Collecte des données dans le cadre de l’utilisation de Kaspersky Security Network
L’ensemble des données que Kaspersky Endpoint Security envoie à Kaspersky dépend du type de licence et des paramètres d’utilisation de Kaspersky Security Network.
Utilisation de KSN sous licence sur un maximum de 4 ordinateurs
En acceptant la Déclaration de Kaspersky Security Network, vous acceptez de transmettre automatiquement les informations suivantes :
informations relatives à la mise à jour de la configuration de KSN : identifiant de la configuration active, identifiant de la configuration reçue, code d’erreur de mise à jour de la configuration ;
informations sur les fichiers et les adresses Internet analysés : sommes de contrôle du fichier analysé (MD5, SHA2-256, SHA1) et profils de fichier (MD5), taille du profil, type de menace détectée et son nom conformément à la classification du Titulaire des droits, identifiant des bases antivirus, adresse Internet pour laquelle la réputation est sollicitée, adresse Internet depuis laquelle l'accès à l'adresse Internet à analyser a eu lieu, identifiant du protocole de connexion et numéro du port utilisé ;
identifiant de la tâche d'analyse qui a détecté la menace ;
informations sur les certificats numériques utilisés requises pour vérifier leur authenticité : sommes de contrôle du certificat (SHA256) utilisé pour signer l'objet à analyser, clé publique du certificat ;
identificateur du module de l’application qui exécute l’analyse ;
identificateurs des bases antivirus et enregistrements dans les bases antivirus ;
informations relatives à l’activation de l’application sur l’ordinateur ; en-tête signé du ticket du service d’activation (identificateur du centre d’activation régional, somme de contrôle du code d’activation, somme de contrôle du ticket, date de création du ticket, identificateur unique du ticket, version du ticket, état de la licence, date et heure du début de fin de validité du ticket, identificateur unique de licence, version de la licence), identificateur du certificat utilisé pour signer les en-têtes du ticket, somme de contrôle (MD5) du fichier clé.
informations relatives à l’application du Titulaire des droits : version complète, type, version du protocole utilisé dans le cadre de la connexion aux services de Kaspersky.
Utilisation de KSN sous licence sur 5 ordinateurs ou plus
En acceptant la Déclaration de Kaspersky Security Network, vous acceptez de transmettre automatiquement les informations suivantes :
Si la case Kaspersky Security Network est cochée alors que la case Activer le mode étendu du KSN est décochée, l’application transmet les informations suivantes :
informations relatives à la mise à jour de la configuration de KSN : identifiant de la configuration active, identifiant de la configuration reçue, code d’erreur de mise à jour de la configuration ;
informations sur les fichiers et les adresses Internet analysés : sommes de contrôle du fichier analysé (MD5, SHA2-256, SHA1) et profils de fichier (MD5), taille du profil, type de menace détectée et son nom conformément à la classification du Titulaire des droits, identifiant des bases antivirus, adresse Internet pour laquelle la réputation est sollicitée, adresse Internet depuis laquelle l'accès à l'adresse Internet à analyser a eu lieu, identifiant du protocole de connexion et numéro du port utilisé ;
identifiant de la tâche d’analyse qui a détecté la menace
informations sur les certificats numériques utilisés requises pour vérifier leur authenticité : sommes de contrôle du certificat (SHA256) utilisé pour signer l'objet à analyser, clé publique du certificat ;
identificateur du module de l’application qui exécute l’analyse ;
identificateurs des bases antivirus et enregistrements dans les bases antivirus ;
informations relatives à l’activation de l’application sur l’ordinateur ; en-tête signé du ticket du service d’activation (identificateur du centre d’activation régional, somme de contrôle du code d’activation, somme de contrôle du ticket, date de création du ticket, identificateur unique du ticket, version du ticket, état de la licence, date et heure du début de fin de validité du ticket, identificateur unique de licence, version de la licence), identificateur du certificat utilisé pour signer les en-têtes du ticket, somme de contrôle (MD5) du fichier clé.
informations relatives à l’application du Titulaire des droits : version complète, type, version du protocole utilisé dans le cadre de la connexion aux services de Kaspersky.
