Datenbereitstellung bei der Verwendung von Kaspersky Security Network
Der Datensatz, den Kaspersky Endpoint Security an Kaspersky sendet, hängt von der Art der Lizenz und den Nutzungseinstellungen des Kaspersky Security Network ab.
Verwendung von KSN unter Lizenz auf nicht mehr als 4 Computern
Wenn Sie die Erklärung zu Kaspersky Security Network akzeptieren, stimmen Sie der automatischen Übertragung folgender Informationen zu:
Informationen über das Update der KSN-Konfiguration: ID der aktuellen Konfiguration, ID der erhaltenen Konfiguration, Fehlercode des Konfigurations-Updates.
Informationen über untersuchte Dateien und Webadressen: Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und der Dateimuster (MD5), Größe des Musters, Typ der gefundenen Bedrohung und Bedrohungsname gemäß der Klassifikation des Rechteinhabers, ID der Antiviren-Datenbanken, Webadresse, für welche die Reputation abgefragt wird, sowie Webadresse der Webseite, von welcher zu der untersuchten Webadresse gewechselt wurde, ID des Verbindungsprotokolls und Nummer des verwendeten Ports;
ID der Untersuchungsaufgabe, die die Bedrohung entdeckt hat;
Informationen über verwendete digitale Zertifikate, welche für ihre Authentifizierung erforderlich sind: Prüfsummen (SHA256) des Zertifikats, mit welchem das Untersuchungsobjekt signiert ist, und des öffentlichen Zertifikatschlüssels;
ID der Software-Komponente, welche die Untersuchung ausführt.
ID der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken.
Informationen über die Aktivierung der Software auf dem Computer: signierter Header des Tickets vom Aktivierungsdienst (ID des regionalen Aktivierungszentrums, Prüfsumme des Aktivierungscodes, Prüfsumme des Tickets, Erstellungsdatum des Tickets, Ticketversion, Lizenzstatus, Datum und Uhrzeit für den Beginn und den Ablauf der Ticketgültigkeit, einmalige Lizenz-ID, Lizenzversion), ID des Zertifikats, mit dem der Ticket-Header signiert ist, Prüfsumme (MD5) der Schlüsseldatei;
Informationen über den Rechteinhaber der Software: Typ und vollständige Programmversion von Kaspersky Endpoint Security, Version des verwendeten Protokolls für die Verbindung mit den Kaspersky-Diensten.
Nutzung von KSN unter Lizenz auf 5 oder mehr Computern
Wenn Sie die Erklärung zu Kaspersky Security Network akzeptieren, stimmen Sie der automatischen Übertragung folgender Informationen zu:
Ist das Kontrollkästchen Kaspersky Security Network aktiviert und das Kontrollkästchen Erweiterten KSN-Modus aktivieren deaktiviert, so werden die folgenden Informationen übertragen:
Informationen über das Update der KSN-Konfiguration: ID der aktuellen Konfiguration, ID der erhaltenen Konfiguration, Fehlercode des Konfigurations-Updates.
Informationen über untersuchte Dateien und Webadressen: Prüfsummen der untersuchten Datei (MD5, SHA2-256, SHA1) und der Dateimuster (MD5), Größe des Musters, Typ der gefundenen Bedrohung und Bedrohungsname gemäß der Klassifikation des Rechteinhabers, ID der Antiviren-Datenbanken, Webadresse, für welche die Reputation abgefragt wird, sowie Webadresse der Webseite, von welcher zu der untersuchten Webadresse gewechselt wurde, ID des Verbindungsprotokolls und Nummer des verwendeten Ports;
ID der Untersuchungsaufgabe, die die Bedrohung entdeckt hat;
Informationen über verwendete digitale Zertifikate, welche für ihre Authentifizierung erforderlich sind: Prüfsummen (SHA256) des Zertifikats, mit welchem das Untersuchungsobjekt signiert ist, und des öffentlichen Zertifikatschlüssels;
ID der Software-Komponente, welche die Untersuchung ausführt.
ID der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken.
