和使用广泛的能力，包括实现基于规则的策略，诸如内容检测器，基于频率的规则，基于阈值的规则，接近度规则和灵敏度分析。逻辑引擎6514可以实现RegEx能力和地理定位规则。逻辑引擎可以使用布隆过滤器，关键词和分类***。逻辑引擎6514还可以处理关于共享事件的信息并且对IP信息进行操作。逻辑引擎6514可以基于基于用户位置，基于一天中的时间，并且基于用户行为的包，基于活动阈值，例如基于用户活动来执行行为分析的能力。可以例如基于用户的速度来检测异常阈值，如在给定时间段内的访问位置所指示的。逻辑引擎6514可以包括诸如文件和对象的内容分类(包括使用作为CSF 100的服务能力的内容分类)和实体和应用分类的分类能力，以及诸如与共享相关的上下文分类，所有权和目录信息。逻辑引擎6514还可以执行用户分类。逻辑引擎6514还可以使用规则引擎，例如用于诸如基于分类或上下文的策略的策略，包括用于治理，合规性，共享和潜在的恶意软件的策略。逻辑引擎6514还可以对行为进行分类，例如基于涉及多于一个维度的组合分类和异常。逻辑引擎6514可以检测休眠帐户。逻辑引擎6514还可以执行高级风险评分。

安全建模器6518可以实现与应用，用户，事件等相关的实体和属性的实体关联和关系建模。安全建模器6518可以提供实体的相关性或实体和归一化，诸如在本地数据模型中归一化给定属性的表示方式，尽管在其它应用或平台中表示不同。通过提供统一的，归一化的实体模型，安全建模器6518可以实现对实体的取证和审计，以及统一不同平台上的策略和报告。这又可以利用本文所述的各种功能来建立一个多云安全智能平台。

数据流处理器6520可以通过以下方式提供数据收集和处理各种接口，包括API，用于从外部***收集数据，包括PaaS/IaaS平台，IdaaS平台，SaaS平台和各种安全生态***产品和服务提供商的平台。数据流处理器6520可以包括大规模，多租户摄取和处理引擎，诸如能够收集与数千万用户相关的数据，超过10亿个文件，以及每天的超过一亿个活动基础。数据流处理器6520可以包括用于任何应用的连接器封装或类似接口，例如经由IaaS/PaaS，而不需要编码。在实施例中，数据流处理器可以连接到任何应用或平台并且收集数据而不需要额外的编码。例如，平台6500和IaaS/PaaS之间的连接器可以在基础架构级别或特定服务级别进行环境，以允许各种网络安全用例，例如活动监控和为基于IaaS/PaaS环境构建的应用启用DLP。此外，平台6500可以包括或与供应商机器一起工作，该技术允许平台6500或CSF100的操作者将连接器或简单脚本配置为平台，而不需要开发者构建代码。供应商机器可以允许CSF 100的各种用户扩展并连接到各种SaaS，IaaS和PaaS供应商的环境。

机器学***台6500的分析能力，例如检测诸如用户行为，云到云活动，对***的机器访问等异常。检测地理访问异常的一个例子。今天，一些***允许企业预先定义用户期望访问的国家，并且他们可以在公司的位置周围使用诸如地理围栏的设施来触发警报或阻止访问。作为替代方案，6500可以使用从各种平台收集的数据根据一段时间(如几个月)内的行为来对组织(及其用户)进行配置，以为该组织及其用户定义基准配置文件，使用机器学***台6500的机器学***台6500可以基于特定设备的使用模式的引擎6510中的机器学***台6500可以在设备上进行同样的基线分析，并且可以使用机器学习来识别和定义什么是超出规范的。输出不一定是二进制或基于规则。规范可能涉及一系列事件(例如，移动接入通常来自家庭，笔记本电脑通常通常来自办公室)，但机器学习设施可以提供离开模式的指标，无论如何。

参考图81，可以基于上述各种能力来计算用户或组信任评分或风险评分。信任或风险分数允许简化报告，警报，策略创建和API与各种外部***的集成，以实现更多的增强控制。将这种适应性，动态和智能的用户或组风险评分与不具备分析和评估用户活动能力的***(如IDaaS***)相结合，具有显着的优势。这允许IDaaS或其它这样的***基于风险分数来增加访问控制，例如加强当风险分数超过阈值时进行认证。信任或风险分数可以在仪表盘8102或其它视觉元素中呈现，例如在时间段8104中显示得分的趋势，以及显示影响或从...得到的事件和活动的风险时间线8108，风险或信任评分，例如添加到观察列表中的用户，关于可疑IP地址的活动，登录活动失败，获取风险应用，从异常位置登录等。仪表板8102可以提供用户随时间的风险以及有助于风险的活动和事件的有效概述。它可以用于用户的监督，用户的教育和其它的修复活动。CSF 100提供的开发者API也可以提供信任或风险分数

