Tudnivalók az adatszolgáltatásról a Kaspersky Security Network használata közben
A Kaspersky Security Network nyilatkozat elfogadásával beleegyezik, a következő információk automatikus továbbításába:
Ha a Kaspersky Security Network jelölőnégyzet kijelölve, a Kiterjesztett KSN mód engedélyezése jelölőnégyzet pedig törölve van, a következő információk lesznek továbbítva:
a KSN konfigurációs fájljainak frissítésére vonatkozó információk: az aktív konfiguráció azonosítója, a kapott konfiguráció azonosítója, a konfigurációs frissítés hibakódja;
az ellenőrizendő fájlokkal és URL-címekkel kapcsolatos információk: az ellenőrzött fájl ellenőrzőösszegei (MD5, SHA2-256, SHA1) és a fájlminták (MD5), a minta mérete, az észlelt fenyegetés típusa és a Jogbirtokos besorolása szerinti megnevezése, a víruskereső adatbázisok azonosítója, az URL-cím, amelyhez a megbízhatóság ellenőrzését kérelmezték, illetve a hivatkozó URL-cím, a kapcsolat protokollazonosítója és a használt portok száma;
Annak a vizsgálati feladatnak az azonosítója, amely alatt a fenyegetés észlelve volt
a használt digitális tanúsítványok hitelességének ellenőrzéséhez szükséges információk: az ellenőrzött objektum megjelöléséhez használt tanúsítvány ellenőrzőösszegei (SHA2-256) és a tanúsítvány nyilvános kulcsa;
A vizsgálatot végző szoftverösszetevő azonosítója;
Az antivírus adatbázisok és ezen antivírus adatbázisok jelentéseinek azonosítói;
A jogtulajdonos szoftverének információi: a Kaspersky Endpoint Security típusa és teljes verziója, a Kaspersky szolgáltatáshoz történő csatlakozáshoz használt protokoll verziója;
A számítógépen lévő szoftver aktiválásának információi: az aktiválási szolgáltatástól kapott jegy aláírt fejléce (a regionális aktiválási központ azonosítója, az aktiválási kód ellenőrzőösszege, a jegy ellenőrzőösszege, a jegy létrehozási dátuma, a jegy egyedi azonosítója, a jegy verziója, a licenc állapota, a jegy érvényességének kezdési/befejezési dátuma és időpontja, a licenc egyedi azonosítója, a licenc verziója), a jegy fejlécének aláírására használt tanúsítvány azonosítója és a kulcsfájl ellenőrzőösszege (MD5).
Ha a Kiterjesztett KSN mód engedélyezése és a Kaspersky Security Network jelölőnégyzet és be van jelölve, a fentiek mellett a következő információk is továbbítva lesznek:
információk a kért webes erőforrások kategorizálásának eredményeiről, amelyek tartalmazzák a gazdagép feldolgozott URL- és IP-címét, a Szoftverösszetevő verzióját, amely a kategorizálást végezte, a kategorizálás módszerét és a webes erőforrás számára meghatározott kategóriák halmazát;
a számítógépre telepített szoftverre vonatkozó információ: a szoftveres alkalmazások és szoftverszállítók neve, regisztrációs kulcsok és azok értéke, a telepített szoftverösszetevők fájljaira vonatkozó információk (ellenőrzőösszeg (MD5, SHA2-256, SHA1), a Számítógépen lévő fájl neve, elérési útja, mérete, verziója és digitális aláírása);
a Számítógép vírusvédelmének állapotára vonatkozó információk: a használt víruskereső adatbázisok verziója és kiadási időbélyegzői, a vizsgálatot végrehajtó feladat azonosítója;
