Podpora

Podpora řešení pro firmy

Kaspersky Endpoint Security 12 pro systém Windows

Poskytování údajů

Poskytování dat při používání služby Kaspersky Security Network

Kaspersky Endpoint Security 12 pro systém Windows
Нет результатов
Нет результатов
Online nápověda
Často kladené dotazy Požadavky na systém Stáhnout Koupit Obnovit Fórum Kontaktovat podporu Nástroje pro obnovení Videa k produktu

Poskytování dat při používání služby Kaspersky Security Network

14. února 2024

ID 165983

Uložit jako PDF

Sada dat, kterou aplikace Kaspersky Endpoint Security odesílá společnosti Kaspersky, závisí na typu licence a nastavení využití služby Kaspersky Security Network.

Používání KSN na základě licence na maximálně 4 počítačích

Přijetím prohlášení služby Kaspersky Security Network Statement souhlasíte s automatickým přenesením těchto informací:

  • informace o aktualizacích konfigurace služby KSN: identifikátor aktivní konfigurace, identifikátor obdržené konfigurace, chybový kód aktualizace konfigurace;
  • informace o souborech a adresách URL, které mají být kontrolovány: kontrolní součty kontrolovaného souboru (MD5, SHA2-256, SHA1) a vzory souboru (MD5), velikost vzoru, typ zjištěné hrozby a její název dle klasifikace nositele práv, identifikátor antivirových databází, adresa URL, pro kterou je požadována reputace, stejně jako adresa URL odkazujícího, identifikátor protokolu připojení a počet používaných portů;
  • ID úlohy kontroly, která hrozbu detekovala;
  • informace o používaných digitálních certifikátech potřebných k ověření jejich pravosti: kontrolní součty (SHA256) certifikátu použitého k podepsání kontrolovaného objektu a veřejný klíč certifikátu;
  • identifikátor softwarové součásti provádějící kontrolu;
  • ID antivirových databází a záznamů v těchto antivirových databázích;
  • informace o aktivaci softwaru v počítači: podepsaná hlavička lístku od aktivační služby (identifikátor místního aktivačního střediska, kontrolní součet aktivačního kódu, kontrolní součet lístku, datum vytvoření lístku, jedinečný identifikátor lístku, verze lístku, stav licence, datum a čas zahájení a ukončení platnosti lístku, jedinečný identifikátor licence, verze licence), identifikátor certifikátu použitého k podepsání hlavičky lístku, kontrolní součet (MD5) souboru klíče;
  • informace o softwaru držitele práv: plná verze, typ, verze protokolu použitého pro připojení ke službám společnosti Kaspersky.

Používání KSN na základě licence na maximálně 5 nebo více počítačích

Přijetím prohlášení služby Kaspersky Security Network Statement souhlasíte s automatickým přenesením těchto informací:

Pokud je zaškrtnuto políčko Kaspersky Security Network a není zaškrtnuto políčko Povolit rozšířený režim KSN, aplikace odesílá následující informace:

  • informace o aktualizacích konfigurace služby KSN: identifikátor aktivní konfigurace, identifikátor obdržené konfigurace, chybový kód aktualizace konfigurace;
  • informace o souborech a adresách URL, které mají být kontrolovány: kontrolní součty kontrolovaného souboru (MD5, SHA2-256, SHA1) a vzory souboru (MD5), velikost vzoru, typ zjištěné hrozby a její název dle klasifikace nositele práv, identifikátor antivirových databází, adresa URL, pro kterou je požadována reputace, stejně jako adresa URL odkazujícího, identifikátor protokolu připojení a počet používaných portů;
  • ID úlohy kontroly, která hrozbu detekovala;
  • informace o používaných digitálních certifikátech potřebných k ověření jejich pravosti: kontrolní součty (SHA256) certifikátu použitého k podepsání kontrolovaného objektu a veřejný klíč certifikátu;
  • identifikátor softwarové součásti provádějící kontrolu;
  • ID antivirových databází a záznamů v těchto antivirových databázích;
  • informace o aktivaci softwaru v počítači: podepsaná hlavička lístku od aktivační služby (identifikátor místního aktivačního střediska, kontrolní součet aktivačního kódu, kontrolní součet lístku, datum vytvoření lístku, jedinečný identifikátor lístku, verze lístku, stav licence, datum a čas zahájení a ukončení platnosti lístku, jedinečný identifikátor licence, verze licence), identifikátor certifikátu použitého k podepsání hlavičky lístku, kontrolní součet (MD5) souboru klíče;
  • informace o softwaru držitele práv: plná verze, typ, verze protokolu použitého pro připojení ke službám společnosti Kaspersky.