一组API 6522可以提供与网络响应***6524的接口，其可以包括事件管理***6532，安全操作***6530和策略引擎6528。平台6500可以具有交换设施6534，例如用于与其它***交换威胁信息，包括CSF 100和外部***的服务。平台6500还可以提供用于丰富威胁信息的信息，例如与CSF 100的各种服务(例如用于提供应用的风险评分或用于社区信任评级的服务)以及外部***。

在实施例中，网络智能平台6500可以在诸如Google TM，SalesForce TM，Octa TM和其它***的各种平台上收集诸如事件数据的数据。可以对该数据进行过滤，建模和用于为平台6500创建本机事件格式。有各种事件(或类别)的格式，事件可以映射到类别。平台6500可以查看各种类型的云应用，并查看企业或企业组的云平台中的所有事件(如读请求，可疑用户活动等)。这允许在企业的所有平台，甚至多个企业的平台上创建统一的使用模型。平台6500还支持可视化和常见策略的数据。

在实施例中，网络智能平台6500可以使用事件或活动的基于规则的映射来分类。这可能包括行为，例如用户活动(例如，如果用户在过去24小时内下载超过N个文件等，行为可能被认为是危险的)。这些类型的规则可以提供一些基本信息，但它们倾向于产生高比例的噪声，因为他们检测到的许多行为是良性的。

异常检测的一个例子在此被称为速度检测。例如，如果用户连接到加利福尼亚州的SalesForce^TM平台，然后在五分钟后连接到波士顿的Google^TM平台，这表明可疑活动，因为用户需要以超出可用运输速度的速度旅行选项。可以使用平台6500启用这种和许多其它类型的分析。

参考图66，在实施例中，平台6500可以用于生成活动映射66300，活动映射66300可以识别特定应用正在访问企业数据，并且甚至一些由人使用应用的访问，而其它访问是由机器到机器的连接。这可以通过训练机器学***台上馈送用于大量访问事件的数据集，并且将已经分类的事件(例如，已经手动完成，例如按照人和另一种通过机器分类一种访问类型)。为了实现机器学习，各种属性可以与用于访问事件的收集的事件数据相关联，使得机器学习***可以对不同的属性进行操作，以了解哪些属性的组合倾向于对应于给定的分类。使用事件和预先确定的分类来种植学习模型，该模型对其它数据进行迭代，以尝试对其它事件进行分类。这些分类事件是否被验证，例如通过人反馈，并且学习模型迭代(例如通过调整给予不同属性的权重)，直到它变得足够有效以提供访问类型的自动分类。

在实施例中，机器学***均移位算法，k均值算法等)来检测数据群集。然后，异常检测引擎6550可以使用基于远离规范的平均距离的异常值排序的评分***。由于涉及到大量潜在的属性以及在具有大量维度的数据中定位异常所涉及的挑战，属性可能被分类为映射到特定网络安全用例的特征集(即，更有可能基于所涉及的特定用例来呈现数据中的异常)。每组特征可以与其它特征独立地计算，以增加异常检测的准确度。异常检测引擎6550可以使用能够处理大量事件(例如，每天3000万次或更多事件)的***，例如Apache Spark TM，可以实时地消化和分析大量的数据。

异常检测用例的例子包括基于位置的异常检测。可以对企业最活跃的用户执行分析。基于与这些活动(包括位置)相关联的各种属性，企业用户的活动可以聚集成组。可以计算集群中心，从而可以确定内群(最接近集群中心的活动)和离群值(距离集群中心最远的活动)。在一个实验案例中，技术公司的访问被发现在两个异常的位置，大量事件表明第三方应用存在云端恶意软件攻击。

异常检测的另一个用例是基于设备的异常检测。例如，公司的管理用户可能是分析的主题。定义的一组用户的活动可以聚类，具有由集群中心的距离定义的内联和异常值。异常值可能表示这些用户的不正常使用模式。在测试情况下，发现管理用户正在使用未授权的设备这种情况可能导致修复，例如通过用户通知和教育，纪律等。

在实施例中，提供给机器学习引擎6510的属性可以来自针对单个企业或一组企业的CSF 100的服务收集的各种项目，使得一个企业的经验(例如，一组事件导致威胁)可以帮助整个社区企业的分类。机器学习***可以从用于特定应用的API，从企业网络(例如AFW300中收集的)，从云到云通信等收集的数据中受益。

为了验证网络智能平台6500中使用的模型，可以使用关于什么是应用的数据，例如在应用索引312中收集的，因为AFW 300发现第三方应用并且具有关于它们的标识符的相当多的信息。验证网络智能平台6500使用的每个模型的过程可以利用CSF 100，包括AFW300以及连接到它的所有其它平台和组件。在能力之中，平台6500的机器学习引擎6510可以学习不仅对事件进行分类，而且还可以分类反映通过CSF 100收集的各种属性的诸如用户类型，组织类型等，包括AFW 300。机器学习引擎还将能够对用户，组和/或组织的敏感数据进行分类和识别。