a Végfelhasználó által letöltött fájlokkal kapcsolatos információk: a letöltés URL- és IP-címe és a letöltési oldalak, a letöltés protokollazonosítója és a kapcsolódási port száma, hogy az URL-címek kártékonyak vagy sem, a fájl jellemzői, mérete és az ellenőrzőösszegek (MD5, SHA2-256, SHA1), a fájl letöltésének folyamatával kapcsolatos információ (ellenőrzőösszegek (MD5, SHA2-256, SHA1), létrehozás/kialakítás dátuma és ideje, automatikus lejátszás státusza, jellemzői, a csomagolók neve, információ az aláírásokkal kapcsolatban, végrehajtható fájl jelölése, formátumazonosító és entrópia), a folyamatfájlra vonatkozó adatok (név, fájl elérési útja és mérete), a fájl neve és elérési útja a Számítógépen, a fájl digitális aláírása és létrehozásának időbélyegzője, az URL-cím, ahol az észlelés történt, a parancsfájlszám a gyanúsnak vagy kártékonynak tűnő oldalon;
a futó alkalmazásokkal és azok moduljaival kapcsolatos információk: a rendszeren futó folyamatokkal kapcsolatos adatok (folyamatazonosító (PID)), a folyamat neve, azon fiókkal kapcsolatos információk, ahonnan a folyamat elindult, a folyamatot elindító alkalmazás és parancs, a megbízható program vagy folyamat jele, a folyamat fájljaihoz vezető teljes útvonal és az ellenőrzőösszegeik (MD5, SHA2-256, SHA1), a kezdő parancssor, a folyamat integritásának szintje, azon termék leírása, amelyhez a folyamat tartozik (a termék neve és a kiadóval kapcsolatos információk), valamint a felhasznált digitális tanúsítványok és a hitelességük ellenőrzéséhez szükséges információk, illetve egy fájl digitális aláírásának hiányával kapcsolatos információk), valamint a folyamatokba töltött modulokkal kapcsolatos információk (nevük, méretük, típusaik, létrehozásuk dátuma, attribútumok, az ellenőrző összegek (MD5, SHA2-256, SHA1), a hozzájuk vezető útvonalak a Számítógépen), a PE-fájl fejlécadatai, a tömörítők neve (ha a fájl be volt csomagolva);
az összes potenciálisan rosszindulatú objektum és tevékenység adatai: az észlelt objektum neve és a teljes elérési útvonala a számítógépen, a feldolgozott fájlok ellenőrzőösszegei (MD5, SHA2-256, SHA1), az észlelés dátuma és időpontja, a fertőzött fájlok neve, mérete elérési útvonala és az elérési útvonal sablonkódja, a végrehajtható fájl jelölése, a jelzés, hogy az objektum egy tároló-e, a tömörítő neve (ha a fájl tömörítve volt), a fájl típuskódja, a fájl formátumazonosítója, a rosszindulatú program által végrehajtott tevékenységek, továbbá a szoftver és a felhasználó válaszként meghozott döntése, a döntés meghozatalára használt antivírus adatbázisok azonosítója és a jelentésük, a potenciálisan rosszindulatú objektum jelzője, az észlelt fenyegetés neve a Rightholder osztályozása szerint, a fenyegetési szint, az észlelés állapota és módszere, az elemzett kontextusba való belefoglalás oka, valamint a kontextusban lévő fájl sorozatszáma, azon alkalmazás végrehajtható fájljának neve, attribútumai és ellenőrzőösszegei (MD5, SHA2-256, SHA1), melyen keresztül a fertőzött üzenet vagy hivatkozás továbbítva lett, a blokkolt objektum gazdagépének személytelenített IP-címei (IPv4 and IPv6), a fájl entrópia, fájl automatikus futtatás jelző, a fájl első észlelésének időpontja a rendszerben, a fájl futtatási alkalmainak száma az utolsó statisztikák elküldése óta, a levelezőprogram nevének, méretének és ellenőrzőösszegeinek (MD5, SHA2-256, SHA1) adatai, melyről a rosszindulatú objektum érkezett, a vizsgálatot végző szoftverfeladat azonosítója, jelzés, hogy a fájl hírneve vagy aláírása ellenőrizve volt-e, a fájl feldolgozásának eredménye, az objektumhoz összegyűjtött minta ellenőrzőösszege (MD5), a minta mérete bájtban, valamint a használt észlelő technológiák műszaki adatai.
