Jeśli pole Kaspersky Security Network jest zaznaczone, a pole Rozszerzony tryb KSN jest odznaczone, aplikacja przesyła są następujące informacje:
informacje o aktualizacjach konfiguracji KSN: identyfikator aktywnej konfiguracji, identyfikator otrzymanej konfiguracji, kod błędu dla aktualizacji konfiguracji;
informacje o plikach i adresach URL wymagających skanowania: sumy kontrolne skanowanych plików (MD5, SHA2-256, SHA1) i wzorce plików (MD5), rozmiar wzorca, typ wykrytego zagrożenia i jego nazwę według klasyfikacji Posiadacza Praw, identyfikator dla antywirusowych baz danych, adres URL, którego reputacja jest sprawdzana, a także adres URL strony odsyłającej, identyfikator protokołu połączenia oraz numer używanego portu;
ID zadania skanowania, w trakcie którego wykryto zagrożenie;
informacje o używanych certyfikatach cyfrowych, wymagane do zweryfikowania ich autentyczności: sumy kontrolne (SHA256) certyfikatu użytego do podpisania przeskanowanego obiektu oraz klucz publiczny certyfikatu;
identyfikatory antywirusowych baz danych i zapisów w tych antywirusowych bazach danych;
informacje o Oprogramowaniu Posiadacza praw: typ i pełna wersja Kaspersky Endpoint Security, wersja protokołu użytego do nawiązania połączenia z usługami Kaspersky;
informacje o aktywności Oprogramowania na Komputerze: podpisany nagłówek biletu z usługi aktywacji (identyfikator regionalnego centrum aktywacji, suma kontrolna kodu aktywacyjnego, suma kontrolna biletu, data utworzenia biletu, unikatowy identyfikator biletu, wersja biletu, stan licencji, data i godzina rozpoczęcia/zakończenia okresu ważności biletu, unikatowy identyfikator licencji, wersja licencji), identyfikator certyfikatu, użytego do podpisania nagłówka biletu, suma kontrolna (MD5) pliku klucza.
Jeśli pole Rozszerzony tryb KSN jest zaznaczone wraz z polem Kaspersky Security Network, oprócz powyższych informacji aplikacja przesyła także następujące informacje:
informacje o wynikach kategoryzacji żądanych zasobów internetowych, które zawierają przetwarzane adresy URL i IP hosta, wersję komponentu Oprogramowania, który przeprowadził kategoryzację, metodę kategoryzacji i zestaw kategorii zdefiniowany dla zasobu internetowego;
informacje o oprogramowaniu zainstalowanym na Komputerze: nazwy aplikacji i producentów oprogramowania, klucze rejestru i ich wartości, informacje o plikach zainstalowanych komponentów oprogramowania (sumy kontrolne (MD5, SHA2-256, SHA1), nazwa, ścieżka do pliku na Komputerze, rozmiar, wersja i podpis cyfrowy);
informacje o stanie ochrony antywirusowej Komputera: wersje i daty publikacji używanych antywirusowych baz danych, identyfikator zadania przeprowadzającego skanowanie;
informacje o plikach pobieranych przez Użytkownika Końcowego: adresy URL i IP pobrań i stron pobierania, identyfikator protokołu pobierania i numer portu połączenia, status złośliwości lub braku złośliwości adresu URL, atrybuty, rozmiar i sumy kontrolne plików (MD5, SHA2-256, SHA1), informacje o procesie, który pobrał plik (sumy kontrolne (MD5, SHA2-256, SHA1), datę i czas utworzenia/zbudowania, status automatycznego uruchamiania, atrybuty, nazwy programów pakujących, informacje o sygnaturach, znacznik, identyfikator formatu i entropię pliku wykonywalnego), nazwę pliku i jego ścieżkę na Komputerze, podpis cyfrowy pliku i znacznik czasu jego utworzenia, adres URL miejsca wykrycia, numer skryptu na podejrzanej lub szkodliwej stronie, informacje o wygenerowanych żądaniach HTTP i odpowiedzi na nie;