网络智能平台6500还可以使用机器学***台6500具有关于用户的信息，例如与本公开其它地方描述的UBA平台500相关联地收集。这包括关于休眠用户的信息，可能正在进行建议即将离开组织的活动的用户，疏忽的行为等。基于行为属性，机器学习***可以确定一个关键员工是否即将离职(例如基于馈送属性进入从实际离开企业的用户过去的数据中学习的模型)。例如，属性可能表示用户正在***人力资源提要，可以提供触发器或信息，例如员工被放置在性能改进计划上，并且这些属性可能被机器学习模型用于有助于结论(可能基于多个甚至许多属性)，用户将很快离开组织的机会增加(反过来又增加了数据泄露的风险)。

在某些情况下，可以通过查看访问事件的源或目的地(例如，在网络中)来检测异常，诸如查看路由器的地址。在实施例中，网络智能平台6500可以使用机器学***台上与CSF 100的各种服务相关联地应用的，包括PaaS/IaaS平台，以及在使用CSF 100的过程中将策略应用于各种SaaS和本地应用。可以使用策略及其中包含的语言，包括通过NLP对策略，确定可能对组织敏感的主题，以及网络然后，智能平台6500可以配置跟踪用户和应用行为，围绕包含有关这些主题的信息的任何文档，文件，对象等。由于平台6500跟踪用户和应用对文档的访问，例如通过CSF 100的各种服务，平台6500可以例如由机器学***台6500看到(例如通过针对活动基准的机器学***台6500可以触发警报或其它响应动作，例如由网络应答***6524。行为分析的目标特定重点可以是恶意行为检测的有效方法，在某些情况下，可以优于源的这种行为的检测(即跨所有使用活动而不是目标特定活动)。

在实施例中，可以使用CSF 100，例如基于6500的分析来进行智能“蜜罐”，例如通过创建恶意用户(诸如由平台6500中确定的模式识别)可以并且可以诱导用户进行活动，即在不威胁企业的真实数据或基础设施的情况下，可以用于帮助识别恶意用户，例如通过识别应用，基础设施，设备或其它恶意用户使用的资源。

平台6500的机器学习***6510可以用于确定跨越一组不同企业的行为(例如，对多个企业进行的类似攻击)，例如通过使用如上所述的属性来采用来自过去事件的数据(例如攻击)，并随着时间的推移学习，反映出事件与事件类型相关联的事件是否事实上已被各企业确认。

在实施例中，网络智能平台6500可以用于提供广泛的分析能力，其可以用于分析由CSF 100及其组件(例如AFW 300)和通过UBA收集的数据。在每种情况下，这些能力可以用机器学习来增强。

平台6500的分析功能可能包括，其中包括以下：异常值的分析和检测；检测频率异常，包括使用类型；地理位置分析和检测与位置相关的异常情况；设备使用情况用户行为分析，包括内部威胁和休眠用户分析，以及过度使用和数据提取异常；实体行为用例(例如人力或机器的二进制分类，实体行为的相关性，机器的过度使用或数据提取)；实体访问模式(例如特定端点的行为)，包括对用户和实体访问进行分类，适用的特定应用的相关性，以及提供实体使用异常的警报；敏感信息的分类和保护(例如使用NLP来表达敏感话题，跟踪访问和敏感文档周围的动作，并将“正常”访问敏感内容。

在实施例中，网络智能平台6500可以用于聚合来自多个企业的数据。反过来，这可以允许人们量化风险，并显示哪些用户(通常是一小部分用户)正在创造大部分的风险。例如，在许多企业中，百分之一的用户群体产生大部分的风险，大部分文件大部分公开共享文件，具有异常数量的影子IT应用，并承担最危险的行为。基于有关应用和使用模式的信息，网络智能分析可以为这些用户创建和使用风险评分。

网络智能平台6500可以使用来自CSF 100和其它来源的数据，以便数据可以呈现给分析者。可以在机器学习引擎6510(其可由数据科学家和工作台6512中的其它网络专业人员访问)中提供各种机器学习工具，以帮助分析师分析数据。这些工具允许分析师与企业之间获得的数据进行交互，并提供使用该数据支持和改进机器学习的能力，以及通过统计数据科学技术提供分析师提供的见解的验证。例如，机器识别的威胁可以与企业确认，并且在这种确认之后，可以验证机器学习中使用的模型。

例如，平台6500可以运行群集算法并提出潜在威胁作为输出(例如，用户从中东地区访问；在特权管理帐户中运行的程序等)。网络智能平台6500可以标记这些，分析师可以与企业进行交互(然后分析师可以返回到网络智能平台6500来验证或改进模型)。

