Über die Datenbereitstellung bei der Verwendung von Kaspersky Security Network
Wenn Sie die Erklärung zu Kaspersky Security Network akzeptieren, stimmen Sie der automatischen Übertragung folgender Informationen zu:
Ist das Kontrollkästchen Kaspersky Security Network aktiviert und das Kontrollkästchen Erweiterten KSN-Modus aktivieren deaktiviert, so werden die folgenden Informationen übertragen:
Informationen über das Update der KSN-Konfiguration: ID der aktuellen Konfiguration, ID der erhaltenen Konfiguration, Fehlercode des Konfigurations-Updates.
Informationen über untersuchte Dateien und Webadressen: Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und der Dateimuster (MD5), Größe des Musters, Typ der gefundenen Bedrohung und Bedrohungsname gemäß der Klassifikation des Rechteinhabers, ID der Antiviren-Datenbanken, Webadresse, für welche die Reputation abgefragt wird, sowie Webadresse der Webseite, von welcher zu der untersuchten Webadresse gewechselt wurde, ID des Verbindungsprotokolls und Nummer des verwendeten Ports.
ID der Untersuchungsaufgabe, bei deren Ausführung die Bedrohung gefunden wurde.
Informationen über verwendete digitale Zertifikate, welche für ihre Authentifizierung erforderlich sind: Prüfsummen (SHA256) des Zertifikats, mit welchem das Untersuchungsobjekt signiert ist, und des öffentlichen Zertifikatschlüssels.
ID der Software-Komponente, welche die Untersuchung ausführt.
ID der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken.
Informationen über den Rechteinhaber der Software: Typ und vollständige Programmversion von Kaspersky Endpoint Security, Version des verwendeten Protokolls für die Verbindung mit den Kaspersky-Diensten.
Informationen über die Aktivierung der Software auf dem Computer: signierter Header des Tickets vom Aktivierungsdienst (ID des regionalen Aktivierungszentrums, Prüfsumme des Aktivierungscodes, Prüfsumme des Tickets, Erstellungsdatum des Tickets, Ticketversion, Lizenzstatus, Datum und Uhrzeit für den Beginn und den Ablauf der Ticketgültigkeit, einmalige Lizenz-ID, Lizenzversion), ID des Zertifikats, mit dem der Ticket-Header signiert ist, Prüfsumme (MD5) der Schlüsseldatei.
Sind die Kontrollkästchen Kaspersky Security Network und Erweiterten KSN-Modus aktivieren aktiviert, so werden zusätzlich zu den oben genannten Informationen auch die folgenden Informationen übertragen:
Informationen zu den Ergebnissen der Kategorisierung der angeforderten Webressourcen, welche folgende Angaben enthält: untersuchte Webadresse und IP-Adresse des Hosts, Version der Software-Komponente, welche die Kategorisierung ausgeführt hat, Kategorisierungsmethode und Auswahl der Kategorien, welche für diese Webressource ermittelt wurden.
Informationen über die auf dem Computer installierte Software: Name der Softwareanwendungen und Softwareanbieter, Registrierungsschlüssel und ihre Werte, Informationen über Dateien der installierten Softwarekomponenten (Prüfnummern (MD5, SHA2-256, SHA1), Name, Dateipfad auf dem Computer, Größe, Version und die digitale Signatur).
Informationen zum Status des Virenschutzes auf dem Computer: die Versionen und Releasedaten und Zeitstempel der verwendeten Antiviren-Datenbank, ID der Aufgabe, die das Scanning durchführt.
Informationen über die Dateien, die vom Benutzer heruntergeladen wurden: Webadressen und IP-Adressen, von welchen der Download erfolgt ist, und Webadresse der Seite, von welcher auf die Seite für den Datei-Download gewechselt wurde, ID des Download-Protokolls und Nummer des Verbindungsports, Merkmal für die Schädlichkeit von Adressen; Attribute, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei; Informationen zum Prozess, welcher die Datei heruntergeladen hat (Prüfsummen (MD5, SHA2-256, SHA1), Zeitpunkt (Datum und Uhrzeit) der Erstellung und Verlinkung, Merkmal für das Vorhandensein im Autostart, Attribute, Namen von Packprogrammen, Informationen zur Signatur, Merkmal der ausführbaren Datei, Format-ID, Typ des Benutzerkontos, von welchem der Prozess gestartet wurde), Informationen zur Prozessdatei (Name, Pfad und Größe der Datei), Dateiname, Dateipfad auf dem Computer, digitale Signatur der Datei und Informationen über die Signierung, Webadresse, bei welcher der Fund erfolgte, Nummer des Skripts auf der Webseite, die als verdächtig oder schädlich eingestuft wurde.