a vizsgált objektumokkal kapcsolatos információk: a hozzárendelt megbízhatósági csoport, amelyikbe és/vagy amelyikből a fájl áthelyezése történt, a fájl adott kategóriába helyezésének oka, a kategória azonosítója, a kategóriák forrására és a kategória-adatbázis verziójára vonatkozó információk, a fájl megbízható tanúsítványjelzése, a fájl forgalmazójának neve, a fájl verziója, a fájlt tartalmazó szoftveralkalmazás neve és verziója;
az észlelt biztonsági résekre vonatkozó információk: a biztonsági rés azonosítója a biztonsági rések adatbázisában és a biztonsági rés veszélyességi osztálya;
a végrehajtható fájl emulációjával kapcsolatos információ: a fájl mérete és az ellenőrzőösszegek (MD5, SHA2-256, SHA1), az emulációs komponens verziója, a emuláció mértéke, a logikai blokkok tulajdonságai és az emuláció során megszerzett logikai blokkok funkciói, a végrehajtható fájl PE fejléceiből származó adatok;
a hálózati támadásokkal kapcsolatos információk: a támadásért felelős számítógép IP-címe (IPv4 és IPv6), annak a portnak a száma a Számítógépen, amely ellen a hálózati támadás irányul, a támadást tartalmazó IP-csomag protokolljának azonosítója, a támadás célpontja (szervezet neve, webhelye), a támadásra adott válasz jelzője, a támadás súlya, a megbízhatóság szintje;
a hamisított hálózati erőforrásokkal összefüggésbe hozható támadásokkal kapcsolatos információk, valamint a meglátogatott webhelyek DNS- és IP-címei (IPv4 és IPv6);
a kért webes erőforrás DNS- és IP-címe (IPv4 vagy IPv6), a fájllal és a webes erőforráshoz hozzáférő webügyféllel kapcsolatos információk, a fájl neve, mérete, ellenőrzőösszegek (MD5, SHA2-256, SHA1), a fájl teljes útvonala, az útvonal sablonjának kódja, a digitális aláírás ellenőrzésének eredménye és a KSN szerinti állapota;
a rosszindulatú tevékenységek visszagörgetésének adatai: a fájl adatai, melynek tevékenységei vissza lettek görgetve (a fájl neve, teljes elérési út a fájlhoz, a mérete és ellenőrzőösszegei (MD5, SHA2-256, SHA1)), a sikeresen / sikertelenül törölt tevékenységek adatai, a fájlok átnevezése és másolása és a beállításjegyzék értékeinek visszaállítása (a beállításkulcsok nevei és értékei), valamint a rosszindulatú program által módosított rendszerfájlok, a visszagörgetés előtt és után.
az adaptív anomália-ellenőrzési összetevő kizárási készletére vonatkozó információ: az aktivált szabály azonosítója és állapota, a Szoftver által a szabály aktiválásakor végrehajtott művelet, annak a felhasználói fióknak a típusa, amely alatt a folyamat vagy a szál gyanús tevékenységet végez, valamint a folyamat, amely a gyanús tevékenység tárgya volt (szkriptazonosító vagy a folyamat fájlneve, a folyamat fájljának teljes elérési útja, a sablonkód elérési útja, a folyamatfájl ellenőrzőösszegei (MD5, SHA2-256, SHA1)); arra az objektumra vonatkozó információ, amely a gyanús tevékenységeket végezte, valamint amely a gyanús tevékenységek tárgya volt (a rendszerleíró kulcs neve vagy fájlneve, a fájl teljes elérési útja, az elérési út sablonkódja és a fájl ellenőrzőösszegei (MD5, SHA2-256, SHA1));
a betöltött szoftver modulok adatai: a modul fájl neve, mérete és ellenőrzőösszegei (MD5, SHA2-256, SHA1), teljes elérési útvonal és az elérési út sablonkódja, a modul fájl digitális aláírásának beállításai, az aláírás létrehozásának dátuma és időpontja, a modulfájlt aláírt alany vagy szervezet neve, a modult betöltő folyamat azonosítója, a modult szállító neve, valamint a modul sorszáma a betöltési sorban.