与CSF 100的其它功能一样，网络智能平台6500及其组件和服务可以由API访问，从而可以与其它平台集成。结果，CSF 100和第三方平台可以访问诸如用于行为检测等的高级功能。例如，企业可以使用速度检测API来实现逻辑引擎6514的速度检测能力，如本文别处所述，如果企业没有速度检查，则可以对企业正在收集的数据进行检查能力在自己的平台。CSF 100和网络智能平台6500可以提供API来填补企业正在使用的任何***(例如用于内部部署应用的欺诈检测)的差距，包括针对一个或多个响应平台的API 6522。

各种算法也可以通过API公开，以允许数据科学家或安全操作人员对由CSF 100和网络智能平台6500收集的各种事件和模式进行分析。

网络智能平台6500可以用于修复和检测，例如通过API 6522。它可以提供手动和自动操作，例如暂停帐户，重置密码，以及在不同情况下集成和编排响应操作。例如，如果为用户检测到帐户受损，则包括6500的CSF 100可以在另一平台中执行增强级别的认证，例如需要双重认证。因此，可以跨不同的平台或应用提供动态升级认证，例如基于用户行为分析或其它威胁检测。

图66至72提供可以使用网络智能平台6500提供的输出类型的示例。

图66示出了可以包括交互式地图66302的仪表板6600，其指示诸如具有图形元素的圆圈，其中在定义的时间段内已经发生了与网络安全相关的各种威胁的区域。菜单元素6610可以指示在时间段内具有相应数量的事件的类型，例如已经发生活动的新位置的数量，已经被企业的用户访问的新的IP地址的数量，已访问的恶意IP地址的数量，最活跃的位置，最活跃的IP地址，最活跃的用户等。威胁可能被分类，并且关于它们的信息可以被呈现在威胁菜单6604中，例如显示可能不妥协的帐户的数量，已经发生的敏感的管理活动的数量，发生的潜在的机器人活动的数量，已经发生的平台配置动作的实例数，登录失败次数等。趋势菜单6608可以显示在所选择的时间段(例如一周)内的各种威胁活动的趋势。

图67示出了热图6702的形式的仪表板的实施例。该仪表板可以在给定时间段内显示用户数据，其中包含视觉元素(如圆形)，按尺寸和颜色显示来自地理位置的使用水平。地图可以是交互式的，例如允许用户放大和缩小，以查看收集数据的平台，将鼠标悬停在元素上，并查看统计信息，深入了解特定数据，并选择选项，例如显示活动和/或过滤信息，例如基于所选区域。

图68示出了示出各种用户行为威胁分析的用户界面的实施例。可视化可以是交互式的，允许用户突出显示地图或图形6808的部分，以选择用于分析的时间段，为特定平台选择数据，过滤和排序数据，使用多个过滤器等。用户可以保存报告，安排报告，保存视图，导出数据，通过邮件发送报告等。用户可以通过事件类别，事件，用户，按位置和日期来查看不同种类的威胁。用户可以选择多个事件或对象。用户可以看到关于与特定帐户6802相关联的风险的数据，例如可能受到损害的帐户的数量，锁定的帐户数量和这样的帐户的高风险用户的数量。关于高风险用户6804的信息可以基于每个用户呈现。

图69示出了仪表板的实施例，其中用户可以以替代格式(诸如地理地图格式6902，直方图格式6908，等等)查看按区域的活动，诸如与用户，帐户，威胁等相关的活动，和图形格式6904。

图70示出了用户界面的实施例，其中用户可以与使用直方图7002交互以查看在不同平台或应用中发生的活动。用户可以选择时间段，平台/应用等。用户可以悬停查看统计信息，并单击以查看有关使用活动的详细信息。

图71示出了用于数据分析的仪表板的实施例，其中用户可以通过平台，事件类别，用户，按位置和时间段来查看数据使用。仪表板可以是交互式的，允许用户通过任何上述属性来选择和过滤。可以提供与上述相同的交互功能，例如悬停以查看统计数据并详细了解。

图72示出了仪表板，用户可以通过该仪表板来识别关于已经被识别为潜在威胁的事件的动作，例如确认特定事件是否异常，映射企业的地图(例如，用于启用地理定位-基于规则和分析)，并调整平台6500中一个或多个规则的灵敏度，以减少不必要的噪声或提升用户希望被认为更重要的区域。

图73示出了用于网络智能平台6500的数据采集流水线。来自各种平台的事件馈送可以被馈送到诸如Rabbit MQ^TM或Kafka^TM之类的收集***中，并被馈送到诸如Elasticsearch^TM的流处理设施中，并且被存储在诸如S3TM的存储资源中并随后被加密存储在像LogstashT^M这样的设施中。这些事件可以被传递到网络智能***6500，并存储在另一个存储资源(例如，S3^TM)中，以供诸如Spark^TM之类的EMR***访问，这可以允许诸如Lambda^TM(AWS中的平台服务)它提供对来自EMR***的信息的访问，这将是与其它平台相关的另一类似服务)，这又可以向另一个存储库提供输出，这可以由商业智能和分析应用访问，并且可以向Elasticsearch提供输入^TM设施。