Si en plus de la case Kaspersky Security Network vous cochez la case Activer le mode étendu du KSN, l’application transmet en plus les informations suivantes :
informations sur les résultats du classement en catégories des ressources Internet sollicitées. Celui contient l'adresse Internet à analyser et l'adresse IP de l'hôte, la version du composant de l'application qui réalise le classement en catégories, le mode de classement utilisé et la sélection de catégories définies pour la ressource Internet ;
informations sur l’application installée sur l’Ordinateur : nom de l’application et son éditeur, clés de registre utilisée et leurs valeurs, informations relatives aux fichiers des modules de l’application installée (sommes de contrôle (MD5, SHA2-256, SHA1), nom, chemin du fichier sur l’Ordinateur, taille, version et signature numérique) ;
informations sur l’état de la protection antivirus de l’Ordinateur : versions, dates et heures de publication des bases antivirus utilisées, identifiant de la tâche et identifiant du Logiciel qui effectue l’analyse ;
informations relatives aux fichiers téléchargés par l'Utilisateur : URL et adresses IP depuis lesquelles le téléchargement a eu lieu et adresse Internet de la page de transfert à la page de téléchargement du fichier, identifiant du protocole de téléchargement et numéro du port de connexion, indice de caractère malveillant des adresses, attributs et taille du fichier ainsi que ses sommes de contrôle (MD5, SHA2-256, SHA1), informations sur le processus qui a chargé le fichier (sommes de contrôle (MD5, SHA2-256, SHA1), date et heure de création et d'association, indice de présence dans le démarrage automatique, attributs, nom des compacteurs, informations relatives à la signature, indice du fichier exécutable, identifiant du format, type du compte utilisateur sous lequel le processus a été lancé), informations sur le fichier du processus (nom, chemin du fichier et taille), nom du fichier, chemin d'accès au fichier sur l'Ordinateur, signature numérique du fichier et informations sur l'exécution de la signature, adresse Internet où a eu lieu la détection, nombre de scripts suspects sur la page considérée comme suspecte ou malveillante ;
informations sur les applications lancées et leurs modules : données sur les processus exécutés dans le système (identifiant du processus dans le système (PID), nom du processus, données relatives au compte utilisateur sous lequel le processus a été lancé, données relatives à l'application et à la commande qui a lancé le processus, ainsi que l'indice de confiance de l'application ou du processus, chemin d'accès complet aux fichiers du processus et leur somme de contrôle (MD5, SHA2-256, SHA1), ligne de commande de lancement, niveau d'intégrité du processus, description du produit auquel se rapporte le processus (nom du produit et données relatives à l'éditeur), données relatives aux certificats numériques utilisés et informations indispensables à la vérification de leur authenticité ou données relatives à l'absence de signature numérique du fichier), informations sur les modules chargés dans le processus (nom, taille, type, date de création, attributs, sommes de contrôle (MD5, SHA2-256, SHA1), chemin d'accès), informations de l'en-tête des fichiers PE, nom du compacteur (si le fichier était compacté) ;
informations relatives à l’ensemble des objets et actions potentiellement malveillants : nom de l’objet détecté et chemin d’accès complet à l’objet sur l’Ordinateur, sommes de contrôle des fichiers traités (MD5, SHA2-256, SHA1), date et heure de la détection, nom et taille des fichiers traités et chemin d’accès à ceux-ci, code du modèle de chemin d’accès, indice de fichier exécutable, identification de l’objet en tant que conteneur ou non, nom du compacteur (si le fichier a été compacté), code du type de fichier, identifiant du format de fichier, identificateurs des bases antivirus et des enregistrements dans ces bases sur la base desquels l’application a été mise en évidence, indice d’objet potentiellement malveillant, nom de la menace détectée conformément à la classification du Titulaire des droits, état et mode de détection, cause de l’inclusion dans le contexte à analyser et position du fichier dans le contexte, sommes de contrôle (MD5, SHA2-256, SHA1), nom et attributs du