a Szoftver KSN szolgáltatással végzett interakciójának minőségére vonatkozó információ: a statisztikák generálásának kezdési és befejezési dátuma és ideje, a használt KSN szolgáltatásokba irányuló kérelmek és kapcsolatok minőségére vonatkozó információ (KSN szolgáltatási azonosítója, sikeres kérelmek száma, a gyorsítótárból kapott válaszokkal rendelkező kérelmek száma, sikeres kérelmek száma (hálózati problémák, a KSN le van tiltva a Szoftver beállításaiban, helytelen útválasztás), a sikeres kérelmek időbeli eloszlása, a megszakított kérelmek időbeli eloszlása, a túllépett időkorláttal rendelkező kérelmek időbeli eloszlása, a KSN-nel a gyorsítótárból létrehozott kapcsolatok száma, a KSN-nel sikeresen létrehozott kapcsolatok száma, a KSN-hez történő sikertelen kapcsolódások száma, a sikeres tranzakciók száma, a sikertelen tranzakciók száma, a KSN-nel létrehozott sikeres kapcsolatok időbeli eloszlása, a KSN-hez történő sikertelen kapcsolódások időbeli eloszlása, a sikeres kapcsolatok időbeli eloszlása, a sikertelen kapcsolatok időbeli eloszlása);
potenciálisan rosszindulatú objektum észlelésekor információt kell biztosítani az eljárások által használt memóriákban található adatokról: a rendszerobjektum-hierarchiában (ObjectManager) lévő elemekről, az UEFI BIOS memóriában tárolt adatokról, a rendszerleíró kulcsok nevéről és értékéről;
rendszernaplókban lévő eseményekkel kapcsolatos információk: az esemény időbélyege, a napló neve, amelyben az esemény található, az esemény típusa és kategóriája, az esemény forrásának neve, valamint az esemény leírása;
hálózati kapcsolatokra vonatkozó információk: annak a fájlnak a verziója és ellenőrzőösszegei (MD5, SHA2-256, SHA1), amelyből a portot megnyitó eljárást elindították, az eljárás fájljának útvonala és digitális aláírása, a helyi és a távoli IP-címek, a helyi és a távoli csatlakozási portok száma, a csatlakozási állapot, a port nyitásának időbélyege;
A számítógépen lévő szoftver aktiválásának és telepítésének dátumáról szóló adatok: a partner azonosítója, akitől a licencet vásárolta, a licenc sorozatszáma, a számítógépen lévő szoftvertelepítés egyedi azonosítója, az alkalmazás azonosítója és típusa, amivel a frissítés végre lett hajtva, valamint a frissítési feladat azonosítója;
információk az összes telepített frissítés halmazáról és a legújabban telepített/eltávolított frissítések halmazáról, az eseménytípusról, amely a frissítésinformációk elküldését kezdeményezte, az utolsó frissítés telepítése óta eltelt időtartamról, információk bármely jelenleg telepített víruskereső adatbázisról;
a számítógépen lévő szoftver működésének adatai: CPU használat adatai, memóriahasználat adatai (Private Bytes, Non-Paged Pool, Paged Pool), a szoftverfolyamat aktív szálainak és függőben lévő szálainak száma, a szoftver működési ideje a hiba előtt.
a szoftverrel és a rendszerrel kapcsolatos memóriaképek (BSOD) száma a Szoftver telepítése és az utolsó frissítés óta, annak a Szoftvermodulnak az azonosítója és verziója, ahol az összeomlás történt, a Szoftverfolyamat memóriaverme, valamint víruskereső adatbázisokkal kapcsolatos információk az összeomlás előtt;
a kékképernyős összeomlásra (BSOD) vonatkozó adatok: a Számítógép kékképernyős összeomlást jelző jelölője, a kékképernyős összeomlást okozó illesztőprogram neve, a cím és a memóriaverem az illesztőprogramban, az operációs rendszer munkamenetének hosszát jelző jelölő a kékképernyős összeomlás előtt, az összeomlott meghajtó memóriaverme, a tárolt memóriakép típusa, az operációs rendszer azon munkamenetének jelölése, amely a BSOD előtt 10 percnél tovább tartott, a memóriakép egyéni azonosítója, a BSOD időbélyegzője;