Informationen über gestartete Programme und deren Module: Daten über gestartete Prozesse im System (Prozess-ID im System (PID), Prozessname, Daten über das Benutzerkonto, von dem der Prozess gestartet wurde, Programm und Befehl, welcher den Prozess gestartet hat, Merkmal für die Vertrauenswürdigkeit des Programms oder des Prozesses, vollständiger Pfad der Prozessdateien und Prüfsummen (MD5, SHA2-256, SHA1), Befehlszeile für den Start, Integritätsniveau des Prozesses, Beschreibung des Produkts, zu welchem der Prozess gehört (Name des Produkts und Daten zum Herausgeber), sowie Daten über verwendete digitale Zertifikate und Informationen, die für ihre Authentifizierung erforderlich sind, oder Daten über das Fehlen einer digitalen Signatur für die Datei), sowie Informationen über die Module, welche in Prozesse geladen wurden (Name, Größe, Typ, Erstellungsdatum, Attribute, Prüfsummen (MD5, SHA2-256, SHA1), Pfad), Informationen zur Kopfzeile für PE-Dateien, Name des Packprogramms (falls die Datei gepackt ist).
Informationen über alle potentiell schädlichen Objekte und Aktionen: Name des erkannten Objekts und vollständiger Pfad des Objekts auf dem Computer, Prüfsummen der verarbeiteten Objekte (MD5, SHA2-256, SHA1), Zeitpunkt (Datum und Uhrzeit) des Fundes; Namen, Größe und Pfade der verarbeiteten Dateien; Code der Pfadvorlage, Merkmal der ausführbaren Datei, Merkmal, ob das Objekt ein Container ist, Name des Packprogramms (falls die Datei gepackt war), Code des Dateityps, ID des Dateiformats, ID der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken, auf deren Basis die Entscheidung der Software getroffen wurde, Merkmal des potentiell schädlichen Objekts, Name der gefundenen Bedrohung gemäß der Klassifikation des Rechteinhabers, Gefährlichkeitsstufe, Status und Erkennungsmethode, Grund der Aufnahme in den analysierten Kontext und Ordnungsnummer der Datei im Kontext, Prüfsummen (MD5, SHA2-256, SHA1), Name und Attribute der ausführbaren Datei der Anwendung, über welche die infizierte Nachricht oder der Link eingedrungen ist, IP-Adressen (IPv4 und IPv6) des Hosts des blockierten Objekts, Datei-Entropie, Merkmal für das Vorhandensein der Datei im Autostart, Zeitpunkt (Datum und Uhrzeit) des ersten Fundes der Datei im System, Anzahl der Dateistarts seit dem letzten Senden einer Statistik, Compiler-Typ; Informationen über den Namen, die Prüfsummen (MD5, SHA2-256, SHA1) und die Größe des Mail-Clients, über welchen das schädliche Objekt empfangen wurde; ID der Software-Aufgabe, welche die Untersuchung ausgeführt hat; Merkmal für die Überprüfung der Reputation oder der Signatur der Datei, Ergebnisse der statistischen Analyse des Objektinhalts, Muster des Objekts, Größe des Musters (in Bytes), technische Eigenschaften der eingesetzten Erkennungstechnologien.
Informationen über untersuchte Objekte: zugewiesene Sicherheitsgruppe, in welche und/oder aus welcher die Datei verschoben wurde, Grund, aus welchem die Datei in diese Kategorie verschoben wurde, ID der Kategorie, Informationen über die Quelle der Kategorien und Version der Datenbank der Kategorien, Merkmal für das Vorhandensein eines vertrauenswürdigen Zertifikats der Datei, Name des Dateiherstellers, Dateiversion, Name und Version der Anwendung, zu welcher die Datei gehört.
Informationen über gefundene Schwachstellen: ID der Schwachstelle in der Datenbank für Schwachstellen, Gefahrenklasse der Schwachstelle.