fichier exécutable de l’application via laquelle le message infecté ou le lien est arrivé, adresses IP(IPv4 et IPv6) de l’hôte de l’objet bloqué, entropie du fichier, indice de la présence du fichier dans le démarrage automatique, heure de la première détection du fichier dans le système, nombre de lancements du fichier depuis le dernier envoi des statistiques, type de compilateur, informations relatives au nom, aux sommes de contrôle (MD5, SHA2-256, SHA1) et à la taille du client de messagerie via lequel l’objet malveillant a été reçu, identifiant de la tâche de l’application qui a réalisé l’analyse, indice de vérification de la réputation ou signature du fichier, résultats de l’analyse statistique du contenu de l’objet, résultats du traitement du fichier, profils de l’objet et taille du profil en octets, caractéristiques techniques des technologies de détection appliquée ;
informations sur les objets analysés : groupe de confiance attribué dans lequel le fichier est placé et/ou hors duquel il est déplacé, cause du placement du fichier dans cette catégorie, identifiant de la catégorie, informations relatives à la source des catégories et à la version des bases de catégories, indice de la présence dans le fichier d'un certificat de confiance, nom de l'éditeur du fichier, version du fichier, nom et version de l'application dont le fichier fait partie ;
informations sur les vulnérabilités détectées : identifiant de la vulnérabilité dans la base des vulnérabilités, classe du danger de la vulnérabilité ;
informations sur l'exécution de l'émulation du fichier exécutable : taille du fichier et ses sommes de contrôle (MD5, SHA2-256, SHA1), version du composant d'émulation, profondeur de l'émulation, vecteur des caractéristiques des blocs logiques et des fonctions à l'intérieur des blocs logiques obtenu lors de l'émulation, données issues de la structure de l'en-tête PE du fichier exécutable ;
informations relatives aux attaques réseaux : adresses IP de l'ordinateur attaquant (IPv4 et IPv6), numéro de port de l'Ordinateur ciblé par l'attaque réseau, identifiant du protocole du paquet IP dans lequel l'attaque a été enregistrée, cible de l'attaque (nom de l'organisation, le site Internet), l'indicateur de réaction à l'attaque, la pondération de l'attaque, la valeur du niveau de confiance ;
informations relatives aux attaques liées à la substitution de ressources réseau, DNS et adresses IP (IPv4 ou IPv6) des sites Internet visités ;
adresses Internet et adresses IP (IPv4 ou IPv6) de la ressource Internet sollicitée, informations relatives au fichier et/ou au client Internet qui a contacté la ressource Internet : nom, taille, sommes de contrôle (MD5, SHA2-256, SHA1) du fichier, chemin d’accès complet à celui-ci et code du modèle de chemin d’accès, résultat de la vérification de sa signature numérique et son état dans KSN ;
informations sur l’exécution du retour à l’état antérieur aux actions du programme malveillant : données relatives au fichier, activité soumise à la tâche (nom du fichier, son chemin d’accès complet, sa taille et les sommes de contrôle (MD5, SHA2-256, SHA1)), données sur les actions réussies ou non au niveau de la suppression, du changement de nom et de la copie des fichiers et de la restauration des valeurs dans le registre (nom des clés du registre et leurs valeurs), informations sur les fichiers système modifiés par le programme malveillant avant et après le retour à l’état antérieur ;
informations sur les exclusions pour les règles du module Contrôle évolutif des anomalies : identificateur et état de la règle déclenchée, action de l’application lors du déclenchement de la règle, type de compte utilisateur sous lequel le processus ou le flux exécute les actions suspectes, informations sur le processus qui exécute les actions suspectes ou qui en fait l’objet (identificateur du script ou nom du fichier du processus, chemin d’accès complet du processus, code du modèle de chemin, sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du processus), informations sur l’objet au nom duquel les actions suspectes ont été réalisées et sur l’objet sur lequel les actions suspectes ont été réalisées (nom de la clé du registre ou nom du fichier, chemin du fichier complet, code du modèle de chemin et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier).