információk a Szoftverösszetevők működése közben felmerült hibákról vagy teljesítményproblémákról: a Szoftver állapotazonosítója, a hiba típusa, kódja, valamint előfordulásának időpontja, az összetevő azonosítói, a termék modulja és folyamata, amelyben a hiba felmerült, a feladat vagy frissítési kategória azonosítója, amely során a hiba felmerült, a Szoftver által használt illesztőprogramok naplói (hibakód, modul neve, a forrásfájl neve és a sor, ahol a hiba felmerült);
a víruskereső adatbázisok és Szoftverösszetevők frissítéseire vonatkozó információk: a legutóbbi frissítéskor és a jelenlegi frissítés során letöltött indexfájlok neve, letöltésük dátuma és időpontja;
a Szoftverműködés rendellenes leállására vonatkozó információk: a memóriakép létrehozásának időbélyege, típusa, az esemény típusa, amely a Szoftverműködés rendellenes leállását idézte elő (váratlan kikapcsolás, harmadik fél alkalmazásának összeomlása), a váratlan kikapcsolás dátuma és ideje;
a Szoftver illesztőprogramjainak a hardverrel és a szoftverrel való kompatibilitására vonatkozó információ: a Szoftver összetevőinek működését korlátozó operációsrendszer-tulajdonságokra vonatkozó információ (biztonságos rendszerindítás, KPTI, WHQL, Enforce, BitLocker, kis- és nagybetűk megkülönböztetése), a telepített letöltött Szoftver típusa (UEFI, BIOS), platformmegbízhatósági modul (TPM) azonosítója, TPM specifikációjának verziója, a számítógépbe telepített CPU-ra vonatkozó információ, működési mód és a kódintegritás és eszközvédelem paraméterei, az illesztőprogramok működési módja és a jelenlegi mód használatának oka, a Szoftver-illesztőprogramok verziója, a szoftver- és hardvervirtualizálás támogatási verziója a számítógépen;
a hibát okozó, külső gyártóktól származó alkalmazásokkal kapcsolatos információk: azok neve, verziója és honosítása, a hibakód és a hiba adatai az alkalmazások rendszernaplójából, a külső gyártótól származó alkalmazás hibájának címe és memóriaverme, a Szoftverösszetevő hibájának előfordulását jelző jelölő, a külső gyártótól származó alkalmazás működésének időtartama a hiba előfordulása előtt, az alkalmazás folyamatképének ellenőrzőösszegei (MD5, SHA2-256, SHA1), amelyben a hiba kialakult, az alkalmazás folyamatképének elérési útja és az elérési út sablonkódja, információ a rendszernaplóról az alkalmazáshoz kapcsolt hibának a leírásával, információ az alkalmazásmodulról, amelyben a hiba keletkezett (kivételazonosító, az összeomlás-memória címe ofszetként az alkalmazásmodulban, a modul neve és verziója, az alkalmazás összeomlásának azonosítója a Jogbirtokos beépülő moduljában és az összeomlás memóriaverme, az alkalmazás munkafolyamatának időtartama az összeomlás előtt);
a Szoftverfrissítő összetevő verziója, a frissítő összetevő összeomlásainak száma frissítési feladatok futtatása közben az összetevő élettartama alatt, a frissítési feladattípus azonosítója, a frissítő összetevő meghiúsult kísérleteinek száma a frissítési feladatok befejezésére;
a Szoftver rendszerfigyelő összetevőinek működésével kapcsolatos információk: az összetevők teljes verziója és azok elindításának dátuma és időpontja, annak az eseménynek a kódja, amelynek köszönhetően túlcsordult az eseménysor és ezen események száma, az eseménysor túlcsordulásához vezető események száma összesen, információ az eseményt kiváltó folyamat fájljáról (a fájl neve és elérési útja a Számítógépen, a fájl elérési útjának sablonkódja, a fájlhoz kapcsolt folyamat ellenőrzőösszegei (MD5, SHA2-256, SHA1), a fájl verziója), az esemény bekövetkezett megszakadásának azonosítója, a megszakítás szűrőjének teljes verziója, a megszakított esemény típusának azonosítója, az eseménysor mérete és az események száma a sorban szereplő első és az aktuális esemény között, a lejárt események száma a sorban, információk az aktuális esemény kiváltó folyamatának fájljáról (a fájl neve és elérési