Informationen über die Aktivierung der Software auf dem Computer: signierter Header des Tickets vom Aktivierungsdienst (ID des regionalen Aktivierungszentrums, Prüfsumme des Aktivierungscodes, Prüfsumme des Tickets, Erstellungsdatum des Tickets, Ticketversion, Lizenzstatus, Datum und Uhrzeit für den Beginn und den Ablauf der Ticketgültigkeit, einmalige Lizenz-ID, Lizenzversion), ID des Zertifikats, mit dem der Ticket-Header signiert ist, Prüfsumme (MD5) der Schlüsseldatei;
Informationen über den Rechteinhaber der Software: Typ und vollständige Programmversion von Kaspersky Endpoint Security, Version des verwendeten Protokolls für die Verbindung mit den Kaspersky-Diensten.
Sind die Kontrollkästchen Kaspersky Security Network und Erweiterten KSN-Modus aktivieren aktiviert, so werden zusätzlich zu den oben genannten Informationen auch die folgenden Informationen übertragen:
Informationen zu den Ergebnissen der Kategorisierung der angeforderten Webressourcen, welche folgende Angaben enthält: untersuchte Webadresse und IP-Adresse des Hosts, Version der Software-Komponente, welche die Kategorisierung ausgeführt hat, Kategorisierungsmethode und Auswahl der Kategorien, welche für diese Webressource ermittelt wurden;
Informationen über die auf dem Computer installierte Software: Name der Softwareanwendungen und Softwareanbieter, Registrierungsschlüssel und ihre Werte, Informationen über Dateien der installierten Softwarekomponenten (Prüfnummern (MD5, SHA2-256, SHA1), Name, Dateipfad auf dem Computer, Größe, Version und die digitale Signatur).
Informationen über den Stand des Virenschutzes des Computers: die Versionen und die Versions-Zeitstempel der verwendeten Antiviren-Datenbanken, die ID der Aufgabe und die ID der Software, die die Untersuchung durchführt;
Informationen über die Dateien, die vom Benutzer heruntergeladen wurden: Webadressen und IP-Adressen, von welchen der Download erfolgt ist, und Webadresse der Seite, von welcher auf die Seite für den Datei-Download gewechselt wurde, ID des Download-Protokolls und Nummer des Verbindungsports, Merkmal für die Schädlichkeit von Adressen; Attribute, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei; Informationen zum Prozess, welcher die Datei heruntergeladen hat (Prüfsummen (MD5, SHA2-256, SHA1), Zeitpunkt (Datum und Uhrzeit) der Erstellung und Verlinkung, Merkmal für das Vorhandensein im Autostart, Attribute, Namen von Packprogrammen, Informationen zur Signatur, Merkmal der ausführbaren Datei, Format-ID, Typ des Benutzerkontos, von welchem der Prozess gestartet wurde), Informationen zur Prozessdatei (Name, Pfad und Größe der Datei), Dateiname, Dateipfad auf dem Computer, digitale Signatur der Datei und Informationen über die Signierung, Webadresse, bei welcher der Fund erfolgte, Nummer des Skripts auf der Webseite, die als verdächtig oder schädlich eingestuft wurde;
Informationen über gestartete Programme und deren Module: Daten über gestartete Prozesse im System (Prozess-ID im System (PID), Prozessname, Daten über das Benutzerkonto, von dem der Prozess gestartet wurde, Programm und Befehl, welcher den Prozess gestartet hat, Merkmal für die Vertrauenswürdigkeit des Programms oder des Prozesses, vollständiger Pfad der Prozessdateien und Prüfsummen (MD5, SHA2-256, SHA1), Befehlszeile für den Start, Integritätsniveau des Prozesses, Beschreibung des Produkts, zu welchem der Prozess gehört (Name des Produkts und Daten zum Herausgeber), sowie Daten über verwendete digitale Zertifikate und Informationen, die für ihre Authentifizierung erforderlich sind, oder Daten über das Fehlen einer digitalen Signatur für die Datei), sowie Informationen über die Module, welche in Prozesse geladen wurden (Name, Größe, Typ, Erstellungsdatum, Attribute, Prüfsummen (MD5, SHA2-256, SHA1), Pfad), Informationen zur Kopfzeile für PE-Dateien, Name des Packprogramms (falls die Datei gepackt ist);