informacje o uruchomionych aplikacjach i ich modułach: dane o procesach działających w systemie (identyfikator procesu (PID), nazwę procesu, informacje o koncie, z którego proces został uruchomiony, aplikację i polecenie, które uruchomiły proces, znacznik zaufanego programu lub procesu, pełną ścieżkę plików procesu i ich sum kontrolnych (MD5, SHA2-256, SHA1) oraz uruchamianie wiersza polecenia, poziom integralności procesu, opis produktu, do którego należy proces (nazwę produktu i informacje o wydawcy), używane certyfikaty cyfrowe i informacje niezbędne do zweryfikowania ich autentyczności lub informacje o braku podpisu cyfrowego pliku), a także informacje o modułach załadowanych do procesów (ich nazwy, rozmiary, typy, daty utworzenia, atrybuty, sumy kontrolne (MD5, SHA2-256, SHA1), ścieżki na Komputerze), informacje o nagłówku pliku PE, nazwy programów pakujących (jeśli plik był spakowany);
informacje o wszystkich potencjalnie szkodliwych obiektach i aktywnościach: nazwa wykrytego obiektu i pełna ścieżka dostępu do obiektu na komputerze, sumy kontrolne przetworzonych plików (MD5, SHA2-256, SHA1), data i godzina wykrycia, nazwy i rozmiary zainfekowanych plików i ścieżki dostępu do tych plików, kod szablonu ścieżki dostępu, flaga pliku wykonywalnego, wskaźnik określający, czy obiekt znajduje się w kontenerze, nazwy narzędzi pakujących (jeśli plik został spakowany), kod typu pliku, ID formatu pliku, lista działań wykonanych przez szkodliwe oprogramowanie oraz decyzja podjęta przez oprogramowanie i reakcja użytkownika, identyfikatory antywirusowych baz danych oraz wpisy w tych antywirusowych bazach danych, które zostały użyte do podjęcia decyzji, wskaźnik potencjalnie szkodliwego obiektu, nazwa wykrytego zagrożenia zgodna z klasyfikacją Posiadacza praw, poziom zagrożenia, stan wykrycia i metoda wykrycia, powód włączenia do analizowanego kontekstu i numer sekwencyjny pliku w kontekście, sumy kontrolne (MD5, SHA2-256, SHA1), nazwa i atrybuty pliku wykonywalnego aplikacji, poprzez którą przesłana została zainfekowana wiadomość lub odnośnik, zdepersonalizowane adresy IP (IPv4 i IPv6) hosta zablokowanego obiektu, entropia pliku, wskaźnik automatycznego uruchomienia pliku, godzina pierwszego wykrycia pliku w systemie, liczba uruchomień pliku od ostatniego wysłania statystyk, informacje o nazwie, sumy kontrolne (MD5, SHA256, SHA1) oraz rozmiar klienta poczty, poprzez którego otrzymano szkodliwy obiekt, ID zadania oprogramowania, które przeprowadziło skanowanie, wskaźnik pokazujący, czy podpis lub reputacja pliku zostały sprawdzone, wynik przetworzenia pliku, suma kontrolna (MD5) wzorca zebranego dla obiektu, rozmiar wzorca w bajtach i specyfikacje techniczne zastosowanych technologii wykrywania;
informacje o skanowanych obiektach: przypisaną grupę zaufania, do której i/lub z której plik został umieszczony, powód, dla którego plik umieszczono w danej kategorii, identyfikator kategorii, informacje o źródle kategorii i wersji bazy danych kategorii, znacznik certyfikatu zaufania pliku, nazwę dostawcy pliku, wersję pliku, nazwę i wersję aplikacji, do której należy plik;
informacje o wykrytych lukach w zabezpieczeniach: identyfikator luki w bazie danych luk, klasę zagrożenia luki;
informacje o emulacji pliku wykonywalnego: rozmiar pliku i jego sumy kontrolne (MD5, SHA2-256, SHA1), wersję komponentu emulatora, głębokość emulacji, tablicę właściwości bloków logicznych i funkcji w obrębie bloków logicznych uzyskanych podczas emulacji oraz dane z nagłówków PE pliku wykonywalnego;