图74示出了用于创建热图形式的可视化的数据采集管线的实施例。这种流水线7400的一个实施例如下所述。当VPC生产***7402处理数据并将其存储在诸如S3的存储资源中时，VPC生产***7402还可选地对敏感数据进行加密并存储在一个或多个其它S3桶中，以供网络智能***VPC网络7404进一步处理。预定的按时间顺序的Lambda触发器CXI-1108周期性地启动EMR批处理作业7410。EMR批处理作业7410执行Spark TM作业7412，然后进一步对数据集进行过滤，归一化，增加和/或丰富，并将其分割以供进一步使用。然后将数据以各种子***(例如使用如本公开所述的网络API)准备消耗的形式存储在S3桶7414中。

图75至80显示了通过平台6500和CSF 100(包括通过AFW平台300，具有各种第三方安全生态***平台)获得的信息的集成。

图75显示了与第三方数据安全平台的集成，例如Checkpoint^TM平台可以将使用网络智能平台6500(包括UBA信息)和/或AFW平台AFW-200获取的信息(如有关流量，用户和应用的信息)集成到由第三方生成的报告中派对数据安全平台。

图76显示了与第三方DLP平台(如Websense^TM)的集成平台，其中可以通过来自CSF100，网络智能平台6500，AFW平台AFW-200等的DLP平台提供与数据丢失预防相关的事件。在这种情况下，平台6500能够进行响应动作来发送用于DLP平台的高级检查的文件，文档，对象等。根据DLP平台的结果，平台6500可以继续响应动作流程。

图77和78显示了与云平台(如Salesforce^TM)的集成平台，其中来自CSF 100，网络智能平台6500，AFW平台AFW-200等的信息可以在在第三方云平台上操作的应用(如安全应用)内提供。图87示出了关于特定安全事件的事件细节，其可以包括诸如由CSF 100，网络智能平台6500，AFW平台AFW-200等通知的安全风险级别。

示了与诸如Splunk^TM的安全事件事件管理(SIEM)***的集成，其中来自CSF 100，网络智能平台6500，AFW平台AFW-200等的信息可以在事件中显示SIEM平台的报告仪表板。图80显示了获取有关事件的详细信息的能力，例如由上述任何***收集的事件的详细信息。

图82示出了用于将云安全架构100与网络智能***6502集成的架构组件以及用于解决整个本公开所描述的各种网络安全用例的其它组件。云安全性结构100或安全引擎可以包括结合图1所描述的各种服务，并且贯穿本公开，包括策略自动化116和事件管理120可以发起动作2948的服务，包括实施2938，例如通过连接器144与外部网络安全***，采取行动响应从CSF 100提供的事件。如结合图65并且贯穿本公开所描述的，结构可以与网络智能***6502集成和/或交互，例如根据如上所述的统一AFW 300填充和管理统一威胁模型2910和统一安全模型6518，在各种SaaS应用、云环境和PaaS和IaaS环境136、138之间，关于企业用户、他们使用的对象和应用以及涉及用户、对象和应用的事件的信息由各种收集器2952、2958、2962收集，以用于统一模型2910、65918中。网络智能平台6502可以包括上面提到的各种能力，例如威胁分析121，机器学***台6502中使用的风险的各种指标，外部***，例如社区信任评级2914，应用索引2912和用户风险评级2944。

本文描述的方法和***可以部署在计算平台上，该计算平台全部或部分地包括在处理器上执行计算机软件，程序代码和/或指令的一个或多个机器。处理器可以是服务器，客户端，网络基础设施，移动计算平台，固定计算平台或其它计算平台的一部分。处理器可以是能够执行程序指令，代码，二进制指令等的任何类型的计算或处理设备。处理器可以是或包括信号处理器，数字处理器，嵌入式处理器，微处理器或诸如协处理器(数学协处理器，图形协处理器，通信协处理器等)的任何变体，其可以直接或间接促进存储在其上的程序代码或程序指令的执行。此外，处理器可以实现多个程序，线程和代码的执行。可以同时执行线程以增强处理器的性能并且促进应用的同时操作。通过实现，本文所描述的方法，程序代码，程序指令等可以在一个或多个线程中实现。线程可以产生可能已经分配与它们相关联的优先级的其它线程；处理器可以基于优先级或基于程序代码中提供的指令的任何其它顺序来执行这些线程。处理器可以包括存储器，其存储如本文和其它地方所描述的方法，代码，指令和程序。处理器可以通过可以存储如本文和其它地方所述的方法，代码和指令的接口访问存储介质。存储介质与用于存储能够由计算或处理设备执行的方法，程序，代码，程序指令或其它类型的指令相关联的处理器可以包括但不限于CD-ROM，DVD，存储器，硬盘，闪存驱动器，RAM，ROM，缓存等。