útja a Számítógépen, a fájl elérési útjának sablonkódja, a fájlhoz kapcsolt folyamat ellenőrzőösszegei (MD5, SHA2-256, SHA1)), az esemény feldolgozásának időtartama, az esemény feldolgozásának maximális időtartama, a statisztikák küldésének valószínűsége, az időkorlátot meghaladó operációsrendszer-eseményekre vonatkozó információ (az esemény dátuma és ideje, a víruskereső adatbázisok legutóbbi ismételt inicializálásának dátuma és ideje a frissítésüket követően, az egyes rendszerfigyelési összetevők eseményfeldolgozási késleltetési ideje, a sorba állított események száma, a feldolgozott események száma, a jelenlegi típusú késleltetett események száma, a jelenlegi típusú események teljes késleltetési ideje, az összes esemény teljes késleltetési ideje);
a windowsos esemény-nyomkövetési eszköz adatai (Windows esemény-nyomkövetés, ETW) Szoftverteljesítménnyel kapcsolatos problémák esetén, a Microsoft SysConfig / SysConfigEx / WinSATAssessment eseményei esetén: a számítógépre vonatkozó információ (modell, gyártó, a ház méretformátuma, verzió), a Windows teljesítménymetrikáira vonatkozó információ (WinSAT-értékelések, Windows-teljesítményindex), tartománynév, a fizikai és logikai feldolgozókra vonatkozó információ (a fizikai és logokai feldolgozók száma, gyártó, modell, stepping szintje, magok száma, órafrekvencia, CPUID, gyorsítótár jellemzői, logikai processzor jellemzői, a támogatott utasítási módok jelzői), RAM-modulokra vonatkozó információ (típus, méretformátum, gyártól, modell, kapacitás, a memóriakiosztás granularitása), a hálózati csatolófelületek adatai (a hálózat csatolófelület IP- és MAC-címe, neve, leírása és konfigurációja, a hálózati csomagok, a hálózati csomagok számának és méretének részletezése típus, szerint, hálózati forgalom sebessége, a hálózati hibák számának részletezése típus szerint), az IDE-vezérlő konfigurációja, a DNS-kiszolgálók IP-címei, a videokártyára vonatkozó információ (modell, leírás, gyártó, kompatibilitás, videomemória mérete, képernyőengedély, a bitek száma képpontonként, a BIOS verziója), információ a plug-and-play működésű eszközökről (név, leírás, eszközazonosító [PnP, ACPI], lemezekre és tárolóeszközökre vonatkozó információ (lemezek vagy flash-meghajtók száma, gyártója, modellje, lemezkapacitása, cilinderek száma, cilinderenkénti sávok száma, sávonkénti szektorok száma, szektorkapacitás, gyorsítótárazási jellemzők, sorozatszám, partíciók száma, az SCSI-vezérlő konfigurációja), logikai lemezekre vonatkozó információ (sorozatszám, partíciós kapacitás, kötetkapacitás, kötet betűjele, partíciós típus, fájlrendszertípus, fürtök száma, fürtméret, fürtönkénti szektorok száma, üres és foglalt fürtök száma, rendszerindító kötet betűjele, a partíció eltolási címe a lemez kezdetéhez képest), a BIOS-alaplapra vonatkozó információ (gyártó, kiadási dátum, verzió), az alaplapra vonatkozó információ (gyártó, modell, típus), a fizikai memóriára vonatkozó információ (megosztott és szabad kapacitás), az operációs rendszer szolgáltatásaira vonatkozó információ (név, leírás, állapot, címke, a folyamatokra vonatkozó információ [név és PID]), a számítógép energiafogyasztási paraméterei, a megszakításvezérlő konfigurációja, a Windows rendszermappáinak elérési útja (Windows és System32), az operációs rendszerre vonatkozó információ (verzió, build, kiadási dátum, név, típus, telepítési dátum), lapozófájl mérete, monitorokra vonatkozó információ (számuk, gyártójuk, képernyőengedélyük, felbontási kapacitás, típus), videokártya illesztőprogramjára vonatkozó információ (gyártó, kiadási dátum, verzió);