Informationen über alle potentiell schädlichen Objekte und Aktionen: Name des erkannten Objekts und vollständiger Pfad des Objekts auf dem Computer, Prüfsummen der verarbeiteten Objekte (MD5, SHA2-256, SHA1), Zeitpunkt (Datum und Uhrzeit) des Fundes; Namen, Größe und Pfade der verarbeiteten Dateien; Code der Pfadvorlage, Merkmal der ausführbaren Datei, Merkmal, ob das Objekt ein Container ist, Name des Packprogramms (falls die Datei gepackt war), Code des Dateityps, ID des Dateiformats, ID der Antiviren-Datenbanken und der Einträge in den Antiviren-Datenbanken, auf deren Basis die Entscheidung der Software getroffen wurde, Merkmal des potentiell schädlichen Objekts, Name der gefundenen Bedrohung gemäß der Klassifikation des Rechteinhabers, Gefährlichkeitsstufe, Status und Erkennungsmethode, Grund der Aufnahme in den analysierten Kontext und Ordnungsnummer der Datei im Kontext, Prüfsummen (MD5, SHA2-256, SHA1), Name und Attribute der ausführbaren Datei der Anwendung, über welche die infizierte Nachricht oder der Link eingedrungen ist, IP-Adressen (IPv4 und IPv6) des Hosts des blockierten Objekts, Datei-Entropie, Merkmal für das Vorhandensein der Datei im Autostart, Zeitpunkt (Datum und Uhrzeit) des ersten Fundes der Datei im System, Anzahl der Dateistarts seit dem letzten Senden einer Statistik, Compiler-Typ; Informationen über den Namen, die Prüfsummen (MD5, SHA2-256, SHA1) und die Größe des Mail-Clients, über welchen das schädliche Objekt empfangen wurde; ID der Software-Aufgabe, welche die Untersuchung ausgeführt hat; Merkmal für die Überprüfung der Reputation oder der Signatur der Datei, Ergebnisse der statistischen Analyse des Objektinhalts, Muster des Objekts, Größe des Musters (in Bytes), technische Eigenschaften der eingesetzten Erkennungstechnologien.
Informationen über untersuchte Objekte: zugewiesene Sicherheitsgruppe, in welche und/oder aus welcher die Datei verschoben wurde, Grund, aus welchem die Datei in diese Kategorie verschoben wurde, ID der Kategorie, Informationen über die Quelle der Kategorien und Version der Datenbank der Kategorien, Merkmal für das Vorhandensein eines vertrauenswürdigen Zertifikats der Datei, Name des Dateiherstellers, Dateiversion, Name und Version des Programms, zu welcher die Datei gehört;
Informationen über gefundene Schwachstellen: ID der Schwachstelle in der Datenbank für Schwachstellen, Gefahrenklasse der Schwachstelle.
Informationen über die Ausführung einer Emulation der ausführbaren Datei: Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei, Version der Emulationskomponente, Emulationstiefe, Vektor der Merkmale für logische Blöcke und Funktionen innerhalb logischer Blöcke, welche im Verlauf der Emulation erhalten wurden, Daten aus der Struktur der PE-Kopfzeile der ausführbaren Datei;
IP-Adressen des angreifenden Computers (IPv4 und IPv6), Portnummer auf dem Computer, auf welchen der Netzwerkangriff gerichtet war, ID des Protokolls des IP-Pakets, das den Angriff enthielt, Angriffsziel (Name des Unternehmens, Website), Flag für die Reaktion auf den Angriff, Gewichtung des Angriffs, Vertrauensebene;
Informationen über Angriffe, welche mit dem Spoofing von Netzwerkressourcen verbunden waren, DNS- und IP-Adressen (IPv4 oder IPv6) der besuchten Websites.
DNS- und IP-Adressen (IPv4 oder IPv6) der angefragten Web-Ressource, Informationen über die Datei und den Web-Client, der auf die Web-Ressource zugreift, Name, Größe, Prüfsummen (MD5, SHA2-256, SHA1) der Datei, vollständiger Pfad der Datei und der Vorlagencode des Dateipfads, das Ergebnis der Überprüfung der digitalen Signatur und deren Status im KSN.