informations relatives aux modules de l’application à charger : nom, taille et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du module, son chemin d’accès complet et code du modèle de chemin d’accès, paramètres de la signature numérique du fichier du module, date et heure de création de la signature, nom du sujet et de l’organisation qui ont signé le fichier du module, identifiant du processus dans lequel le module a été chargé, nom du fournisseur du module, numéro de position du module dans la file de chargement ;
informations sur les exclusions pour les règles du module Contrôle évolutif des anomalies : date et heure de début et de fin de la période de collecte des statistiques, informations sur la qualité des requêtes et de la connexion avec chacun des services de KSN utilisés (identificateur du service KSN, nom de requêtes réussies, nombre de requêtes avec des réponses issues du cache, nombre de requêtes en échec (problèmes de réseau, désactivation de KSN dans les paramètres de l’application, parcours incorrect), répartition dans le temps des requêtes qui ont réussi, répartition dans le temps des requêtes qui ont été annulées, répartition dans le temps des requêtes qui ont dépassé le délai d’attente, nombre de connexion au KSN tirées du cache, nombre de connexions à KSN réussies, nombre de connexions à KSN ratées, nombre de transactions réussies, nombre de transactions ratées, répartition dans le temps des connexions à KSN réussie, répartition dans le temps des connexions à KSN ratées, répartition dans le temps des transactions réussies, répartition dans le temps des transactions ratées) ;
en cas de détection d'un objet potentiellement malveillant, les informations relatives aux données dans la mémoire des processus sont transmises : éléments de la hiérarchie des objets système (ObjectManager), données de la mémoire UEFI BIOS, noms des clés de registre et leurs valeurs ;
informations relatives aux événements dans les journaux système : heure de l'événement, nom du journal dans lequel l'événement est détecté, type et catégorie de l'événement, nom de la source de l'événement et sa description ;
informations sur les connexions réseau : version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du processus qui a ouvert le port, chemin d'accès au fichier du processus et sa signature numérique, adresses IP locales et distantes, numéros des ports local et distant de connexion, état de la connexion, heure d'ouverture du port ;
informations sur la date d’installation et d’activation du Logiciel sur l’Ordinateur : identifiant du partenaire qui a vendu la licence, numéro de série de la licence, en-tête signé du ticket du service d’activation (identifiant d’un centre d’activation régional, somme de contrôle du code d’activation, somme de contrôle du ticket, date de création du ticket, identifiant unique du ticket, version du ticket, état de la licence, date et heure de début/fin du ticket, identifiant unique de la licence, version de la licence), identifiant du certificat utilisé pour signer l’en-tête du ticket, somme de contrôle (MD5) du fichier clé, identifiant unique de l’installation du Logiciel sur l’Ordinateur, type et identifiant de l’application qui est mise à jour, identifiant de la tâche de mise à jour ;
informations sur l’ensemble des mises à jour installées ainsi que sur l’ensemble des dernières mises à jour installées et/ou supprimées, type d’événement ayant provoqué l’envoi des informations relatives aux mises à jour, durée écoulée depuis l’installation de la dernière mise à jour, informations relatives aux bases antivirus téléchargées au moment de la remise des informations ;
Information sur le fonctionnement de l’application sur l’Ordinateur : données sur l’utilisation du processeur (CPU), donnée sur l’utilisation de la mémoire (Private Bytes, Non-Page Pool, Paged Pool), nombre de flux actifs dans le processus de l’application et de flux en attente, durée de fonctionnement de l’application jusqu’à l’erreur, indice de fonctionnement de l’application en mode interactif ;
nombre de plantages de l'application et de plantages du système (BSOD) depuis l'installation de l'application et depuis la dernière mise à jour, identifiant et version du module de l'application dans lequel l'échec s'est produit, pile de la mémoire dans le processus de produit et informations relatives aux bases antivirus au moment de l'échec ;