Pokud je kromě políčka Kaspersky Security Network zaškrtnuto také políčko Povolit rozšířený režim KSN, aplikace kromě výše uvedených informací odesílá také následující informace:

  • informace o výsledcích kategorizace požadovaných webových zdrojů, které obsahují zpracovanou adresu URL a IP adresu hostujícího počítače, verzi komponenty softwaru, která kategorizaci provedla, metodu kategorizace a sadu kategorií definovaných pro webový zdroj;
  • informace o softwaru instalovaném v počítači: názvy softwarových aplikací a jejich dodavatelů, klíčů registru a jejich hodnoty, informace o souborech nainstalovaných softwarových komponent (kontrolní součty (MD5, SHA2-256, SHA1), název, cesta k umístění souboru v počítači, velikost, verze a digitální podpis);
  • informace o stavu antivirové ochrany počítače: verze a časové značky vydání použitých antivirových databází, ID úlohy a ID softwaru, který provádí kontrolu;
  • informace o souborech stahovaných koncovým uživatelem: adresy URL a IP adresy stažených položek a stránky, ze kterých byly staženy, identifikátor protokolu stahování a číslo portu připojení, stav adres URL jako škodlivých nebo bezpečných, atributy, velikost a kontrolní součty souboru (MD5, SHA2-256, SHA1), informace o procesu, který soubor stáhl (kontrolní součty [MD5, SHA2-256, SHA1], datum a čas vytvoření/sestavení, stav automatického spuštění, atributy, názvy komprimačních nástrojů, informace o podpisech, příznak spustitelného souboru, identifikátor formátu a entropie), název souboru a cesta k jeho umístění v počítači, digitální podpis souboru a časová značka jeho vytvoření, adresa URL, kde došlo k nálezu, číslo skriptu na stránce, která se jeví jako podezřelá nebo škodlivá, informace o vygenerovaných požadavcích HTTP a odpovědích na ně;
  • informace o spuštěných aplikacích a jejich modulech: data o spuštěných systémových procesech (ID nebo PID procesu, název procesu, informace o účtu, ze kterého byl proces spuštěn, aplikace a příkaz, které proces spustily, podpis důvěryhodného programu nebo procesu, úplná cesta k souborům procesu a jejich kontrolní součty (MD5, SHA2-256, SHA1) a spouštěcí příkazový řádek, úroveň integrity procesu, popis produktu, kterému proces náleží (název produktu a informace o vydavateli), stejně jako použité digitální certifikáty a informace potřebné k ověření jejich pravosti nebo informace o chybějícím digitálním podpisu souboru) a informace o modulech načtených do procesů (jejich názvy, velikosti, typy, data vytvoření, atributy, kontrolní součty (MD5, SHA2-256, SHA1), cesty k jejich umístění v počítači), informace o záhlaví souboru PE, názvy komprimačních nástrojů (pokud je soubor zkomprimován);
  • informace o všech potenciálně škodlivých objektech a aktivitách: název zjištěného objektu a úplná cesta k objektu v počítači, kontrolní součty zpracovaných souborů (MD5, SHA2-256, SHA1), datum a čas zjištění, názvy a velikosti infikovaných souborů a cesty k nim, kód šablony cesty, příznak spustitelného souboru, ukazatel toho, zda je objekt kontejnerem, názvy komprimačního nástroje (pokud byl soubor zkomprimován), kód typu souboru, ID formátu souboru, seznam akcí provedených malwarem a rozhodnutí učiněné softwarem a uživatelem v reakci na ně, ID antivirových databází a záznamů v těchto antivirových databázích použitých k učinění rozhodnutí, indikátor potenciálně škodlivého objektu, název zjištěné hrozby podle klasifikace držitele práv, úroveň nebezpečí, stav zjištění a metoda zjištění, důvod zahrnutí do analyzovaného kontextu a pořadové číslo souboru