Informationen über die Ausführung eines Rollbacks der Aktionen von Schadsoftware: Daten über die Datei, deren Aktivität rückgängig gemacht wurde (Name, vollständiger Pfad, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Datei), Daten über erfolgreiche und erfolglose Aktionen zur Löschung, Umbenennung und zum Kopieren von Dateien und zur Wiederherstellung von Registrierungswerten (Namen und Werte der Registrierungsschlüssel), Informationen über Systemdateien, welche von der Schadsoftware verändert wurden, vor und nach der Ausführung des Rollbacks.
Informationen über die Ausnahmen, die für adaptive Abweichkontrollkomponente festgelegt sind: die ID und der Status der Regel, die ausgelöst wurde, die von der Software ausgeführte Aktion, wenn die Regel ausgelöst wurde, der Typ des Benutzerkontos, unter welchem der Prozess oder Thread verdächtige Aktivitäten durchführt, sowie über den Prozess, der Gegenstand von verdächtigen Aktivitäten war (Skript-ID oder Name der Prozessdatei, vollständiger Pfad zur Prozessdatei, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) der Prozessdatei); Informationen über das Objekt, das die verdächtigen Aktionen ausgeführt hat sowie über das Objekt, das Gegenstand von verdächtigen Aktionen war (Name des Registrierschlüssels oder Dateiname, vollständiger Pfad zur Datei, Vorlagencode des Dateipfads und die Prüfsummen (MD5, SHA2-256, SHA1) der Datei).
Informationen über geladene Software-Module: Name, Größe und Prüfsummen (MD5, SHA2-256, SHA1) der Moduldatei, vollständiger Pfad und Code der Pfadvorlage für die Datei, Parameter der digitalen Signatur der Moduldatei, Zeitpunkt (Datum und Uhrzeit) der Erstellung der Signatur, Name des Subjekts und Organisation, welche die Moduldatei signiert hat, ID des Prozesses, in welchen das Modul geladen wurde, Name des Modulherstellers, Ordnungsnummer des Moduls in der Ladeabfolge.
Informationen über die Qualität der Softwareinteraktion mit den KSN-Diensten: Datum und Uhrzeit von Beginn und Ende der Periode, in der die Statistiken erzeugt wurden, Informationen über die Qualität der Anfragen und der Verbindung zu den einzelnen verwendeten KSN-Diensten (KSN-Dienstkennung, Anzahl der erfolgreichen Anfragen, Anzahl der Anfragen mit Antworten vom Cache, Anzahl nicht erfolgreicher Anfragen (Netzwerkprobleme, KSN wurde in den Softwareeinstellungen deaktiviert, fehlerhaftes Routing), verbrauchte Zeit der erfolgreichen Anfragen, verbrauchte Zeit der abgebrochenen Anfragen, verbrauchte Zeit der Anfragen mit überschrittener Zeit, Anzahl der Verbindungen zum KSN aus dem Cache, Anzahl der erfolgreichen Verbindungen zum KSN, Anzahl der nicht erfolgreichen Verbindungen zum KSN, Anzahl der erfolgreichen Transaktionen, Anzahl der nicht erfolgreichen Transaktionen, verbrauchte Zeit der erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der nicht erfolgreichen Verbindungen zum KSN, verbrauchte Zeit der erfolgreichen Transaktionen, verbrauchte Zeit der nicht erfolgreichen Transaktionen).
Wird ein potentiell schädliches Objekt erkannt, werden Informationen über die Daten im Prozessspeicher zur Verfügung gestellt: Elemente der Objekthierarchie des Systems (ObjectManager), Daten im UEFI-BIOS-Speicher sowie Namen von Registrierschlüsseln und deren Werte;
Informationen über Ereignisse in Systemprotokollen: Ereigniszeitpunkt, Name des Protokolls, in welchem das Ereignis gefunden wurde, Typ und Kategorie des Ereignisses, Name und Beschreibung der Ereignisquelle;
Informationen über Netzwerkverbindungen: Version und Prüfsummen (MD5, SHA2-256, SHA1) der Prozessdatei, des geöffneten Ports, Pfad und digitale Signatur der Prozessdatei, lokale und Remote-IP-Adresse, Nummern des lokalen und des Remote-Verbindungsports, Verbindungszustand, Dauer, für welche der Port geöffnet war;
Informationen über das Datum der Softwareinstallation und -aktivierung auf dem Computer: die ID des Partners, der die Lizenz verkauft hat, die Seriennummer der Lizenz, der signierte Header des Tickets vom Aktivierungsdienst (die ID eines regionalen Aktivierungszentrums, die Prüfsumme des Aktivierungscodes, die Prüfsumme des Tickets, das Erstellungsdatum des Tickets, die eindeutige ID des Tickets, die Ticketversion, der Lizenzstatus, das Datum und die Uhrzeit des Ticketbeginns und -endes, die eindeutige ID der Lizenz, die Lizenzversion), die ID des Zertifikats, das zum Signieren des Ticketheaders verwendet wurde, die Prüfsumme (MD5) der Schlüsseldatei, die eindeutige ID der Softwareinstallation auf dem Computer, der Typ und die ID des Programms, die aktualisiert wird, die ID der Update-Aufgabe;
Informationen über die Zusammensetzung aller installierten Updates sowie über die Zusammensetzung der zuletzt installierten und/oder gelöschten Updates, Typ des Ereignisses, aufgrund dessen Informationen über Updates gesendet wurden, Zeitraum, welcher seit der Installation des letzten Updates vergangen ist, Informationen über die Antiviren-Datenbanken, die zum Zeitpunkt der Datenbereitstellung geladen waren.