données relatives au plantage du système (BSOD) : indice de l’apparition du BSOD sur l’Ordinateur, nom du pilote qui a provoqué le BSOD, adresse et pile de la mémoire dans le pilote, indice de la longueur de la session du système d’exploitation avant le BSOD, pile de la mémoire de chute du pilote, type de dump de mémoire conservé, indice que la session du système d’exploitation avant le BSOD avait duré plus de 10 minutes, identifiant unique du dump, date et heure du BSOD ;
données sur les erreurs ou les problèmes de performances survenus pendant le fonctionnement des modules de l’application : identificateur de l’état de l’application, code et cause de l’erreur, ainsi que son heure d’apparition, identificateurs du module, du module et du processus de l’application dans lequel l’erreur s’est produite, identificateur de la tâche ou de la catégorie de mise à jour au cours de laquelle l’erreur s’est produite, journaux des pilotes utilisés par l’application (code d’erreur, nom du module, nom du fichier source et ligne sur laquelle l’erreur s’est produite) ;
données relatives aux mises à jour des bases antivirus et des modules de l’application : noms, dates et heures des fichiers d’index chargés suite à la dernière mise à jour et présents dans la mise à jour actuelle ;
informations sur les pannes de l’application : date et heure de création du dump, son type, type d’événement à l’origine de l’arrêt accidentel de l’application (coupure accidentelle de l’alimentation, plantage de l’application d’un éditeur tiers), date et heure de la coupure accidentelle de l’alimentation ;
informations sur la compatibilité des pilotes de l’application avec la configuration matérielle et logicielle : informations sur les propriétés du système d’exploitation qui imposent des limites sur les fonctions des modules de l’application (Secure Boot, KPTL, WHQL Enforce, BitLocker, Case Sensitivity), type de chargement de l’application intégré (UEFL BIOS), indice de la présence d’un module de plateforme de confiance (Trusted Platform Module, TPM), version de la spécification de la TPM, informations sur l’unité centrale (CPU) installée sur l’ordinateur, mode et paramètres de fonctionnement de Code Integrity et Device Guard, mode de fonctionnement des pilotes et raison de l’utilisation du mode actif, version des pilotes de l’application, état de la prise en charge des outils logiciels et matériel de virtualisation de l’Ordinateur par les pilotes ;
informations sur les applications tierces qui ont provoqué l'erreur : leur nom, version et localisation, code d'erreur et informations à son sujet tirées du journal système des applications, adresse où l'erreur est apparue et pile de mémoire de l'application tierce, signe d'apparition de l'erreur dans le composant de l'application, durée de fonctionnement de l'application avant l'erreur, sommes de contrôle (MD5, SHA2-256, SHA1) de l'image du processus de l'application dans lequel l'erreur s'est produite, chemine d'accès à cette image du processus de l'application et code du modèle de chemin, informations du journal système du système d'exploitation avec la description de l'erreur liée à l'application, les informations sur le module de l'application dans lequel l'erreur s'est produite (identifiant de l'erreur, adresse de l'erreur comme déplacement dans le module, nom et version du module, identifiant de la panne de l'application dans le plug-in du Titulaire de droit et pile de la mémoire de cette panne, durée de fonctionnement de l'application jusqu'à l'erreur) ;
version du module de la mise à jour de l’application, nombre d’arrêts sur échec du module de mise à jour de l’application lors de l’exécution des tâches de mise à jour après le fonctionnement du module, identifiant du type de tâche de mise à jour, nombre d’échecs de tâches de mise à jour du module de mise à jour de l’application ;