v kontextu, kontrolní součty (MD5, SHA2-256, SHA1), název a atributy spustitelného souboru aplikace, prostřednictvím které byla přenesena infikovaná zpráva nebo odkaz, depersonalizované IP adresy (protokol IPv4 a IPv6) hostitele blokovaného objektu, entropie souboru, ukazatel automatického spuštění souboru, čas prvního zjištění souboru v systému, počet spuštění souboru od odeslání posledních statistik, informace o názvu, kontrolních součtech (MD5, SHA2-256, SHA1) a velikosti poštovního klienta, prostřednictvím kterého byl přijat škodlivý objekt, ID softwarové úlohy, která provedla kontrolu, ukazatel toho, zda byly zkontrolovány důvěryhodnost nebo podpis souboru, výsledek zpracování souboru, kontrolní součet (MD5) vzoru shromážděného pro objekt, velikost vzoru v bajtech a technické specifikace použitých technologií detekce;
  • informace o kontrolovaných objektech: přiřazená skupina důvěryhodnosti, do které nebo ze které byl soubor umístěn nebo odebrán, důvod, proč byl soubor umístěn do dané kategorie, identifikátor kategorie, informace o zdroji kategorií a verze databáze kategorií, příznak důvěryhodného certifikátu souboru, název dodavatele souboru, verze souboru, název a verze softwarové aplikace, která obsahuje soubor;
  • informace o zjištěných slabých místech: ID slabého místa v databázi slabých míst, třída nebezpečí slabého místa;
  • informace o emulaci spustitelného souboru: velikost souboru a jeho kontrolní součty (MD5, SHA2-256, SHA1), verze komponenty emulace, hloubka emulace, pole vlastností logických bloků a funkcí v rámci logických bloků obdržených během emulace, data ze záhlaví PE spustitelného souboru;
  • IP adresy počítače, který zaútočil (IPv4 a IPv6), číslo portu počítače, na který byl útok veden, identifikátor protokolu paketu IP obsahujícího útok, cíl útoku (název organizace, webová stránka), příznak reakce na útok, závažnost útoku, úroveň důvěryhodnosti;
  • informace o útocích přidružených k falšovaným síťovým prostředkům, adresy DNS a IP adresy (IPv4 a IPv6) navštívených webových stránek;
  • adresa DNS a IP adresa (IPv4 a IPv6) požadovaného webového prostředku, informace o souboru a webovém klientovi využívajícím webový prostředek, název, velikost a kontrolní součty (MD5, SHA2-256, SHA1) souboru, úplná cesta k souboru a kód šablony cesty, výsledek kontroly jeho digitálního podpisu a jeho stav podle služby KSN;
  • informace o vrácení akcí malwaru: data o souboru, jehož aktivita byla vrácena zpět (název souboru, úplná cesta k souboru, jeho velikost a kontrolní součty (MD5, SHA2-256, SHA1)), data o úspěšných a neúspěšných akcích odstranění, přejmenování a kopírování souborů a obnovení hodnot v registru (názvy klíčů registru a jejich hodnoty) a informace o systémových souborech změněných malwarem, a to před vrácením změn a po něm;
  • informace o výjimkách nastavených pro součást Adaptivní kontrola anomálií: ID a stav spuštěného pravidla, akce provedená softwarem při spuštění pravidla, typ uživatelského účtu, pod kterým proces nebo vlákno provádí podezřelou aktivitu, a informace o procesu, který provedl podezřelou aktivitu nebo jí byl vystaven (ID skriptu nebo název souboru procesu, úplná cesta k souboru procesu, kód šablony cesty, kontrolní součty (MD5, SHA2-256, SHA1) souboru procesu); informace o objektu, který prováděl podezřelé aktivity, a o objektu, který byl podezřelým aktivitám vystaven (název klíče registru nebo název souboru, úplná cesta k souboru, kód šablony cesty a kontrolní součty (MD5, SHA2-256, SHA1) souboru);