Informationen über die Ausführung einer Emulation der ausführbaren Datei: Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, Version der Emulationskomponente, Emulationstiefe, Vektor der Merkmale für logische Blöcke und Funktionen innerhalb logischer Blöcke, welche im Verlauf der Emulation erhalten wurden, Daten aus der Struktur der PE-Kopfzeile der ausführbaren Datei.
Informationen über Netzwerkangriffe: IP-Adressen des angreifenden Computers (IPv4 und IPv6), Portnummer des Computers, auf welchen der Netzwerkangriff gerichtet war, ID des Protokolls des IP-Pakets, in welchem der Angriff registriert wurde, Angriffsziel (Name der Organisation, Website), Flag für die Reaktion auf den Angriff, gewichtetes Angriffsniveau, Wert für das Niveau der Vertrauenswürdigkeit.
Informationen über Angriffe, welche mit dem Spoofing von Netzwerkressourcen verbunden waren, DNS- und IP-Adressen (IPv4 oder IPv6) der besuchten Websites.
DNS- und IP-Adressen (IPv4 oder IPv6) der angefragten Web-Ressource, Informationen über die Datei und den Web-Client, der auf die Web-Ressource zugreift, Name, Größe, Prüfsummen (MD5, SHA2-256, SHA1) der Datei, vollständiger Pfad der Datei und der Vorlagencode des Dateipfads, das Ergebnis der Überprüfung der digitalen Signatur und deren Status im KSN.
Informationen über die Ausführung eines Rollbacks der Aktionen von Schadsoftware: Daten über die Datei, deren Aktivität rückgängig gemacht wurde (Name, vollständiger Pfad, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei), Daten über erfolgreiche und erfolglose Aktionen zur Löschung, Umbenennung und zum Kopieren von Dateien und zur Wiederherstellung von Registrierungswerten (Namen und Werte der Registrierungsschlüssel), Informationen über Systemdateien, welche von der Schadsoftware verändert wurden, vor und nach der Ausführung des Rollbacks.
Informationen über die Ausnahmen, die für adaptive Abweichkontrollkomponente festgelegt sind: die ID und der Status der Regel, die ausgelöst wurde, die von der Software ausgeführte Aktion, wenn die Regel ausgelöst wurde, der Typ des Benutzerkontos, unter welchem der Prozess oder Thread verdächtige Aktivitäten durchführt, sowie über den Prozess, der Gegenstand von verdächtigen Aktivitäten war (Skript-ID oder Name der Prozessdatei, vollständiger Pfad zur Prozessdatei, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) der Prozessdatei); Informationen über das Objekt, das die verdächtigen Aktionen ausgeführt hat sowie über das Objekt, das Gegenstand von verdächtigen Aktionen war (Name des Registrierschlüssels oder Dateiname, vollständiger Pfad zur Datei, Vorlagencode des Dateipfads und die Prüfsummen (MD5, SHA2-256, SHA1) der Datei).
Informationen über geladene Software-Module: Name, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Moduldatei, vollständiger Pfad und Code der Pfadvorlage für die Datei, Parameter der digitalen Signatur der Moduldatei, Zeitpunkt (Datum und Uhrzeit) der Erstellung der Signatur, Name des Subjekts und Organisation, welche die Moduldatei signiert hat, ID des Prozesses, in welchen das Modul geladen wurde, Name des Modulherstellers, Ordnungsnummer des Moduls in der Ladeabfolge.
Informationen über die Qualität der Softwareinteraktion mit den KSN-Diensten: Datum und Uhrzeit von Beginn und Ende der Periode, in der die Statistiken erzeugt wurden, Informationen über die Qualität der Anfragen und der Verbindung zu den einzelnen verwendeten KSN-Diensten (KSN-Dienstkennung, Anzahl der erfolgreichen Anfragen, Anzahl der Anfragen mit Antworten vom Cache, Anzahl nicht erfolgreicher Anfragen (Netzwerkprobleme, KSN wurde in den Softwareeinstellungen deaktiviert, fehlerhaftes Routing), verbrauchte Zeit der erfolgreichen Anfragen, verbrauchte Zeit der abgebrochenen Anfragen, verbrauchte Zeit der Anfragen mit überschrittener Zeit, Anzahl der Verbindungen zum KSN aus dem Cache, Anzahl der erfolgreichen Verbindungen zum KSN, Anzahl der nicht erfolgreichen Verbindungen zum KSN, Anzahl der erfolgreichen Transkationen, Anzahl der nicht erfolgreichen Transaktionen, verbrauchte Zeit der erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der nicht erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der erfolgreichen Transaktionen, verbrauchte Zeit der nicht erfolgreichen Transaktionen).