informations sur le fonctionnement des modules de surveillance du système : versions complètes des modules, date et heure de lancement des modules, code de l’événement qui a fait déborder la file d’attente d’événement et le nombre de ces événements, total des débordements de la file d’attente d’événement, informations sur le fichier du processus à l’origine de l’événement (nom du fichier et son chemin d’accès sur l’Ordinateur, code du modèle de chemin, sommes de contrôle (MD5, SHA2-256, SHA1) du processus lié au fichier, version du fichier), identificateur de l’interception de l’événement réalisée, version complète du filtre de l’intercepteur, identificateur du type d’événement intercepté, taille de la file d’attente d’événements et nombre d’événements entre le premier de la file et l’actuel, nombre d’événements dépassés dans la file d’attente, informations sur le processus à l’origine de l’événement actuel (nom du fichier du processus et son chemin sur l’Ordinateur, code du modèle de chemin, sommes de contrôle (MD5, SHA2-256, SHA1) du processus), durée de traitement de l’événement, durée maximale autorisée pour le traitement de l’événement, valeur de la probabilité d’envoi des données, informations sur les événements du système d’exploitation pour lesquels l’application a dépassé la limite du délai d’attente (date et heure de la réception de l’événement, nombre d’initialisations répétées des bases antivirus, date et heure de la dernière initialisation répétée des bases antivirus après leur mise à jour, durée du retard de traitement des événements par chaque module de surveillance du système, nombre d’événements en attente, nombre d’événements traités, nombre d’événements du type actuel retenus, total du retard pour les événements du type actuel, total du retard pour tous les événements) ;
informations sur l’outil de trace des événements Windows (Event Tracing for Windows, ETW) lors de problèmes de performances de l’application, fournisseurs d’événements SysConfig/SysConfigEx/WinSATAssessment de Microsoft : données sur l’ordinateur (modèle, fabricant, facteur de forme, version), données sur les indicateurs de performance Windows (données de l’évaluation WinSAT, indice de performance Windows), nom du domaine, données sur les processus physiques et logiques (nombre de processeurs physiques et logiques, fabricant, modèle, stepping, nombre de noyaux, fréquence d’horloge, identificateur de processeur (CPUID), caractéristiques du cache, caractéristiques du processeur logique, indice de prise en charge des modes et des instructions), données sur les modules de la mémoire vive (type, facteur de forme, fabricant, modèle, volume, granularité de l’allocation de la mémoire), données sur les interfaces réseau (adresses IP et MAC, nom, description, configuration des interfaces réseau, répartition du nombre et du volume de paquets réseau par type, vitesse de l’échange réseau, distribution du nombre d’erreurs réseau par type), configuration du contrôleur IDE, adresses IP des serveurs DNS, données sur la carte vidéo (modèle, description, fabricant, compatibilité, volume de mémoire vidéo, résolution de l’écran, nombre de bits par pixel, version du BIOS), données sur les appareils Plug-and-Play (nom, description, identificateur d’appareil [PnP, ACPI], données relatives aux disques et supports (nombre de disques ou de clés USB, fabricant, modèle, volume de disque, nombre de tambours, nombre de pistes par tambour, nombre de partitions par piste, volume de secteur, caractéristiques du cache, numéro de séquence, nombre de partitions, configuration du contrôleur SCSI), données sur les disques logiques (numéro de séquence, volume de la partition, taille du volume, lettre du volume, type de partition, type de système de fichiers, nombre de clusters, taille du cluster, nombre de secteurs dans un cluster, nombre de clusters occupés et disponibles, lettre du volume d’amorçage, déplacement de la partition par rapport au début du disque), données sur le BIOS de la carte-mère (fabricant, date de fabrication, version), données sur la mémoire physique (volume total et disponible), données sur les services du système d’exploitation (nom, description, état, tag, données sur les processus [nom et identificateur PID]), paramètres de consommation de l’ordinateur, configuration du contrôleur d’interruptions, chemin d’accès aux dossiers système Windows (Windows et System32), données sur le système d’exploitation (version, build, date d’édition, nom, type, date d’installation), taille du fichier de débogage, données sur les écrans (nombre, fabricant, résolution de l’écran, pouvoir de résolution, type), données sur le pilote de la carte vidéo (fabricant, date de sortie, version) ;
informations fournies par ETW, fournisseurs d’événements EventTrace/EventMetadata de Microsoft : données sur la séquence des événements système (type, heure, date, fuseau horaire), métadonnées du fichier avec les résultats du traçage (nom, structure, paramètres de traçage, distribution du nombre d’opérations de traçage par type), données sur le système d’exploitation (nom, type, version, build, date de publication, heure de lancement) ;