Informationen über die Verwendung der Software auf dem Computer: Daten über die Prozessornutzung (CPU), Daten über die Nutzung des Arbeitsspeichers (Private Bytes, Non-Paged Pool, Paged Pool), Anzahl der aktiven Ströme im Software-Prozess und der Ströme im Wartezustand, Arbeitsdauer der Software bis zum Auftreten des Fehlers, Merkmal für die Verwendung der Software im interaktiven Modus.
Anzahl der Software-Dumps und der System-Dumps (BSOD) ab dem Zeitpunkt der Software-Installation und ab dem Zeitpunkt des letzten Updates, ID und Version des Software-Moduls, in welchem die Störung aufgetreten ist, Speicherstapel im Produktprozess und Informationen über die Antiviren-Datenbanken zum Zeitpunkt der Störung;
Daten zum System-Dump (BSOD): Merkmal für das Auftreten des BSOD auf dem Computer, Name des Treibers, welcher den BSOD hervorgerufen hat, Adresse und Speicherstapel im Treiber, Merkmal für die Dauer der Sitzung des Betriebssystems bis zum Auftreten des BSOD, Speicherstapel des Treiberabsturzes, Typ des gespeicherten Arbeitsspeicher-Dumps, Merkmal für die Tatsache, dass die Sitzung des Betriebssystems bis zum BSOD länger als 10 Minuten gedauert hat, einmalige Dump-ID, Zeitpunkt (Datum und Uhrzeit), zu welchem der BSOD aufgetreten ist.
Informationen über Fehler oder Leistungsprobleme, die bei der Ausführung von Softwarekomponenten aufgetreten sind: Status-ID der Software, Typ, Code und Zeitpunkt des auftretenden Fehlers, IDs der Komponente, des Moduls und des Produktprozesses, in welchem der Fehler aufgetreten ist, ID der Aufgabe oder der Update-Kategorie, in welcher der Fehler aufgetreten ist, Protokolle der von der Software verwendeten Treiber (Fehlercode, Modulname, Name der Quelldatei und Zeile, in welcher der Fehler aufgetreten ist).
Informationen über die Updates der Antiviren-Datenbanken und der Software-Komponenten: Name, Datum und Uhrzeit der Indexdateien, die beim letzten Update heruntergeladen wurden und beim laufenden Update heruntergeladen werden;
Informationen über die Abstürze der Software: Erstellungszeitpunkt (Datum und Uhrzeit) und Typ des Dumps, Typ des Ereignisses, welches den Absturz der Software verursacht hat (unerwarteter Stromausfall, Absturz einer Dritthersteller-Anwendung), Zeitpunkt (Datum und Uhrzeit) des unerwarteten Stromausfalls.
Informationen über die Kompatibilität der Treiber der Software mit der Hard- und Software: Informationen über die Betriebssystemeigenschaften, welche die Funktionalität der Softwarekomponenten beschränken (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), Typ der integrierten Boot-Software (UEFI, BIOS), Merkmal für das Vorhandensein eines Trusted Platform Module (TPM), Version der TPM-Spezifikation, Informationen über den auf dem Computer installierten Hauptprozessor (CPU), Modus und Einstellungen für Code Integrity und Device Guard, Modus der Treiber und Verwendungsgrund für den aktuellen Modus, Version der Treiber der Software, Status der Unterstützung von Treibern für die Soft- und Hardware-Virtualisierung des Computers.