informacje o atakach sieciowych: adresy IP atakującego komputera (IPv4 i IPv6), numer portu na Komputerze będącym celem ataku sieciowego, identyfikator protokołu pakietu IP zawierającego atak, cel ataku (nazwę organizacji, stronę internetową), znacznik reakcji na atak, wagę ataku, poziom zaufania;
informacje o atakach powiązanych ze sfałszowanymi zasobami sieciowymi, adresy DNS i IP (IPv4 i IPv6) odwiedzonych stron internetowych;
adresy DNS i IP (IPv4 lub IPv6) zażądanego zasobu sieciowego, informacje o pliku i kliencie sieci Web uzyskujących dostęp do zasobu sieciowego, nazwę, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1) pliku, pełną ścieżkę do pliku oraz kod szablonu ścieżki, wynik weryfikacji jego podpisu cyfrowego i jego stan w KSN;
informacje o wycofaniu szkodliwych działań: dane dotyczące pliku, którego aktywność została wycofana (nazwa pliku, pełna ścieżka dostępu do pliku, jego rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1)), dane dotyczące pomyślnych i niepomyślnych działań mających na celu usunięcie, zmianę nazwy i skopiowanie plików oraz przywrócenie wartości w rejestrze (nazwy kluczy rejestru i ich wartości) oraz informacje o plikach systemowych zmodyfikowanych przez szkodliwe oprogramowanie, przed i po wycofaniu działań;
informacje o wyłączeniach ustawionych dla komponentu Adaptacyjna kontrola anomalii: identyfikator i status reguły, która została wyzwolona, czynność wykonywaną przez Oprogramowanie podczas wyzwalania reguły, rodzaj konta użytkownika, w ramach którego proces lub wątek wykonuje podejrzaną aktywność, a także informacje o procesie, który był przedmiotem podejrzanej aktywności (identyfikator skryptu lub nazwa pliku procesu, pełna ścieżka do pliku procesu, kod szablonu ścieżki, sumy kontrolne (MD5, SHA2-256, SHA1) pliku procesu); informacje o obiekcie, który wykonał podejrzane aktywności, jak również o obiekcie, który był przedmiotem podejrzanych aktywności (nazwa klucza rejestru lub nazwa pliku, pełna ścieżka do pliku, kod szablonu ścieżki oraz sumy kontrolne (MD5, SHA2-256, SHA1) pliku);
informacje o załadowanych modułach oprogramowania: nazwa, rozmiar i sumy kontrolne (MD5, SHA2-256, SHA1) pliku modułu, pełna ścieżka dostępu do niego oraz kod szablonu ścieżki dostępu, ustawienia podpisu cyfrowego pliku modułu, data i godzina utworzenia podpisu, nazwa podmiotu i organizacji, która podpisała plik modułu, ID procesu, w którym moduł został załadowany, nazwa dostawcy modułu oraz numer sekwencyjny modułu w kolejce ładowania;
informacje o jakości interakcji Oprogramowania z usługami KSN: datę i godzinę rozpoczęcia i zakończenia okresu, w którym generowane były statystyki, informacje o jakości żądań i połączeniu z każdą z wykorzystywanych usług KSN (identyfikator usługi KSN, liczba udanych żądań, liczba żądań z odpowiedziami z pamięci podręcznej, liczba nieudanych żądań (problemy sieciowe, wyłączenie KSN w ustawieniach Oprogramowania, nieprawidłowe przekierowanie), rozłożenie w czasie udanych żądań, rozkład w czasie anulowanych żądań, rozkład w czasie żądań z przekroczonym limitem czasu, liczbę połączeń do KSN pobranych z pamięci podręcznej, liczbę udanych połączeń do KSN, liczbę nieudanych połączeń do KSN, liczbę udanych transakcji, liczbę nieudanych transakcji, rozkład w czasie udanych połączeń do KSN, rozkład w czasie nieudanych połączeń do KSN, rozkład w czasie udanych transakcji, rozkład w czasie nieudanych transakcji);