Wird ein potentiell schädliches Objekt erkannt, werden Informationen über die Daten im Prozessspeicher zur Verfügung gestellt: Elemente der Objekthierarchie des Systems (ObjectManager), Daten im UEFI-BIOS-Speicher sowie Namen von Registrierschlüsseln und deren Werte.
Informationen über Ereignisse in Systemprotokollen: Ereigniszeitpunkt, Name des Protokolls, in welchem das Ereignis gefunden wurde, Typ und Kategorie des Ereignisses, Name und Beschreibung der Ereignisquelle.
Informationen über Netzwerkverbindungen: Version und Prüfsummen (MD5, SHA2-256, SHA1) der Prozessdatei, des geöffneten Ports, Pfad und digitale Signatur der Prozessdatei, lokale und Remote-IP-Adresse, Nummern des lokalen und des Remote-Verbindungsports, Verbindungszustand, Dauer, für welche der Port geöffnet war.
Informationen über das Datum der Installation und die Aktivierung der Software auf dem Computer: ID des Partners, bei dem die Lizenz erworben wurde, Seriennummer der Lizenz, einmalige ID der Software-Installation auf dem Computer, Typ und ID der Anwendung, die aktualisiert wird, ID der Update-Aufgabe, Informationen über die installierten Software-Komponenten und deren Funktionsstatus.
Informationen über die Zusammensetzung aller installierten Updates sowie über die Zusammensetzung der zuletzt installierten und/oder gelöschten Updates, Typ des Ereignisses, aufgrund dessen Informationen über Updates gesendet wurden, Zeitraum, welcher seit der Installation des letzten Updates vergangen ist, Informationen über die Antiviren-Datenbanken, die zum Zeitpunkt der Datenbereitstellung geladen waren.
Informationen über die Verwendung der Software auf dem Computer: Daten über die Prozessornutzung (CPU), Daten über die Nutzung des Arbeitsspeichers (Private Bytes, Non-Paged Pool, Paged Pool), Anzahl der aktiven Ströme im Software-Prozess und der Ströme im Wartezustand, Arbeitsdauer der Software bis zum Auftreten des Fehlers, Merkmal für die Verwendung der Software im interaktiven Modus.
Anzahl der Software-Dumps und der System-Dumps (BSOD) ab dem Zeitpunkt der Software-Installation und ab dem Zeitpunkt des letzten Updates, ID und Version des Software-Moduls, in welchem die Störung aufgetreten ist, Speicherstapel im Produktprozess und Informationen über die Antiviren-Datenbanken zum Zeitpunkt der Störung.
Daten zum System-Dump (BSOD): Merkmal für das Auftreten des BSOD auf dem Computer, Name des Treibers, welcher den BSOD hervorgerufen hat, Adresse und Speicherstapel im Treiber, Merkmal für die Dauer der Sitzung des Betriebssystems bis zum Auftreten des BSOD, Speicherstapel des Treiberabsturzes, Typ des gespeicherten Arbeitsspeicher-Dumps, Merkmal für die Tatsache, dass die Sitzung des Betriebssystems bis zum BSOD länger als 10 Minuten gedauert hat, einmalige Dump-ID, Zeitpunkt (Datum und Uhrzeit), zu welchem der BSOD aufgetreten ist.
Informationen über Fehler oder Leistungsprobleme, die bei der Ausführung von Softwarekomponenten aufgetreten sind: Status-ID der Software, Typ, Code und Zeitpunkt des auftretenden Fehlers, IDs der Komponente, des Moduls und des Produktprozesses, in welchem der Fehler aufgetreten ist, ID der Aufgabe oder der Update-Kategorie, in welcher der Fehler aufgetreten ist, Protokolle der von der Software verwendeten Treiber (Fehlercode, Modulname, Name der Quelldatei und Zeile, in welcher der Fehler aufgetreten ist).