处理器可以包括可以增强多处理器的速度和性能的一个或多个核心。在实施例中，该过程可以是组合两个或更多个独立核(称为裸片)的双核处理器，四核处理器，其它芯片级多处理器等。

本文描述的方法和***可以通过在服务器，客户端，防火墙，网关，集线器，路由器或其它此类计算机和/或网络硬件上执行计算机软件的机器部分或全部部署。软件程序可以与可以包括文件服务器，打印服务器，域服务器，因特网服务器，内联网服务器以及诸如辅助服务器，主机服务器，分布式服务器等的其它变体的服务器相关联。服务器可以包括存储器，处理器，计算机可读介质，存储介质，端口(物理和虚拟)，通信设备和能够通过有线或无线介质访问其它服务器，客户机，机器和设备的接口中的一个或多个，等等。本文和其它地方描述的方法，程序或代码可以由服务器执行。此外，执行本申请中描述的方法所需的其它设备可以被认为是与服务器相关联的基础设施的一部分。

服务器可以向其它设备提供接口，包括但不限于客户端，其它服务器，打印机，数据库服务器，打印服务器，文件服务器，通信服务器，分布式服务器等。此外，该耦合和/或连接可以促进跨越网络的程序的远程执行。这些设备中的一些或所有设备的联网可以促进在一个或多个位置处的程序或方法的并行处理，而不偏离范围。此外，通过接口连接到服务器的任何设备可以包括能够存储方法，程序，代码和/或指令的至少一个存储介质。中央存储库可以提供要在不同设备上执行的程序指令。在这种实现中，远程存储库可以用作程序代码，指令和程序的存储介质。

软件程序可以与可以包括文件客户端，打印客户端，域客户端，因特网客户端，内联网客户端以及诸如次客户端，主机客户端，分布式客户端等的其它变体的客户端相关联。客户端可以包括存储器，处理器，计算机可读介质，存储介质，端口(物理和虚拟)，通信设备和能够通过有线或无线介质访问其它客户端，服务器，机器和设备的接口中的一个或多个，等等。本文和其它地方描述的方法，程序或代码可由客户端执行。此外，用于执行本申请中描述的方法所需的其它设备可以被认为是与客户端相关联的基础设施的一部分。

客户端可以向其它设备提供接口，包括但不限于服务器，其它客户端，打印机，数据库服务器，打印服务器，文件服务器，通信服务器，分布式服务器等。此外，该耦合和/或连接可以促进跨越网络的程序的远程执行。这些设备中的一些或所有设备的联网可以促进在一个或多个位置处的程序或方法的并行处理，而不偏离范围。此外，通过接口连接到客户端的任何设备可以包括能够存储方法，程序，应用，代码和/或指令的至少一个存储介质。中央存储库可以提供要在不同设备上执行的程序指令。在这种实现中，远程存储库可以用作程序代码，指令和程序的存储介质。

本文描述的方法和***可以通过网络基础设施部署或整体部署。网络基础设施可以包括诸如计算设备，服务器，路由器，集线器，防火墙，客户端，个人计算机，通信设备，路由设备以及本领域已知的其它主动和被动设备，模块和/或组件的元件。与网络基础设施相关联的计算和/或非计算设备可以包括除其它组件之外的诸如闪存，缓冲器，堆栈，RAM，ROM等的存储介质。本文和其它地方描述的过程，方法，程序代码，指令可以由网络基础设施元件中的一个或多个来执行。

本文和其它地方描述的方法，程序代码和指令可以在具有多个单元的蜂窝网络上实现。蜂窝网络可以是频分多址(FDMA)网络或码分多址(CDMA)网络。蜂窝网络可以包括移动设备，小区站点，基站，中继器，天线，塔等。小区网络可以是GSM，GPRS，3G，EVDO，mesh或其它网络类型。

本文和其它地方描述的方法，程序代码和指令可以在移动设备上或通过移动设备来实现。移动设备可以包括导航设备，蜂窝电话，移动电话，移动个人数字助理，笔记本电脑，掌上电脑，上网本，寻呼机，电子书阅读器，音乐播放器等。除了其它组件之外，这些设备可以包括诸如闪存，缓冲器，RAM，ROM和一个或多个计算设备的存储介质。可以使与移动设备相关联的计算设备能够执行存储在其上的程序代码，方法和指令。或者，移动设备可以被配置为与其它设备协作地执行指令。移动设备可以与与服务器接口的基站通信并且被配置为执行程序代码。移动设备可以在对等网络，网状网络或其它通信网络上进行通信。程序代码可以存储在与服务器相关联的存储介质上并且由嵌入在服务器内的计算设备执行。