informacje na temat danych w pamięci procesów w przypadku usunięcia potencjalnie złośliwego obiektu: elementy hierarchii obiektów systemu (ObjectManager), dane w pamięci UEFI BIOS oraz nazwy kluczy rejestru i ich wartości;
informacje o zdarzeniach w dziennikach systemowych: znacznik czasu zdarzenia, nazwa dziennika, w którym znaleziono zdarzenie, typ i kategoria zdarzenia oraz nazwa źródła zdarzenia i opis zdarzenia;
informacje o połączeniach sieciowych: wersja i sumy kontrolne (MD5, SHA2-256, SHA1) pliku, z którego uruchomiono proces, który otworzył port, ścieżka do pliku procesu i jego podpis cyfrowy, lokalne i zdalne adresy IP, numery lokalnych i zdalnych portów połączeń, stan połączenia oraz znacznik czasu otwarcia portu;
Informacje o dacie instalacji i aktywacji Oprogramowania na Komputerze: identyfikator partnera, u którego zakupiono licencję, numer seryjny licencji, unikatowy identyfikator instalacji oprogramowania na komputerze, typ i identyfikator aplikacji, którą przeprowadzono aktualizację, oraz identyfikator zadania aktualizacji, informacje o zainstalowanych składnikach Oprogramowania i stanie ich działania;
informacje o zestawie wszystkich zainstalowanych aktualizacji oraz zestawie ostatnio zainstalowanych/usuniętych aktualizacji, typ zdarzenia, które spowodowało przesłanie informacji o aktualizacji, czas od instalacji ostatniej aktualizacji oraz informacje o wszelkich aktualnie zainstalowanych antywirusowych bazach danych;
informacje o działaniu oprogramowania na komputerze: dane dotyczące użycia procesora, dane dotyczące użycia pamięci (Bajty prywatne, Pula niestronicowana, Pula stronicowana), liczba aktywnych wątków w procesie oprogramowania i oczekujące wątki, a także czas działania oprogramowania przed wystąpieniem błędu;
liczbę zrzutów oprogramowania i zrzutów systemu (BSOD - niebieski ekran śmierci) od momentu zainstalowania Oprogramowania oraz od momentu ostatniej aktualizacji, identyfikator i wersję modułu Oprogramowania, który uległ awarii, stos pamięci w procesie Oprogramowania oraz informacje o antywirusowych bazach danych w momencie awarii;
dane na temat zrzutu systemu (BSOD - niebieski ekran śmierci): znacznik wskazujący wystąpienie niebieskiego ekranu na Komputerze, nazwę sterownika, którzy spowodował wystąpienie niebieskiego ekranu, adres i stos pamięci w sterowniku, znacznik wskazujący czas trwania sesji systemu operacyjnego przed wystąpieniem niebieskiego ekranu, stos pamięci sterownika, który uległ awarii, typ przechowywanego zrzutu pamięci, znacznik sesji systemu operacyjnego informujący o trwaniu jego sesji przez ponad 10 minut przed wystąpieniem niebieskiego ekranu, unikatowy identyfikator zrzutu oraz znacznik czasu niebieskiego ekranu;
informacje o błędach lub problemach z wydajnością, które wystąpiły podczas pracy komponentów Oprogramowania: identyfikator stanu Oprogramowania, typ błędu, kod i przyczynę oraz czas wystąpienia błędu, identyfikatory komponentu, modułu i procesu produktu, w którym wystąpił błąd, identyfikator zadania lub kategorii aktualizacji, w której wystąpił błąd, rejestry sterowników wykorzystywanych przez Oprogramowanie (kod błędu, nazwa modułu, nazwa pliku źródłowego oraz linia, w której wystąpił błąd);
informacje o aktualizacjach antywirusowych baz danych i składników Oprogramowania: nazwę, datę i godzinę indeksowania plików pobranych podczas ostatniej aktualizacji i pobieranych podczas bieżącej aktualizacji;