Informationen über die Updates der Antiviren-Datenbanken und der Software-Komponenten: Name, Datum und Uhrzeit der Indexdateien, die beim letzten Update heruntergeladen wurden und beim laufenden Update heruntergeladen werden;
Informationen über die Abstürze der Software: Erstellungszeitpunkt (Datum und Uhrzeit) und Typ des Dumps, Typ des Ereignisses, welches den Absturz der Software verursacht hat (unerwarteter Stromausfall, Absturz einer Dritthersteller-Anwendung), Zeitpunkt (Datum und Uhrzeit) des unerwarteten Stromausfalls.
Informationen über die Kompatibilität der Treiber der Software mit der Hard- und Software: Informationen über die Betriebssystemeigenschaften, welche die Funktionalität der Softwarekomponenten beschränken (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), Typ der integrierten Boot-Software (UEFI, BIOS), Merkmal für das Vorhandensein eines Trusted Platform Module (TPM), Version der TPM-Spezifikation, Informationen über den auf dem Computer installierten Hauptprozessor (CPU), Modus und Einstellungen für Code Integrity und Device Guard, Modus der Treiber und Verwendungsgrund für den aktuellen Modus, Version der Treiber der Software, Status der Unterstützung von Treibern für die Soft- und Hardware-Virtualisierung des Computers.
Informationen über Dritthersteller-Anwendungen, welche einen Fehler verursacht haben: Name, Version und Sprachversion, Fehlercode und Informationen über den Fehler aus dem Systemprotokoll der Anwendungen, Adresse und Speicherstapel für das Auftreten des Fehlers einer Dritthersteller-Anwendung, Merkmal für das Auftreten des Fehlers in einer Software-Komponente, Arbeitsdauer der Dritthersteller-Anwendung bis zum Auftreten des Fehlers, Prüfsummen (MD5, SHA2-256, SHA1) des Prozessmusters der Anwendung, in welcher der Fehler aufgetreten ist, Pfad dieses Prozessmusters der Anwendung und Code der Pfadvorlage, Informationen aus dem Systemprotokoll des Betriebssystems mit einer Beschreibung des Fehlers, welcher mit der Anwendung verbunden war, Informationen über das Anwendungsmodul, in welchem der Fehler aufgetreten ist (Fehler-ID, Fehleradresse als Offset im Modul, Name und Version des Moduls, ID für den Absturz der Anwendung in einem Plug-in des Rechteinhabers und Speicherstapel für diesen Absturz, Arbeitsdauer der Anwendung bis zum Absturz).
Version der Update-Komponente der Software, Anzahl der Abstürze der Update-Komponente der Software bei der Ausführung von Update-Aufgaben im Rahmen der Komponentenausführung, ID des Typs der Update-Aufgabe, Anzahl der Fehler bei den Update-Aufgaben der Update-Komponente der Software.
Informationen über die Ausführung von Überwachungskomponenten des Softwaresystems: vollständige Versionen der Komponenten, Datum und Uhrzeit, wann die Komponenten gestartet wurden, Code des Ereignisses, das zum Überlaufen der Warteschlange für Ereignisse geführt hat, und Anzahl solcher Ereignisse, Gesamtzahl der Warteschlangenüberlaufe, Informationen über die Datei des Prozesses, der das Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses, Dateiversion), ID des Abfangvorgangs, vollständige Version des Abfangfilters, ID für den Typ des abgefangenen Ereignisses, Größe der Ereigniswarteschlange, und Anzahl der Ereignisse zwischen dem ersten Ereignis in der Warteschlange und dem aktuellen Ereignis, Anzahl überfälliger Ereignisse in der Warteschlange, Informationen über die Datei des Prozesses, der das aktuelle Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses), Dauer der Ereignisverarbeitung, Höchstdauer der Ereignisverarbeitung, Wahrscheinlichkeit für das Senden von Statistiken, Informationen über Ereignisse des Betriebssystems, für die die Verarbeitungszeit überschritten wurde (Datum und Uhrzeit des Ereignisses, Anzahl der wiederholten Initialisierungen der Antiviren-Datenbanken, Datum und Uhrzeit der letzten, wiederholten Initialisierung der Antiviren-Datenbanken nach ihrem Update, Verzögerungszeit der Verarbeitung eines Ereignisses für jede Systemüberwachungskomponente, Anzahl der Ereignisse in der Warteschlange, Anzahl der verarbeiteten Ereignisse, Anzahl der verzögerten Ereignisse des aktuellen Typs, Gesamtverzögerungszeit der Ereignisse des aktuellen Typs, Gesamtverzögerungszeit aller Ereignisse).