  • informace o načtených softwarových modulech: název, velikost a kontrolní součty (MD5, SHA2-256, SHA1) souboru modulu, úplná cesta k němu a kód šablony pro cestu, nastavení digitálního podpisu souboru modulu, datum a čas vytvoření podpisu, název subjektu a organizace, které podepsaly soubor modulu, identifikátor procesu, ve kterém byl modul načten, název dodavatele modulu a číslo indexu modulu ve frontě načtení;
  • informace o kvalitě interakce softwaru se službami KSN: datum zahájení a ukončení a doba, po kterou byly statistiky generovány, informace o kvalitě požadavků a připojení ke každé použité službě KSN (ID služby KSN, počet úspěšných požadavků, počet požadavků s odpovědí z mezipaměti, počet neúspěšných požadavků (problémy se sítí, vypnutí služby KSN nastavení softwaru, nesprávné směrování), časový rozsah úspěšných požadavků, časový rozsah zrušených požadavků, časový rozsah požadavků s překročeným časovým limitem, počet připojení ke službě KSN z mezipaměti, počet úspěšných připojení ke službě KSN, počet neúspěšných připojení ke službě KSN, počet úspěšných transakcí, počet neúspěšných transakcí, časový rozsah úspěšných připojení ke službě KSN, časový rozsah neúspěšných připojení ke službě KSN, časový rozsah úspěšných transakcí, časový rozptyl neúspěšných transakcí);
  • pokud je rozpoznán potenciálně škodlivý objekt, jsou poskytnuty informace o datech v paměti daného procesu: prvky hierarchie objektů systému (ObjectManager), data v paměti UEFI BIOS, názvy klíčů registru a jejich hodnoty;
  • informace o událostech v protokolech systému: časová značka události, název protokolu, ve kterém byla událost nalezena, typ a kategorie události, název zdroje události a popis události;
  • informace o síťových připojeních: verze a kontrolní součty (MD5, SHA2-256, SHA1) souboru, ze kterého byl spuštěn proces, který otevřel port, cesta k souboru procesu a jeho digitální podpis, místní a vzdálená IP adresa, číslo místního a vzdáleného portu připojení, stav připojení, časová značka otevření portu;
  • informace o datu instalace a aktivace softwaru v počítači: ID partnera, který licenci prodal, sériové číslo licence, podepsané záhlaví lístku z aktivační služby (ID regionálního aktivačního centra, kontrolní součet aktivačního kódu, kontrolní součet lístku, datum vytvoření lístku, jedinečné ID lístku, verze lístku, stav licence, datum a čas zahájení/ukončení lístku, jedinečné ID licence, verze licence), ID certifikátu použitého k podepsání záhlaví lístku, kontrolní součet (MD5) souboru klíče, jedinečné ID instalace softwaru v počítači, typ a ID aktualizované aplikace, ID úlohy aktualizace;
  • informace o sadě všech instalovaných aktualizací a sada nejnověji instalovaných/odebraných aktualizací, typ události, která způsobila odeslání informací o aktualizaci, doba od poslední aktualizace instalace, informace o všech aktuálně instalovaných antivirových databázích;
  • informace o provozu softwaru v počítači: data o využití procesoru, data o využití paměti (privátní bajty, nestránkovaný fond, stránkovaný fond), počet aktivních vláken v softwarovém procesu a nevyřízené hrozby a doba trvání provozu softwaru před chybou;
  • počet výpisů softwaru a systému (BSOD) od instalace softwaru a jeho poslední aktualizace, identifikátor verze modulu softwaru, který selhal, paměťový zásobník procesu softwaru, informace o antivirových databázích v době selhání;