informacje o nieprawidłowym zakończeniu działania Oprogramowania: znacznik czasu utworzenia zrzutu, jego typ, typ zdarzenia, które spowodowało nieprawidłowe zakończenie działania Oprogramowania (nieoczekiwanego wyłączenia zasilania, awarii aplikacji innej firmy) oraz datę i czas nieoczekiwanego wyłączenia zasilania;
informacje o kompatybilności sterowników Oprogramowania ze sprzętem i Oprogramowaniem: informacje o właściwościach systemu operacyjnego ograniczających funkcjonalność komponentów Oprogramowania (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), typ zainstalowanego Oprogramowania do pobrania (UEFI, BIOS), identyfikator modułu Trusted Platform Module (TPM), wersję specyfikacji TPM, informacje o procesorze zainstalowanym w Komputerze, tryb pracy i parametry Code Integrity i Device Guard, tryb pracy sterowników i powód korzystania z aktualnego trybu, wersję sterowników Oprogramowania, status obsługi wirtualizacji oprogramowania i sprzętu Komputera;
informacje o aplikacjach innych firm, które spowodowały błąd: ich nazwy, wersje i lokalizacje, kod błędu i informacje o błędzie z dziennika systemowego aplikacji, adres błędu i stos pamięci aplikacji innej firmy, znacznik wskazujący wystąpienie błędu w komponencie Oprogramowania, czas działania aplikacji innej firmy przed wystąpieniem błędu, sumy kontrolne (MD5, SHA2-256, SHA1) obrazu procesu aplikacji, w którym wystąpił błąd, ścieżkę obrazu procesu aplikacji i kod szablonu ścieżki, informację z dziennika systemowego z opisem błędu powiązanego z aplikacją, informacje o module aplikacji, w którym wystąpił błąd (identyfikator wyjątku, adres pamięci związany z awarią jako przesunięcie w module aplikacji, nazwę i wersję modułu, identyfikator awarii aplikacji we wtyczce Posiadacza Praw i stos pamięci z awarii, a także czas trwania sesji aplikacji przed awarią);
wersję komponentu aktualizującego Oprogramowania, liczbę awarii komponentu aktualizującego w czasie trwania zadań aktualizacji przez łączny czas działania komponentu, identyfikator typu zadania aktualizacji, liczbę nieudanych prób ukończenia zadań aktualizacji przez komponent aktualizujący;
informacje o działaniu komponentów monitorujących system Oprogramowania: pełne wersje komponentów, datę i godzinę uruchomienia komponentów, kod zdarzenia, które przepełniło kolejkę zdarzeń i liczbę takich zdarzeń, całkowitą liczbę zdarzeń przepełnienia kolejki, informacje o pliku procesu inicjatora zdarzenia (nazwę pliku i jego ścieżkę na Komputerze, kod szablonu ścieżki pliku, sumy kontrolne (MD5, SHA2-256, SHA1) procesu związanego z plikiem, wersję pliku), identyfikator przechwycenia zdarzenia, pełną wersję filtra przechwytującego, identyfikator typu przechwyconego zdarzenia, wielkość kolejki zdarzeń i liczbę zdarzeń pomiędzy pierwszym zdarzeniem w kolejce a bieżącym zdarzeniem, liczbę zaległych zdarzeń w kolejce, informacje o pliku procesu inicjatora bieżącego zdarzenia (nazwę pliku i jego ścieżkę na Komputerze, kod szablonu ścieżki pliku, sumy kontrolne (MD5, SHA2-256, SHA1) procesu związanego z plikiem), czas trwania przetwarzania zdarzenia, maksymalny czas przetwarzania zdarzenia, prawdopodobieństwo wysłania statystyk, informacje o zdarzeniach w systemie operacyjnym, dla których przekroczony został limit czasu przetwarzania (datę i czas zdarzenia, liczbę powtórzeń inicjalizacji antywirusowych baz danych, datę i godzinę ostatniej powtórzonej inicjalizacji antywirusowych baz danych po ich aktualizacji, czas opóźnienia przetwarzania zdarzeń dla każdego komponentu monitorującego system, liczbę zdarzeń oczekujących w kolejce, liczbę przetwarzanych zdarzeń, liczbę opóźnionych zdarzeń bieżącego typu, całkowity czas opóźnienia dla zdarzeń bieżącego typu, całkowity czas opóźnienia dla wszystkich zdarzeń);