Informationen von dem Windows-Tool zur Ereignisprotokollierung (Event Tracing for Windows, ETW) bei Problemen mit der Leistung der Software, Ereignisanbieter SysConfig / SysConfigEx / WinSATAssessment von Microsoft: Daten über den Computer (Modell, Hersteller, Formfaktor des Gehäuses, Version), Daten über die Windows-Leistungsindikatoren (WinSAT-Bewertungsdaten, Windows-Leistungsindex), Name der Domäne, Daten über die physischen und logischen Prozessoren (Anzahl der physischen und logischen Prozessoren, Hersteller, Modell, Stepping, Anzahl der Kerne, Taktfrequenz, Prozessor-ID (CPUID), Cache-Eigenschaften, Eigenschaften des logischen Prozessors, Merkmale für die Unterstützung der Modi und Anweisungen), Daten über die Module des Arbeitsspeichers (Typ, Formfaktor, Hersteller, Modell, Größe, Granularität der Speicherbelegung), Daten über Netzwerkschnittstellen (IP- und MAC-Adressen, Name, Beschreibung, Konfiguration der Netzwerkschnittstellen, Verteilung der Anzahl und der Größe von Netzwerkpaketen nach Typen, Geschwindigkeit des Netzwerkaustauschs, Verteilung der Anzahl der Netzwerkfehler nach Typen), Konfiguration des IDE-Controllers, IP-Adresse der DNS-Server, Daten über die Grafikkarte (Modell, Beschreibung, Hersteller, Kompatibilität, Größe des Grafikspeichers, Bildschirmauflösung, Anzahl der Bits pro Pixel, BIOS-Version), Daten über verbundene Plug-and-Play-Geräte(Name, Beschreibung, Geräte-ID [PnP, ACPI], Daten über Laufwerke und Speichergeräte (Anzahl der Laufwerke oder Flash-Laufwerke, Hersteller, Modell, Größe des Laufwerks, Anzahl der Zylinder, Anzahl der Spuren pro Zylinder, Anzahl der Sektoren pro Spur, Größe des Sektors, Cache-Eigenschaften, Ordnungszahl, Partitionsanzahl, Konfiguration des SCSI-Controllers), Daten über die logischen Laufwerke (Ordnungszahl, Größe der Partition, Volume-Größe, Volume-Buchstabe, Typ der Partition, Typ des Dateisystems, Anzahl der Cluster, Cluster-Größe, Anzahl der Sektoren pro Cluster, Anzahl der belegten und freien Cluster, Boot-Volume-Buchstabe, Adresse-Abweichung der Partition bezüglich des Anfangs des Laufwerks), Daten über das BIOS der Hauptplatine (Hersteller, Veröffentlichungsdatum, Version), Daten über die Hauptplatine (Hersteller, Modell, Typ), Daten über den physischen Speicher (gesamter und freier Platz), Daten über die Dienste des Betriebssystems (Name, Beschreibung, Status, Tag, Daten über Prozesse [Name und PID-ID]), Energieoptionen des Computers, Konfiguration des Interrupt Controllers, Pfade der Windows-Systemordner (Windows und System32), Daten über das Betriebssystem (Version, Build, Veröffentlichungsdatum, Name, Typ, Installationsdatum), Größe der Auslagerungsdatei, Daten über die Monitore (Anzahl, Hersteller, Bildschirmauflösung, Auflösungsvermögen, Typ), Daten über den Treiber der Grafikkarte (Hersteller, Veröffentlichungsdatum, Version).
Informationen von ETW, Bereitstellung von EventTrace/EventMetadata Ereignissen von Microsoft: Informationen über die Sequenz von Systemereignissen (Typ, Uhrzeit, Datum, Zeitzone), Metadaten über die Datei mit Trace-Ergebnissen (Name, Struktur, Trace-Parameter, Aufgliederung der Anzahl von Trace-Operationen nach Typ), Informationen über das Betriebssystem (Name, Typ, Version, Build, Veröffentlichungsdatum, Startzeit).