  • údaje o výpisu systému (BSOD): příznak označující výskyt BSOD v počítači, název ovladače, který způsobil BSOD, adresa a paměťový zásobník ovladače, příznak označující dobu trvání relace OS před výskytem BSOD, paměťový zásobník ovladače, který selhal, typ uloženého výpisu paměti, příznak relace OS, která před výpisem BSOD trvala více než 10 minut, jedinečný identifikátor výpisu, časová značka BSOD;
  • informace o chybách nebo problémech s výkonem, ke kterým došlo při používání softwarových komponent: ID stavu softwaru, typ, kód, příčina a čas výskytu chyby, ID komponenty, modul a proces produktu, u kterého k chybě došlo, ID kategorie úlohy nebo aktualizace, během které došlo k chybě, protokoly ovladačů použitých softwarem (chybový kód, název modulu, název zdrojového souboru a řádek, ve kterém došlo k chybě);
  • informace o aktualizacích antivirových databází a komponent softwaru: název, datum a časový údaj indexových souborů stažených během poslední aktualizace a stahovaných během aktuální aktualizace;
  • informace o neočekávaném ukončení operace softwaru: vytvoření časové značky výpisu, jeho typ, typ události, která způsobila neočekávané ukončení operace softwaru (neočekávané přerušení napájení, selhání aplikace třetí strany), datum a čas neočekávaného přerušení napájení;
  • informace o kompatibilitě ovladačů softwaru s hardwarem a softwarem: informace o vlastnostech OS, které omezují fungování komponent softwaru (Secure Boot, KPTI, WHQL Enforce, BitLocker, rozlišování velikosti písma), typ nainstalovaného stahovacího softwaru (UEFI, BIOS), identifikátor Trusted Platform Module (TPM), specifikace verze TPM, informace o procesoru instalovaném v počítači, provozní režim a parametry integrity kódu a režimu Device Guard, provozní režim ovladačů a důvod použití stávajícího režimu, verze ovladačů softwaru, stav podpory virtualizace softwaru a hardwaru na počítači;
  • informace o aplikacích třetích stran, které chybu způsobily: jejich název, verze a umístění, chybový kód a informace o chybě ze systémového protokolu aplikací, adresa chyby a paměťový zásobník aplikace třetí strany, příznak označující výskyt chyby v komponentě softwaru, doba, po kterou aplikace třetí strany fungovala, než došlo k chybě, kontrolní součty (MD5, SHA2-256, SHA1) obrazu procesu aplikace, ve kterém k chybě došlo, cesta k obrazu procesu aplikace a kód šablony cesty, informace ze systémového protokolu s popisem chyby přidružené k aplikaci, informace o režimu aplikace, ve které k chybě došlo (identifikátor výjimky, paměťová adresa selhání jako logická adresa v modulu aplikace, název a verze modulu, identifikátor selhání aplikace v modulu plugin nositele práv a paměťový zásobník selhání, doba trvání relace aplikace před selháním);
  • verze komponenty aktualizátoru softwaru, počet selhání komponenty aktualizátoru při běhu úloh aktualizace během životnosti komponenty, ID typu úlohy aktualizace, počet neúspěšných pokusů komponenty aktualizátoru o dokončení úloh aktualizace;
  • informace o provozu komponent monitorování systému softwaru: plné verze komponent, datum a čas spuštění komponent, kód události, která přetekla frontu události, a počet takových událostí, celkový počet událostí přetečení fronty, informace o souboru procesu iniciátoru události (název souboru a jeho cesta v počítači, kód šablony cesty k souboru, kontrolní součty [MD5, SHA2-256, SHA1] procesu přidruženého k souboru, verze souboru), identifikátor zachycení události, ke kterému došlo, plná verze filtru zachycení, identifikátor typu zachycené události, velikost fronty událostí a počet událostí mezi první událostí ve frontě a aktuální událostí, počet zpožděných událostí ve frontě, informace o souboru procesu iniciátoru aktuální