informacje z narzędzia śledzenia zdarzeń Windows (Event Tracing for Windows, ETW) w przypadku problemów z wydajnością Oprogramowania, dostawców zdarzeń SysConfig / SysConfigEx / WinSATAssessment firmy Microsoft: informacje o Komputerze (model, producent, rozmiary obudowy, wersję), informacje o metrykach wydajności systemu Windows (oceny WinSAT, indeks wydajności systemu Windows), nazwę domeny, informacje o procesorach fizycznych i logicznych (liczbę procesorów fizycznych i logicznych, producenta, model, poziom taktowania procesora, liczbę rdzeni, częstotliwość zegara, CPUID, charakterystykę pamięci podręcznej, charakterystykę procesora logicznego, wskaźniki obsługiwanych trybów i instrukcji), informacje o modułach RAM (typ, współczynnik kształtu, producenta, model, pojemność, ziarnistość alokacji pamięci), informacje o interfejsach sieciowych (adresy IP i MAC, nazwę, opis, konfigurację interfejsów sieciowych, podział liczby i wielkości pakietów sieciowych według typu, prędkość wymiany danych w sieci, podział liczby błędów sieciowych według typu), konfigurację kontrolera IDE, adresy IP serwerów DNS, informacje o karcie graficznej (model, opis, producenta, kompatybilność, pojemność pamięci wideo, uprawnienia ekranu, liczbę bitów na piksel, wersję BIOS), informacje o urządzeniach typu plug-and-play (nazwę, opis, identyfikator urządzenia [PnP, ACPI], informacje o dyskach i urządzeniach pamięci masowej (liczbę dysków lub napędów flash, producenta, model, pojemność dysku, liczbę cylindrów, liczbę ścieżek na cylinder, liczbę sektorów na ścieżkę, pojemność sektora, charakterystykę pamięci podręcznej, liczbę sekwencyjną, liczbę partycji, konfigurację kontrolera SCSI), informacje o dyskach logicznych (numer sekwencyjny, pojemność partycji, pojemność wolumenu, literę wolumenu, typ partycji, typ systemu plików, liczbę klastrów, wielkość klastra, liczbę sektorów na klaster, liczbę pustych i zajętych klastrów, literę woluminu rozruchowego, adres przesunięcia partycji w stosunku do początku dysku), informacje o BIOS-ie płyty głównej (producenta, datę publikacji, wersję), informacje o płycie głównej (producenta, model, typ), informacje o pamięci fizycznej (współdzielonej i wolnej pojemności), informacje o usługach systemu operacyjnego (nazwę, opis, status, znacznik, informacje o procesach [nazwę i PID]), parametry zużycia energii dla Komputera, konfigurację kontrolera przerwań, ścieżkę do folderów systemu Windows (Windows i System32), informacje o systemie operacyjnym (wersję, kompilację, datę wydania, nazwę, typ, datę instalacji), rozmiar pliku stronicowania, informacje o monitorach (liczbę, producenta, zezwolenia ekranu, rozdzielczość, typ), informacje o sterowniku karty graficznej (producenta, datę wydania, wersję);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń EventTrace / EventMetadata firmy Microsoft: informacje o kolejności zdarzeń systemowych (typ, godzinę, datę, strefę czasową), metadane o pliku z wynikami śledzenia (nazwę, strukturę, parametry śledzenia, rozbicie liczby operacji śledzenia według typu), informacje o systemie operacyjnym (nazwę, typ, wersję, kompilację, datę wydania, godzinę uruchomienia);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power firmy Microsoft: informacje o rozpoczętych i zakończonych procesach (nazwę, PID, parametry uruchamiania, wiersz poleceń, kod zwrotny, parametry zarządzania energią, czas uruchomienia i zakończenia, typ tokena dostępu, SID, SessionID, liczbę zainstalowanych deskryptorów), informacje o zmianach priorytetów wątków (TID, priorytet, czas), informacje o operacjach dyskowych procesu (typ, czas, pojemność, liczbę), historię zmian w strukturze i pojemności procesów dostępnej pamięci;