az ETW-ből az esemény-nyomkövetésből/események metaadataiból származó információ a Microsofttól: a rendszeresemények sorrendjére vonatkozó információ (típus, időpont, dátum, időzóna), a nyomkövetési eredményekkel rendelkező fájl metaadatai (név, struktúra, nyomon követési paraméterek, a nyomon követési műveletek számának részletezése típus szerint), az operációs rendszerre vonatkozó információ (név, típus, verzió, build, kiadási dátum, kezdési idő);
az ETW-ből, a folyamatszolgáltatókból / a Microsoft Windows kernelfolyamatából / a Microsoft Windows kernelének processzorenergia-eseményeiből származó információ a Microsofttól: (név, PID, kezdési paraméterek, parancssor, visszaadott kód, energiakezelési paraméterek, kezdési és befejezési idő, hozzáférési token típusa, SID, munkamenet-azonosító, telepített leírók száma), a szálprioritások változásainak száma (TID, prioritás, idő), a folyamat lemezműveleteire vonatkozó információ (típus, idő, kapacitás, szám), a felhasználható memóriafolyamatok struktúrájának és kapacitásának változási előzményei;
a ETW-ből, a StackWalk szolgáltatóitól / Perfinfoból származó eseményekre vonatkozó információ a Microsofttól: teljesítményszámlálókra vonatkozó információ (egyedi kódszakaszok teljesítménye, funkcióhívások sorrendje, PID, TID, ISR-ek és DPC-k címei és attribútumai);
az ETW-ből, a KernelTraceControl-ImageID esemény szolgáltatójától származó információ a Microsofttól: végrehajtható fájlokra és dinamikus könyvtárakra vonatkozó információ (név, képméret, teljes elérési út), PDB-fájlokra vonatkozó információ (név, azonosító), VERSIONINFO erőforrásadatok végrehajtható fájlokhoz (név, leírás, létrehozó, hely, alkalmazás verziója és azonosítója, fájl verziója és azonosítója);
az ETW-ből származó információ FileIo- / DiskIo- / rendszerkép- / Windows kernel lemezre vonatkozó események a Microsofttól: fájl- és lemezműveletekre vonatkozó információ (típus, kapacitás, kezdési idő, befejezési idő, időtartam, befejezés állapot, PID, TID, illesztőprogram függvényhívási címei, I/O-kérelmi csomag (IRP), windowsos fájlobjektum-attribútumok), a fájl- és lemezműveletekben érintett fájlokra vonatkozó információ (név, verzió, méret, teljes elérési út, attribútumok, eltolás, rendszerkép ellenőrzőösszege, megnyitási és hozzáférési beállítások);
az ETW-ből származó információ, laphibaesemények szolgáltatója a Microsofttól: a memória lapelérési hibáira vonatkozó információ (cím, idő, kapacitás, PID, TID, Windows-fájlobjektum attribútumai, memóriakiosztási paraméterek);
az ETW-ből származó információ, szálesemények szolgáltatója a Microsofttól: szálak létrehozására/befejezésére vonatkozó információ (PID, TID, köteg mérete, CPU-erőforrások prioritása és kiosztása, I/O-erőforrások, szálak közötti memórialapok, kötegcím, inicializálási funkció címe, szálkörnyezeti blokk (TEB) címe, Windows-szolgáltatáscímke);
az ETW-ből származó információ, a Microsoft Windows kernelmemória-eseményeinek szolgáltatója a Microsofttól: a memóriakezelési műveletekre vonatkozó információ (befejezési állapot, idő, mennyiség, PID), memóriakiosztási struktúra (típus, kapacitás, munkamenet-azonosító, PID);
Szoftverműveletre vonatkozó információ teljesítményproblémák esetén: Szoftvertelepítési azonosító, teljesítmény csökkenésének típusa és értéke, események sorozatára vonatkozó információ a Szoftverben (idő, időzóna, típus, befejezési állapot, a Szoftverösszetevő azonosítója, Szoftverműködtetési forgatókönyv azonosítója, TID, PID, függvényhívási címek), az ellenőrizendő hálózati kapcsolatokra vonatkozó információ (URL, kapcsolat iránya, hálózati csomag mérete), PDB-fájlokra vonatkozó információ (név, azonosító, végrehajtható fájl rendszerképének mérete), az ellenőrizendő fájlokra vonatkozó információ (név, teljes elérési út, ellenőrzőösszeg), Szoftverteljesítmény-figyelési paraméterek;