informations fournies par l’ETW, fournisseurs d’événements Process/Microsoft-Windows-Kernel-Process/Microsoft-Windows-Kernel-Processor-Power de Microsoft : données sur les processus à lancer et à arrêter (nom, identificateur PID, paramètres de lancement, ligne de commande, code de retour, paramètres d’administration de l’alimentation, heure de lancement et de fin, type de marqueur d’accès, identificateur de sécurité SID, identificateur de séance SessionID, nombre de descripteurs installés), données sur la modification des priorités de flux (identificateur de flux TID, priorité, heure), données sur les opérations du processus sur le disque (type, heure, volume, nombre), historique de la modification de la structure et volume de processus utilisé ;
informations fournies par ETW, fournisseurs d’événements StackWalk/Perfinfo de Microsoft : données des compteurs de performance (performances de segments distincts du code, séquence des appels de fonction, identificateur du processus PID, identificateur du flux TID, adresses et attributs des gestionnaires d’interruption ISR et des appels différés des procédures DPC) ;
informations fournies par ETW, fournisseur d’événements KernelTraceControl-ImageID de Microsoft : données sur les fichiers exécutables et les bibliothèques dynamiques (nom, taille de l’image, chemin d’accès complet), données sur les fichiers PDB (nom, identificateur), données de la ressource VERSIONINFO du fichier exécutable (nom, description, éditeur, locale, version et identificateur de l’application, version et identificateur du fichier) ;
informations fournies par ETW, fournisseurs d’événements FileIo/DiskIo/Image/Windows-Kernel-Disk de Microsoft : données sur les opérations relatives aux fichiers et aux disques (type, volume, heure de début, heure de fin, durée, état de l’arrêt, identificateur de processus PID, identificateur de flux TID, adresses des appels de fonction du pilote, paquet de requête d’E/S (IRP), attributs d’objet de fichier Windows), données sur les fichiers impliqués dans les opérations relatives aux fichiers et aux disques (nom, version, taille, chemin d’accès complet, attribut, déplacement, somme de contrôle de l’image, options d’ouverture et d’accès) ;
informations fournies par ETW, fournisseur d’événements PageFault de Microsoft : données sur les erreurs d’accès aux pages de la mémoire (adresse, heure, volume, identificateur du processus PID, identificateur de flux TID, attributs de l’objet de fichier Windows, paramètres d’allocation de mémoire) ;
informations fournies par ETW, fournisseur d’événements Thread de Microsoft : données sur la création/la fin de flux, données sur les flux lancés (identificateur de processus PID, identificateur de flux TID, taille de la pile, priorité et distribution des ressources de l’unité centrale, ressources d’entrée et de sortie, pages de mémoire entre les flux, adresse de la pile, adresse de la fonction initiale, adresse du bloc d’environnement de flux (Thread Environment Block, TEB), tag du service Windows) ;
informations fournies par ETW, fournisseur d’événements Microsoft-Windows-Kernel-Memory de Microsoft : données sur les opérations d’administration de la mémoire (état de la fin, heure, nombre, identificateur de processus PID), structure de distribution de la mémoire (type, volume, identificateur de session SessionID, identificateur de processus PID) ;
informations sur le fonctionnement de l’application en cas de problème de productivité : identificateur d’installation de l’application, type et valeur de réduction des performances, données sur la séquence des événements internes de l’application (heure, fuseau horaire, type, état d’arrêt, identificateur de module de l’application, identificateur de scénario de fonctionnement de l’application, identificateur de flux TID, identificateur de processus PID, adresses d’appels de fonctions), données sur les fichiers PDB (nom, identificateur, taille de l’image du fichier exécutable), données sur les fichiers à analyser (nom, chemin complet, somme de contrôle), paramètres de surveillance des performances de l’application ;