Informationen von ETW, Bereitstellung von Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power Ereignisse von Microsoft: Informationen über gestartete und abgeschlossene Prozesse (Name, PID, Startparameter, Befehlszeile, Rückgabecode, Energieverwaltungsparameter, Start- und Fertigstellungszeit, Typ des Zugriffstoken, SID, SessionID, Anzahl der installierten Deskriptoren), Informationen über Änderungen der Thread-Prioritäten (TID, Priorität, Uhrzeit), Informationen über Laufwerkoperationen des Prozesses (Typ, Uhrzeit, Kapazität, Anzahl), Verlauf der Änderungen der Struktur und Kapazität der nutzbaren Speicherprozesse.
Informationen von ETW, Bereitstellung von StackWalk/Perfinfo Ereignissen von Microsoft: Informationen über Leistungsindikatoren (Leistung von einzelnen Codeabschnitten, Sequenz von Funktionsaufrufen, PID, TID, Adressen und Attribute von ISRs und DPCs).
Informationen von ETW, Bereitstellung von KernelTraceControl-ImageID Ereignissen von Microsoft: Informationen über ausführbare Dateien und dynamische Bibliotheken (Name, Bildgröße, vollständiger Pfad), Informationen zu PDB-Dateien (Name, ID), VERSIONINFO Ressourcendaten für ausführbare Dateien (Name, Beschreibung, Ersteller, Ort, Anwendungsversion und -ID, Dateiversion und -ID).
Informationen von ETW, Bereitstellung von FileIo/DiskIo/Image/Windows Kernel Disk Ereignissen von Windows: Informationen zu Datei- und Laufwerkoperationen (Typ, Kapazität, Startzeit, Fertigstellungszeit, Dauer, Status der Fertigstellung, PID, TID, Funktionsaufrufadressen des Treibers, E/A-Anfragepaket (IRP), Windows-Dateiobjektattribute), Informationen über Dateien, die in Datei- und Laufwerkoperationen involviert sind (Name, Version, Größe, vollständiger Pfad, Attribute, Offset, Prüfsumme des Bildes, Optionen für das Öffnen und Zugreifen).
Informationen von ETW, Bereitstellung von PageFault Ereignissen von Microsoft: Informationen über Zugriffsfehler der Speicherseiten (Adresse, Uhrzeit, Kapazität, PID, TID, Attribute von Windows-Dateiobjekten, Parameter der Speicherzuordnung).
Informationen von ETW, Bereitstellung von Thread Ereignissen von Microsoft: Informationen über Thread-Erstellung/-Fertigstellung, Informationen gestartete Threads (PID, TID, Größe des Stacks, Prioritäten und Zuordnungen von CPU-Ressourcen, E/A-Ressourcen, Speicherseiten zwischen Threads, Stack-Adresse, Adresse der Initialisierungsfunktion, Adresse des Thread Environment Block (TEB), Windows Service-Tag).
Informationen von ETW, Bereitstellung von Microsoft Windows Kernel Memory Ereignissen von Microsoft: Informationen über Speicherverwaltungsoperationen (Status der Fertigstellung, Uhrzeit, Anzahl, PID), Struktur der Speicherzuordnung (Typ, Kapazität, SessionID, PID).
Informationen zu Softwareoperationen im Falle von Leistungsproblemen: ID der Softwareinstallation, Typ und Wert des Leistungsabfalls, Informationen über die Sequenz von Ereignissen innerhalb der Software (Uhrzeit, Zeitzone, Typ, Status der Fertigstellung, ID der Softwarekomponenten, ID des Softwareoperationsszenarios, TID, PID, Funktionsaufrufadressen), Informationen zu den zu überprüfenden Netzwerkverbindungen (URL, Richtung der Verbindung, Größe des Netzwerkpakets), Informationen zu PDB-Dateien (Name, ID, Bildgröße der ausführbaren Datei), Informationen über zu prüfende Dateien (Name, vollständiger Pfad, Prüfsumme), Überwachungsparameter der Softwareleistung.
Informationen über den letzten fehlgeschlagenen Neustart des Betriebssystems: Anzahl der fehlgeschlagenen Neustarts seit der Installation des Betriebssystems, Daten zum System-Dump (Code und Parameter des Fehlers, Name, Version und Prüfsumme (CRC32) des Moduls, welches den Fehler bei der Arbeit des Betriebssystem hervorgerufen hat, Fehleradresse als Offset im Modul, Prüfsummen (MD5, SHA2-256, SHA1) des System-Dumps).