基站可以包括计算设备和存储介质。存储设备可以存储由与基站相关联的计算设备执行的程序代码和指令。

计算机软件，程序代码和/或指令可以被存储和/或在机器可读介质上访问，其可以包括：计算机组件，设备和记录媒体，其保留用于计算一段时间的数字数据；被称为随机存取存储器(RAM)的半导体存储器；大容量存储通常用于更永久的存储，例如光盘，诸如硬盘，磁带，鼓，卡和其它类型的磁存储器的形式；处理器寄存器，缓存存储器，易失性存储器，非易失性存储器；光存储器如CD，DVD；可移动介质，例如闪存(例如，USB棒或键)，软盘，磁带，纸带，穿孔卡，独立RAM盘，Zip驱动器，可移动大容量存储器，离线等；其它计算机存储器，如动态存储器，静态存储器，读/写存储器，可变存储器，只读，随机存取，顺序访问，位置可寻址，文件可寻址，内容可寻址，网络连接存储，存储区域网络，条形码，磁性墨水，等等。

本文描述的方法和***可以将物理和/或无形物品从一个状态转变到另一个状态。本文描述的方法和***还可以将表示物理和/或无形物品的数据从一个状态转换到另一个状态。

这里描述和描绘的元件，包括整个图中的流程图和框图意味着元件之间的逻辑边界。然而，根据软件或硬件工程实践，所描述的元件及其功能可以通过具有处理器的计算机可执行介质在机器上实现，所述处理器能够执行存储在其上的程序指令作为单片软件结构，作为独立软件模块，或作为模块使用外部例程，代码，服务等等，或者这些的任何组合，并且所有这些实现可能在本公开的范围内。这样的机器的示例可以包括但不限于个人数字助理，笔记本电脑，个人计算机，移动电话，其它手持计算设备，医疗设备，有线或无线通信设备，换能器，芯片，计算器，卫星，平板电脑电子书，电子设备，具有人造智能的设备，计算设备，网络设备，服务器，路由器等。此外，可以在能够执行程序指令的机器上实现流程图和框图或任何其它逻辑组件中描绘的元件。因此，虽然上述附图和描述阐述了所公开的***的功能方面，但是除非明确地陈述或者从上下文中清楚，否则不应从这些描述中推断用于实现这些功能方面的软件的特定布置。类似地，可以理解，可以改变上面标识和描述的各种步骤，并且步骤的顺序可以适应于本文公开的技术的特定应用。所有这些变化和修改旨在落入本公开的范围内。因此，不应将各种步骤的命令的描述和/或描述理解为对于这些步骤要求特定的执行顺序，除非特定应用要求，或者从上下文中明确说明或以其它方式明确。

上述方法和/或过程及其步骤可以在硬件，软件或适用于特定应用的硬件和软件的任何组合中实现。硬件可以包括通用计算机和/或专用计算设备或特定计算设备或特定计算设备的特定方面或组件。这些过程可以在一个或多个中实现微处理器，微控制器，嵌入式微控制器，可编程数字信号处理器或其它可编程器件，以及内部和/或外部存储器。这些过程也可以或替代地体现在专用集成电路，可编程门阵列，可编程阵列逻辑或可被配置为处理电子信号的任何其它设备或设备的组合中。还可以理解，一个或多个处理可以被实现为能够在机器可读介质上执行的计算机可执行代码。

计算机可执行代码可以使用诸如C，诸如C++的面向对象的编程语言或任何其它高级或低级编程语言(包括汇编语言，硬件描述语言和数据库编程语言)的结构化编程语言来创建和技术)，其可以被存储，编译或解释为在上述设备之一上运行，以及处理器，处理器架构或不同硬件和软件的组合或能够执行程序指令的任何其它机器的异构组合。

因此，在一个方面，上述每种方法及其组合可以是体现在计算机可执行代码中，当在一个或多个计算设备上执行时，执行其步骤。在另一方面，所述方法可以体现在执行其步骤的***中，并且可以以多种方式分布在设备上，或者所有功能可以集成到专用的独立设备或其它硬件中。在另一方面，用于执行与上述处理相关联的步骤的装置可以包括上述的任何硬件和/或软件。所有这些排列和组合都旨在落在本公开的范围内。

本文描述的实施方案的方法步骤旨在包括使得与所附权利要求的可专利性一致的方式来执行这种方法步骤的任何合适的方法，除非明确地提供了不同的含义或者从上下文中另外清楚。因此，例如，执行X的步骤包括使另一方例如远程用户，远程处理资源(例如，服务器或云计算机)或机器执行X的步骤的任何合适的方法。类似地，执行步骤X，Y和Z可以包括指导或控制这些其它个人或资源的任何组合以执行步骤X，Y和Z以获得这些步骤的益处的任何方法。因此，本文描述的实施方案的方法步骤旨在包括使得一个或多个其它方或实体执行与下列权利要求的可专利性相一致的步骤的任何合适的方法，除非明确地提供了不同的含义或者从上下文。这些各方或实体不需要受任何其它方或实体的指导或控制，不需要位于特定管辖区内。