informations sur le dernier redémarrage en échec du système d’exploitation : nombre de redémarrages en échec depuis l’installation du système d’exploitation, données relatives au crash du système (code et paramètres de l’erreur, nom, version et somme de contrôle (CRC32) du module ayant entraîné l’erreur dans le fonctionnement du système d’exploitation, adresse de l’erreur comme déplacement dans le module, sommes de contrôle (MD5, SHA2-256, SHA1) du vidage du système) ;
informations de vérification de l'authenticité des certificats qui signent les fichiers : empreinte du certificat, algorithme de calcul de la somme de contrôle, clé publique et numéro de série du certificat, nom de l'autorité de certification, résultat du contrôle du certificat et identifiant de la base de certificats ;
informations sur le processus à l'origine de l'attaque contre l'auto-défense de l'application : nom et taille du fichier du processus, ses sommes de contrôle (MD5, SHA2-256, SHA1), chemin d'accès complet à celui-ci et modèle de chemin, date et heure de création et de configuration du fichier du processus, code du type de fichier de processus, indice de fichier exécutable, attribut de fichier du processus, informations relatives au certificat utilisé pour signer le fichier du processus, type du compte utilisateur sous lequel le processus ou le flux réalise l'action suspecte, identifiant des opérations réalisées pour accéder au processus, type de ressource à partir de laquelle l'opération a été réalisée (processus, fichier, objet du registre, fenêtre de recherche à l'aide de la fonction FindWindow), nom de la ressource depuis laquelle l'opération est exécutée, indice de réussite de l'opération, état du fichier du processus et sa signature dans KSN ;
informations sur le Logiciel du Titulaire des droits : version complète, type, localisation et état de fonctionnement du Logiciel utilisé, versions des modules du Logiciel installés et leur état de fonctionnement, informations sur les mises à jour du Logiciel installé, valeur du filtre TARGET, version du protocole utilisé pour se connecter aux services du Titulaire des droits ;
informations sur le matériel installé sur l’Ordinateur : type, nom, modèle, version du micrologiciel, caractéristiques des appareils intégrés et connectés, identifiant unique de l’Ordinateur sur lequel est installée l’application ;
informations relatives à la version du système d’exploitation installée sur l’Ordinateur et aux paquets de mises à jour installés, version, rédaction et paramètres du mode de fonctionnement du système d’exploitation, version et sommes de contrôle (MD5, SHA2-256, SHA1) du fichier du noyau du système d’exploitation et date et heure de lancement du système d’exploitation ;
fichiers exécutables et non exécutables, en tout ou en partie ;
parties de la mémoire RAM de l’Ordinateur ;
les secteurs impliqués dans le processus d’amorçage du système d’exploitation ;
les paquets de données du trafic réseau ;
les pages Web et les e-mails contenant des objets malveillants et suspects ;
la description des classes et instances de classes du référentiel WMI ;
rapports d’activités des applications :
nom, taille et version du fichier à envoyer, sa description et ses sommes de contrôle (MD5, SHA2-256, SHA1), identifiant du format, nom de son éditeur, nom du produit associé au fichier, chemin d’accès complet au fichier sur l’Ordinateur et code du modèle de chemin, date et heure de création et de modification du fichier ;
date et heure de début et de fin de validité du certificat (si le fichier possède une signature numérique), date et heure de la signature, nom de l’émetteur du certificat, informations relatives au détenteur du certificat, empreinte, clé publique et algorithmes appropriés du certificat, numéro de série du certificat ;
nom du compte utilisateur sous lequel le processus a été lancé ;
sommes de contrôle (MD5, SHA2-256, SHA1) du nom de l’Ordinateur sur lequel le processus est lancé ;
titres des fenêtres du processus ;
identifiant des bases antivirus, nom de la menace détectée conformément à la classification de Titulaire des droits ;
données relatives à la licence installée, son identifiant, son type et sa date d’expiration ;
heure locale de l’Ordinateur au moment de la collecte des informations ;
noms et chemins d’accès aux fichiers auxquels le processus a accédé ;
noms des clés du registre, ainsi que leurs valeurs, auxquelles le processus a accédé ;
URL et adresses IP auxquelles le processus a accédé ;
URL et adresses IP à partir desquelles le fichier en cours d’exécution a été téléchargé.