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń StackWalk / Perfinfo firmy Microsoft: informacje o licznikach wydajności (wydajność poszczególnych sekcji kodu, kolejność wywołań funkcji, PID, TID, adresy i atrybuty ISR i DPC);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń KernelTraceControl-ImageID firmy Microsoft: informacje o plikach wykonywalnych i bibliotekach dynamicznych (nazwę, rozmiar obrazu, pełną ścieżkę), informacje o plikach PDB (nazwę, identyfikator), dane zasobu VERSIONINFO dla plików wykonywalnych (nazwę, opis, twórcę, lokalizację, wersję i identyfikator aplikacji, wersję i identyfikator pliku);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń FileIo / DiskIo / Image / Windows Kernel Disk firmy Microsoft: informacje o operacjach na plikach i dyskach (typ, pojemność, czas uruchomienia, czas zakończenia, czas trwania, status zakończenia, PID, TID, adresy wywołania funkcji sterownika, I/O Request Packet (IRP), atrybuty obiektu pliku Windows), informacje o plikach związanych z operacjami na plikach i na dyskach (nazwę, wersję, rozmiar, pełną ścieżkę, atrybuty, przesunięcie, sumę kontrolną obrazu, opcje otwarcia i dostępu);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń PageFault firmy Microsoft: informacje na temat błędów dostępu do strony pamięci (adres, czas, pojemność, PID, TID, atrybuty obiektu pliku Windows, parametry alokacji pamięci);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń Thread firmy Microsoft: informacje o tworzeniu/ukończeniu wątków, informacje o uruchomionych wątkach (PID, TID, rozmiar stosu, priorytety i alokację zasobów CPU, zasoby I/O, strony pamięci pomiędzy wątkami, adres stosu, adres funkcji inicjującej, adres bloku środowiska Thread Environment Block (TEB), znacznik usługi Windows);
informacje z narzędzia śledzenia zdarzeń Windows (ETW), dostawców zdarzeń Microsoft Windows Kernel Memory firmy Microsoft: informacje o operacjach zarządzania pamięcią (stan zakończenia, czas, liczbę, PID), strukturę alokacji pamięci (typ, pojemność, SessionID, PID);
informacje o działaniu Oprogramowania w przypadku problemów z wydajnością: identyfikator instalacji Oprogramowania, typ i wartość spadku wydajności, informacje o sekwencji zdarzeń w ramach Oprogramowania (czas, strefę czasową, typ, stan zakończenia, identyfikator komponentu Oprogramowania, identyfikator scenariusza działania Oprogramowania, TID, PID, adresy wywołań funkcji), informacje o połączeniach sieciowych do sprawdzenia (URL, kierunek połączenia, rozmiar pakietu sieciowego), informacje o plikach PDB (nazwę, identyfikator, rozmiar obrazu pliku wykonywalnego), informacje o plikach do sprawdzenia (nazwę, pełną ścieżkę, sumę kontrolną), parametry monitorowania wydajności Oprogramowania;
informacje o ostatnim nieudanym ponownym uruchomieniu systemu operacyjnego: liczbę nieudanych prób ponownego uruchomienia od momentu instalacji systemu operacyjnego, dane na temat zrzutu systemu (kod i parametry błędu, nazwę, wersję i sumę kontrolną (CRC32) modułu, który spowodował błąd działania systemu operacyjnego, adres błędu jako przesunięcie w module, sumy kontrolne (MD5, SHA2-256, SHA1) zrzutu systemu);