az operációs rendszer legutolsó sikertelen indításának adatai: sikertelen indítások száma az operációs rendszer telepítése óta, a rendszerrel kapcsolatos memóriakép adatai (a hiba kódja és paraméterei, név, verzió és azon modul ellenőrzőösszege (CRC32), amely a hibát okozta az operációs rendszerben, a hiba címe ofszetként a modulban, a rendszerrel kapcsolatos memóriakép ellenőrzőösszegei (MD5, SHA2-256, SHA1));
a fájlok aláírására használt digitális tanúsítványok hitelességének ellenőrzésére szolgáló információk: a tanúsítványon lévő ujjlenyomat, az ellenőrzőösszeg algoritmusa, a tanúsítvány nyilvános kulcsa és sorozatszáma, a tanúsítvány kibocsátójának neve, a tanúsítvány érvényesítésének eredménye, valamint a tanúsítvány adatbázisbeli azonosítója;
a Szoftver önvédelmét megtámadó folyamattal kapcsolatos információk: a folyamat fájljának neve és mérete, ellenőrzőösszegei (MD5, SHA2-256, SHA1), a folyamat fájljának teljes elérési útvonala és a fájlútvonal sablonkódja, a létrehozási és felépítési időbélyegzők, a végrehajtható fájljelző, a folyamat fájljának attribútumai, a folyamatot elindításához használt fiók kódja, a folyamat eléréséhez végrehajtott műveletek azonosítója, a művelet elvégzéséhez használt erőforrás típusa (folyamat, fájl, beállításjegyzékbeli objektum, FindWindow keresési funkció), a művelet elvégzéséhez használt erőforrás neve, a művelet sikerességét jelző jelölő, a folyamat fájljának állapota, valamint a KSN szerinti aláírása;
a Jogbirtokos Szoftverével kapcsolatos információk: a nyelve és működési állapota, a telepített Szoftverösszetevők verziója és működési állapota, információk a telepített frissítésekről, a TARGET szűrő értéke;
a Számítógépre telepített hardverrel kapcsolatos információk: típus, név, modellnév, a firmware verziója, a beépített és a csatlakoztatott eszközök paraméterei, azon Számítógép egyedi azonosítója, amelyre a Szoftvert telepítették;
információk az operációs rendszer és a telepített frissítések verzióival, az operációs rendszer futási módjának szóméretével, kiadásával és paramétereivel, az operációs rendszer kernelfájljának verziójával és ellenőrzőösszegeivel (MD5, SHA2-256, SHA1), valamint az operációs rendszer elindítási dátumával és idejével kapcsolatban;
végrehajtható és nem végrehajtható fájlok vagy a részeik, köztük a megbízható fájlok;
a Számítógépes RAM részei;
az operációs rendszer indításában résztvevő szektorok;
hálózati forgalmi adatok;
weboldalak és a gyanús és rosszindulatú objektumokat tartalmazó weboldalak és e-mailek;
az osztályok leírása és példák a WMI könyvtárban szereplő osztályokra;
alkalmazástevékenységi jelentések: a küldött fájl neve, mérete és verziója, a leírása és az ellenőrzőösszegei (MD5, SHA2-256, SHA1), a fájlformátum azonosító, a fájl forgalmazójának neve, a termék neve, melyhez a fájl tartozik, a teljes elérési útvonala a számítógépen, a fájl elérési útvonalának sablonkódja, a fájl időbélyegeinek létrehozása és módosítása; a tanúsítvány érvényességi időtartamának kezdeti időpontja és vége (ha a fájl rendelkezik digitális aláírással), az aláírás dátuma és időpontja, a tanúsítvány kiadójának neve, a tanúsítvány birtokosának információi, az ujjlenyomat, a tanúsítvány nyilvános kulcsa és a megfelelő algoritmusok, illetve a tanúsítvány sorozatszáma; a fiók neve, melyről fut a folyamat; a számítógép nevének ellenőrzőösszegei (MD5, SHA2-256, SHA1), melyről fut a folyamat; a folyamatablakok címei; az antivírus adatbázisok azonosítója, a Jogbirtokos besorolása szerint észlelt fenyegetés neve; a telepített licenc adatai, az azonosítója, típusa és lejárati dátuma; a számítógép helyi ideje az információk megadásakor; a folyamat során elért fájlok nevei és elérési útvonalai; a folyamat során elért beállítási kulcsok nevei és az értékük; a folyamat által elért URL-ek és IP-címek; az URL-ek és IP-címek, melyekről a futtatott fájl le lett töltve.