události (název souboru a jeho cesta v počítači, kód šablony cesty k souboru, kontrolní součty [MD5, SHA2-256, SHA1] procesu přidruženého k souboru), doba trvání zpracování události, maximální doba trvání zpracování události, pravděpodobnost odeslání statistik, informace o událostech operačního systému, u kterých byl překročen časový limit zpracování (datum a čas události, počet opakovaných inicializací antivirové databáze, datum a čas poslední opakované inicializace antivirových databází po jejich aktualizaci, doba zpoždění zpracování událostí u každé komponenty monitorování systému, počet událostí ve frontě, počet zpracovaných událostí, počet zpožděných událostí stávajícího typu, celková doba zpoždění u událostí stávajícího typu, celková doba zpoždění u všech událostí);
  • informace z nástroje Windows pro sledování událostí (Event Tracing for Windows, ETW) v případě problémů s výkonem softwaru, dodavatelé událostí SysConfig/SysConfigEx/WinSATAssessment od společnosti Microsoft: informace o počítači (model, výrobce, formát skříně, verze), informace o výkonnostních metrikách systému Windows (hodnocení WinSAT, index výkonnosti systému Windows), název domény, informace o fyzických a logických procesorech (počet fyzických a logických procesorů, výrobce, model, číslo verze, počet jader, hodinový takt, CPUID, vlastnosti mezipaměti, vlastnosti logického procesoru, indikátory podporovaných režimů a pokynů), informace o modulech RAM (typ, formát, výrobce, model, kapacita, granulární povaha přidělení paměti), informace o síťových rozhraních (adresy IP a MAC, název, popis, konfigurace síťových rozhraní, rozdělení počtu a velikosti síťových balíčků podle typu, analýza síťové výměny, analýza počtu chyb sítě podle typu), konfigurace řadiče IDE, IP adresy serverů DNS, informace o grafické kartě (model, popis, výrobce, kompatibilita, kapacita grafické paměti, oprávnění obrazovky, počet bitů na pixel, verze systému BIOS), informace o zařízeních plug-and-play (název, popis, identifikátor zařízení [PnP, ACPI], informace o discích a úložných zařízeních (počet disků nebo jednotek flash, výrobce, model, kapacita disku, počet cylindrů, počet stop na cylindr, počet oddílů na sektor, kapacita sektoru, vlastnosti mezipaměti, sekvenční číslo, počet oddílů, konfigurace řadiče SCSI), informace o logických discích (sekvenční číslo, kapacita oddílu, kapacita svazku, písmeno svazku, typ oddílu, typ souborového systému, počet clusterů, velikost clusteru, počet sektorů na cluster, počet prázdných a využitých clusterů, písmeno spouštěcího svazku, offsetová adresa oddílu vzhledem k začátku disku), informace o základní desce BIOS (výrobce, datum výroby, verze), informace o základní desce (výrobce, model, typ), informace o fyzické paměti (sdílená a volná kapacita), informace o službách operačního systému (název, popis, stav, štítek, informace o procesech [název a PID]), parametry spotřeby energie počítače, konfigurace řadiče přerušení, cesta do systémových složek Windows (Windows a System32), informace o OS (verze, sestavení, datum vydání, název, typ, datum instalace), velikost stránkovacího souboru, informace o monitorech (počet, výrobce, oprávnění obrazovky, možnosti rozlišení, typ), informace o ovladači grafické karty (výrobce, datum výroby, verze);
  • informace z nástroje ETW, dodavatelé událostí EventTrace/EventMetadata od společnosti Microsoft: informace o pořadí systémových událostí (typ, čas, datum, časové pásmo), metadata souboru s výsledky trasování (název, struktura, parametry trasování, analýza počtu operací trasování podle typu), informace o OS (název, typ, verze, sestavení, datum vydání, čas spuštění);