informacje pozwalające zweryfikować autentyczność certyfikatów cyfrowych używanych do podpisywania plików: odcisk palca certyfikatu, algorytm sumy kontrolnej, klucz publiczny i numer seryjny certyfikatu, nazwę wystawcy certyfikatu, wynik weryfikacji certyfikatu i identyfikator bazy danych certyfikatu;
informacje o procesie uruchamiającym atak na mechanizm autoochrony Oprogramowania: nazwę i rozmiar pliku procesu, jego sumy kontrolne (MD5, SHA2-256, SHA1), pełną ścieżkę pliku procesu i kod szablonu ścieżki pliku, znaczniki czasu utworzenia/zbudowania, znacznik pliku wykonywalnego, atrybuty pliku procesu, informacje o certyfikacie użytym do podpisania pliku procesu, kod konta użytego do uruchomienia procesu, identyfikator operacji wykonanych w celu uzyskania dostępu do procesu, typ zasobu, za pomocą którego operacja jest wykonywana (proces, plik, obiekt rejestru, funkcja wyszukiwania FindWindow), nazwę zasobu, za pomocą którego operacja jest wykonywana, znacznik wskazujący powodzenie operacji, status pliku procesu i jego sygnaturę według KSN;
informacje o Oprogramowaniu Posiadacza praw: jego wersję językową i stan działania, wersje zainstalowanych komponentów Oprogramowania i ich stan działania, informacje o zainstalowanych aktualizacjach, wartość filtra TARGET;
informacje o sprzęcie zainstalowanym na Komputerze: typ, nazwę, nazwę modelu, wersję oprogramowania układowego, parametry urządzeń wbudowanych i podłączonych, unikatowy identyfikator Komputera z zainstalowanym Oprogramowaniem;
informacje o wersjach systemu operacyjnego i zainstalowanych aktualizacji, długość słowa, edycję i parametry trybu uruchamiania systemu operacyjnego oraz wersję i sumy kontrolne (MD5, SHA2-256, SHA1) pliku jądra systemu operacyjnego, a także datę i godzinę uruchomienia systemu operacyjnego;
pliki wykonywalne i niewykonywalne lub ich części, w tym pliki zaufane;
części pamięci RAM Komputera;
sektory zaangażowane w proces rozruchu systemu operacyjnego;
pakiety danych dotyczące ruchu sieciowego;
strony internetowe i wiadomości e-mail zawierające podejrzane i szkodliwe obiekty;
opis klas i instancji klas repozytorium WMI;
raporty dotyczące aktywności aplikacji: nazwa, rozmiar i wersja wysyłanego pliku, jego opis i sumy kontrolne (MD5, SHA2-256, SHA1), identyfikator formatu pliku, nazwa producenta pliku, nazwa produktu, do którego należy plik, pełna ścieżka na Komputerze, kod szablonu ścieżki do pliku, znaczniki czasu utworzenia i modyfikacji pliku; data/godzina rozpoczęcia i zakończenia okresu ważności certyfikatu (jeśli plik posiada podpis cyfrowy), data i godzina podpisu, nazwa wydawcy certyfikatu, informacje o właścicielu certyfikatu, odcisk palca, klucz publiczny certyfikatu i odpowiednie algorytmy oraz numer seryjny certyfikatu; nazwa konta, z którego proces jest uruchomiony; sumy kontrolne (MD5, SHA2-256, SHA1) nazwy Komputera, na którym proces jest uruchomiony; tytuły okien procesu; identyfikator antywirusowych baz danych, nazwa wykrytego zagrożenia zgodnie z klasyfikacją Posiadacza praw; dane dotyczące zainstalowanej licencji, jej identyfikator, typ i data wygaśnięcia; czas lokalny Komputera w momencie dostarczenia informacji; nazwy i ścieżki plików, do których dostęp uzyskały procesy; nazwy kluczy rejestru i ich wartości, do których dostęp uzyskał proces; adres URL i adres IP, do których dostęp uzyskał proces; adres URL i adres IP, z których pobrano uruchomiony plik.