Informationen für die Authentizitätsprüfung der Zertifikate, mit welchen die Dateien signiert sind: Fingerabdruck des Zertifikats, Algorithmus zur Berechnung der Prüfsumme, öffentlicher Schlüssel und Seriennummer des Zertifikats, Name des Zertifikatausstellers, Ergebnis der Zertifikatuntersuchung und ID der Zertifikatdatenbank.
Informationen zum Prozess, welcher einen Angriff auf den Selbstschutz der Software ausgeführt hat: Name, Größe, Prüfsummen (MD5, SHA2-256, SHA1), vollständiger Pfad und Code der Pfadvorlage der Prozessdatei, Zeitpunkt (Datum und Uhrzeit) der Erstellung und Verlinkung der Prozessdatei, Merkmal der ausführbaren Datei, Attribute der Prozessdatei, Informationen zum Zertifikat, mit welchem die Prozessdatei signiert ist, Code des Benutzerkontos, in deren Namen der Prozess gestartet wurde, ID der Vorgänge, welche für den Zugriff auf den Prozess ausgeführt wurden, Typ der Ressourcen, von welchen der Vorgang ausgeführt wurde (Prozess, Datei, Registrierungsobjekt, Suche des Fensters mithilfe der Funktion FindWindow), Name der Ressource, mit welcher der Vorgang ausgeführt wird, Merkmal für die erfolgreiche Ausführung des Vorgangs, Status der Prozessdatei und ihr Status in KSN.
Informationen über den Rechteinhaber der Software: Sprachversion und Funktionsstatus der verwendeten Software, Versionen und Funktionsstatus der installierten Software-Komponenten, sowie Wert des TARGET-Filters.
Informationen über die Hardware, welche auf dem Computer installiert ist: Typ, Name, Modell, Firmware-Version, Merkmale von integrierten und verbundenen Geräten, einmalige ID des Computers, auf welchem die Software installiert ist.
Informationen über die Versionen des Betriebssystems und der installierten Updates, Bit-Version, Edition und Einstellungen für den Ausführungsmodus des Betriebssystems, Version und Prüfsummen (MD5, SHA2-256, SHA1) der Kernel-Datei des Betriebssystems und Datum und Uhrzeit, an dem das Betriebssystem gestartet wurde;
ausführbare und nicht ausführbare Dateien (vollständig oder teilweise), einschließlich vertrauenswürdiger Dateien
Abschnitte aus dem Arbeitsspeicher des Computers
Sektoren, die am Ladeprozess des Betriebssystems beteiligt sind
Datenpakete des Netzwerkverkehrs
Webseiten und E-Mail-Nachrichten, die verdächtige und schädliche Objekte enthalten
Beschreibung der Klassen und Exemplarklassen des WMI-Speichers
Berichte über die Aktivitäten von Anwendungen: Name, Größe und Version der zu sendenden Datei, Beschreibung und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, Format-ID, Herstellername, Name des Produkts, zu welchem die Datei gehört, vollständiger Pfad der Datei auf dem Computer und Code der Pfadvorlage, Datum und Uhrzeit der Erstellung und Änderung der Datei; Datum und Uhrzeit für den Beginn und den Ablauf des Zertifikats, falls die gesendete Datei eine digitale Signatur besitzt, Datum und Uhrzeit der Signierung, Name des Zertifikatausstellers, Informationen über den Zertifikatinhaber, Fingerabdruck und öffentlicher Schlüssel des Zertifikats und entsprechende Berechnungsalgorithmen, Seriennummer des Zertifikats; Name des Benutzerkontos, von welchem der Prozess gestartet wurde; Prüfsummen (MD5, SHA2-256, SHA1) für den Namen des Computers, auf welchem der Prozess gestartet wurde; Kopfzeilen der Prozessfenster; ID der Antiviren-Datenbanken, Name der gefundenen Bedrohung gemäß der Klassifikation des Rechteinhabers; Informationen über die in der Software installierte Lizenz, ID, Typ und Ablaufdatum der Lizenz; lokale Zeit des Computers zum Zeitpunkt der Datenbereitstellung; Namen und Pfade der Dateien, auf welche der Prozess Zugriff erhalten hat; Namen und Werte der Registrierungsschlüssel, auf welche der Prozess Zugriff erhalten hat; URL- und IP-Adressen, auf welche der Prozess zugegriffen hat; URL- und IP-Adressen, von welchen die zu startende Datei empfangen wurde.