  • informace z nástroje ETW, dodavatelé událostí Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power od společnosti Microsoft: informace o zahájených a dokončených procesech (název, PID, parametry spuštění, příkazový řádek, kód návratu, parametry správy napájení, čas zahájení a dokončení, typ přístupového tokenu, SID, SessionID, počet instalovaných deskriptorů), informace o změnách priorit vlákna (TID, priorita, čas), informace o operacích disku v procesu (typ, čas, kapacita, počet), historie změn struktury a kapacity procesů použitelné paměti;
  • informace z nástroje ETW, dodavatelé událostí StackWalk / Perfinfo od společnosti Microsoft: informace o měřičích výkonu (výkon jednotlivých částí kódu, sekvence funkčních volání, PID, TID, adresy a atributy mechanismů ISR a DPC);
  • informace z nástroje ETW, dodavatelé událostí KernelTraceControl-ImageID od společnosti Microsoft: informace o spustitelných souborech a dynamických knihovnách (název, velikost bitové kopie, úplná cesta), informace o souborech PDB (název, identifikátor), data prostředků VERSIONINFO pro spustitelné soubory (název, popis, tvůrce, umístění, verze a identifikátor aplikace, verze a identifikátor souboru);
  • informace z nástroje ETW, dodavatelé událostí FileIo / DiskIo / Image / Windows Kernel Disk od společnosti Microsoft: informace o operacích souboru a disku (typ, kapacita, čas spuštění, čas dokončení, trvání, stav dokončení, PID, TID, adresy volání funkce ovladače, I/O Request Packet (IRP), atributy objektu souboru Windows), informace o souborech zapojených do operací souboru a disku (název, verze, velikost, úplná cesta, atributy, offset, kontrolní součet bitové kopie, možnosti otevření a přístupu);
  • informace z nástroje ETW, dodavatelé událostí PageFault od společnosti Microsoft: informace o chybách přístupu ke stránce paměti (adresa, čas, kapacita, PID, TID, atributy objektu souboru systému Windows, parametry přidělení paměti);
  • informace z nástroje ETW, dodavatelé událostí Thread od společnosti Microsoft: informace o vytváření/dokončení vláken, informace o spuštěných vláknech (PID, TID, velikost zásobníku, priority a přidělení zdrojů CPU, zdroje I/O, paměťové stránky mezi vlákny, adresa zásobníku, adresa funkce inicializace, adresa prvku Thread Environment Block (TEB), servisní štítek systému Windows);
  • informace z nástroje ETW, dodavatelé událostí Microsoft Windows Kernel Memory od společnosti Microsoft: informace o operacích správy paměti (stav dokončení, čas, množství, PID), struktura přidělení paměti (typ, kapacita, SessionID, PID);
  • informace o provozu softwaru v případě problémů s výkonem: identifikátor instalace softwaru, typ a hodnota poklesu výkonu, informace o sekvenci událostí v softwaru (čas, časové pásmo, typ, stav dokončení, identifikátor komponenty softwaru, identifikátor operačního scénáře softwaru, TID, PID, adresy volání funkce), informace o síťových připojeních ke kontrole (adresa URL, směr připojení, velikost síťového balíčku), informace o souborech PDB (název, identifikátor, velikost bitové kopie spustitelného souboru), informace o souborech ke kontrole (název, úplná cesta, kontrolní součet), parametry monitorování výkonu softwaru;
  • informace o posledním úspěšném restartování OS: počet neúspěšných restartování od instalace OS, údaje týkající se výpisu systému (kód a parametry chyby, název, verze a kontrolní součet [CRC32] modulu, který způsobil chybu v operaci OS, adresa chyby jako logická adresa modulu, kontrolní součty [MD5, SHA2-256, SHA1] výpisu systému);