虽然已经结合已显示和详细描述的某些优选实施例公开了本文描述的方法和***，但是对于本领域技术人员而言，其各种修改和改进可能变得显而易见。因此，本文描述的方法和***的精神和范围不受上述示例的限制，而是在法律允许的最广泛的意义上被理解。

本文引用的所有文献通过引用并入本文。

Claims (22)

1.一种用于为企业计算环境提供增强的安全性的***，包括：

计算平台，用于与一个或多个云服务接合以收集同所述企业计算环境的实体与所述云服务中的每一个的交互或在云服务之间发生的涉及所述实体的交互有关的数据；

一个或多个数据库，所述收集的数据被存储在所述一个或多个数据库中；

在所述计算平台上执行的一个或多个模块，所述模块向所述计算环境提供同所述实体与所述云服务的交互或在云服务之间发生的涉及所述实体的交互有关的服务；以及

提供对所述收集的数据和所述服务的访问的一个或多个接口。

2.根据权利要求1所述的***，其中所述一个或多个模块包括以下各项中的至少一项：

选择性加密模块，被配置为当数据被传送到所述云服务中的至少一个时，至少加密所述数据中的选定部分；

策略引擎模块，被配置为针对所述云服务中的至少一个指定和执行与所述实体中的至少一个相关的策略；

应用防火墙模块，被配置为从多个云服务收集和统一所述收集的数据；

用户和实体行为分析模块，被配置用于检测关于所述实体交互的模式；以及

作为服务模块的内容分类，被配置为使得所述实体交互中涉及的企业的内容能够自动分类。

3.根据权利要求1所述的***，其中所述计算平台执行以下功能：

识别涉及所述实体的交互的云服务；

用所述云服务识别所述实体的活动；

识别在所述云服务之间发生的涉及所述实体的活动；

分析所述活动以确定所述活动是否对所述企业计算环境构成威胁；

并且响应于确定一个或多个活动对所述企业计算环境构成威胁，部署至少一个安全模块来解决威胁。

4.根据权利要求1所述的***，其中所述实体包括以下各项中的至少一项：企业的用户、企业的用户所使用的应用、企业的数据对象以及针对所述用户、所述应用和所述数据对象发生的事件。

5.根据权利要求1所述的***，其中所述一个或多个接口实现所述计算平台与开发环境之间的连接。

6.根据权利要求1所述的***，其中所述一个或多个接口使得能够在所述模块中的至少一个与企业安全***之间交换数据。

7.根据权利要求1所述的***，其中所述云服务包括SaaS应用、云平台、作为服务环境的基础设施和作为服务环境的平台中的至少一个。

8.根据权利要求6所述的***，其中所述一个或多个接口有助于从所述云服务中的至少一个收集关于所述实体的信息。

9.如权利要求1所述的***，其中所述模块中的至少一个是内容分析模块和内容分类模块中的至少一个。

10.根据权利要求1所述的***，其中所述模块中的至少一个是应用防火墙模块。

11.根据权利要求1所述的***，其中所述模块中的至少一个是安全分析模块和威胁情报模块中的至少一个。

12.根据权利要求1所述的***，其中所述模块中的至少一个是加密管理模块。

13.根据权利要求1所述的***，其中所述模块中的至少一个是事件管理模块和策略引擎中的至少一个。

14.根据权利要求1所述的***，其中所述模块中的至少一个是上下文分析模块。

15.根据权利要求1所述的***，其中所述模块中的至少一个是审计模块。

16.根据权利要求1所述的***，其中所述模块中的至少一个是用户行为监视模块和用户行为分析模块中的至少一个。

17.根据权利要求1所述的***，其中所述模块中的至少一个是配置安全模块和配置管理模块中的至少一个。

18.根据权利要求1所述的***，还包括统一应用防火墙平台，用于收集与云实体、企业网络实体和安全***实体有关的信息并将所述信息存储在统一安全模型中。

19.根据权利要求1所述的***，其中所述统一安全模型包括针对应用的至少部分地从由所述计算环境中的用户贡献的关于所述应用的信息导出的社区信任评级。

20.根据权利要求1所述的***，其中所述统一安全模型中的信息用于产生应用索引、应用风险评级和用户风险评级中的至少一个。

21.根据权利要求1所述的***，还包括用于对所述统一安全模型中的数据进行操作的网络智能***，所述网络智能***包括用于检测与用户和应用中的至少一个有关的事件中的异常的机器学习***。

22.一种用于为企业计算环境提供增强的安全性的***，包括：

计算平台，执行以下功能：

与一个或多个云服务接合以收集关于所述计算环境中的实体与所述云服务中的每一个之间的交互的数据；

将所述收集的数据存储在数据库中；

向所述计算环境提供关于所述实体与所述云服务的交互的服务；以及

经由一个或多个应用编程接口提供对所述收集的数据和所述服务的访问。