  • informace k ověření pravosti digitálních certifikátů používaných k podepsání souborů: otisk prstu na certifikátu, algoritmus kontrolního součtu, veřejný klíč a sériové číslo certifikátu, název vystavitele certifikátu, výsledek ověření certifikátu a identifikátor databáze certifikátu;
  • informace o procesu, který útočí na sebeobranu softwaru: název a velikost souboru procesu, jeho kontrolní součty (MD5, SHA2-256, SHA1), úplná cesta k souboru procesu a kód šablony cesty k souboru, časové značky vytvoření/sestavení, příznak spustitelného souboru, atributy souboru procesu, informace o certifikátu použitém k podepsání souboru procesu, kód účtu použitého ke spuštění procesu, ID operací provedených za účelem přístupu k procesu, typ prostředku, pomocí kterého je operace provedena (proces, soubor, objekt registru, funkce vyhledávání FindWindow), název prostředku, pomocí kterého je operace provedena, příznak označující úspěch operace, stav souboru procesu a jeho podpis podle služby KSN;
  • informace o softwaru držitele práv: plná verze, typ, lokalizace a provozní stav použitého softwaru, verze nainstalovaných softwarových komponent a jejich provozní stav, informace o nainstalovaných aktualizacích softwaru, hodnota filtru TARGET, verze použitého protokolu sloužícího k připojení ke službám držitele práv;
  • informace o hardwaru instalovaném v počítači: typ, název, název modelu, verze firmwaru, parametry vestavěných a připojených zařízení, jedinečný identifikátor počítače s instalovaným softwarem;
  • informace o verzích operačního systému a instalovaných aktualizacích, velikost slova, verze a parametry režimu spuštění OS, verze a kontrolní součty (MD5, SHA2-256, SHA1) souboru jádra OS a datum a čas spuštění OS;
  • spustitelné a nespustitelné soubory, ať už zcela nebo částečně;
  • části paměti RAM počítače;
  • sektory, jež jsou součástí procesu spuštění OS;
  • datové pakety v síťovém provozu;
  • webové stránky obsahující podezřelé a škodlivé objekty;
  • popis tříd a instancí tříd úložiště WMI;
  • zprávy o aktivitě aplikací:
    • název, velikost a verze odesílaného souboru, jeho popis a kontrolní součty (MD5, SHA2-256, SHA1), identifikátor formátu souboru, jméno dodavatele souboru, název produktu, ke kterému soubor patří, úplná cesta k souboru v počítači, kód šablony cesty, časové značky vytvoření a úpravy souboru;
    • počáteční a koncové datum a čas období platnosti certifikátu (pokud má soubor digitální podpis), datum a čas podpisu, jméno vydavatele certifikátu, informace o držiteli certifikátu, otisk prstu, veřejný klíč certifikátu a příslušné algoritmy a sériové číslo certifikátu;
    • název účtu, ze kterého je proces spuštěn;
    • kontrolní součty (MD5, SHA2-256, SHA1) názvu počítače, ve kterém je spuštěn proces;
    • názvy oken procesu;
    • Identifikátor antivirových databází, název zjištěné hrozby podle klasifikace držitelů práv;
    • údaje o nainstalované licenci, jejím identifikátoru, typu a datu konce platnosti;
    • místní čas počítače v okamžiku poskytnutí informace;
    • názvy a cesty k souborům, k nimž proces přistoupil;
    • názvy klíčů registru a jejich hodnoty, ke kterým proces přistoupil;
    • URL a IP adresy, ke kterým proces přistoupil;
    • URL a IP adresy, ze kterých byl spuštěný soubor stažen.

Byl článek užitečný?
Co můžeme vylepšit?
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.
Děkujeme za vaši zpětnou vazbu! Pomáháte nám se zlepšovat.