Informationen über Drittanbieterprogramm, welche einen Fehler verursacht haben: Name, Version und Sprachversion, Fehlercode und Informationen über den Fehler aus dem Systemprotokoll der Programme, Adresse und Speicherstapel für das Auftreten des Fehlers einer Drittanbieterprogramm, Merkmal für das Auftreten des Fehlers in einer Software-Komponente, Arbeitsdauer der Drittanbieterprogramm bis zum Auftreten des Fehlers, Prüfsummen (MD5, SHA2-256, SHA1) des Prozessmusters des Programms, in welcher der Fehler aufgetreten ist, Pfad dieses Prozessmusters des Programms und Code der Pfadvorlage, Informationen aus dem Systemprotokoll des Betriebssystems mit einer Beschreibung des Fehlers, welcher mit dem Programm verbunden war, Informationen über das Programm-Modul, in welchem der Fehler aufgetreten ist (Fehler-ID, Fehleradresse als Offset im Modul, Name und Version des Moduls, ID für den Absturz des Programms in einem Plug-in des Rechteinhabers und Speicherstapel für diesen Absturz, Arbeitsdauer des Programms bis zum Absturz);
Version der Update-Komponente der Software, Anzahl der Abstürze der Update-Komponente der Software bei der Ausführung von Update-Aufgaben im Rahmen der Komponentenausführung, ID des Typs der Update-Aufgabe, Anzahl der Fehler bei den Update-Aufgaben der Update-Komponente der Software.
Informationen über die Ausführung von Überwachungskomponenten des Softwaresystems: vollständige Versionen der Komponenten, Datum und Uhrzeit, wann die Komponenten gestartet wurden, Code des Ereignisses, das zum Überlaufen der Warteschlange für Ereignisse geführt hat, und Anzahl solcher Ereignisse, Gesamtzahl der Warteschlangenüberlaufe, Informationen über die Datei des Prozesses, der das Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses, Dateiversion), ID des Abfangvorgangs, vollständige Version des Abfangfilters, ID für den Typ des abgefangenen Ereignisses, Größe der Ereigniswarteschlange, und Anzahl der Ereignisse zwischen dem ersten Ereignis in der Warteschlange und dem aktuellen Ereignis, Anzahl überfälliger Ereignisse in der Warteschlange, Informationen über die Datei des Prozesses, der das aktuelle Ereignis ausgelöst hat (Name und Pfad der Datei auf dem Computer, Vorlagencode des Dateipfads, Prüfsummen (MD5, SHA2-256, SHA1) des mit der Datei verbundenen Prozesses), Dauer der Ereignisverarbeitung, Höchstdauer der Ereignisverarbeitung, Wahrscheinlichkeit für das Senden von Statistiken, Informationen über Ereignisse des Betriebssystems, für die die Verarbeitungszeit überschritten wurde (Datum und Uhrzeit des Ereignisses, Anzahl der wiederholten Initialisierungen der Antiviren-Datenbanken, Datum und Uhrzeit der letzten, wiederholten Initialisierung der Antiviren-Datenbanken nach ihrem Update, Verzögerungszeit der Verarbeitung eines Ereignisses für jede Systemüberwachungskomponente, Anzahl der Ereignisse in der Warteschlange, Anzahl der verarbeiteten Ereignisse, Anzahl der verzögerten Ereignisse des aktuellen Typs, Gesamtverzögerungszeit der Ereignisse des aktuellen Typs, Gesamtverzögerungszeit aller Ereignisse).
Informationen von dem Windows-Tool zur Ereignisprotokollierung (Event Tracing for Windows, ETW) bei Problemen mit der Leistung der Software, Ereignisanbieter SysConfig / SysConfigEx / WinSATAssessment von Microsoft: Daten über den Computer (Modell, Hersteller, Formfaktor des Gehäuses, Version), Daten über die Windows-Leistungsindikatoren (WinSAT-Bewertungsdaten, Windows-Leistungsindex), Name der Domäne, Daten über die physischen und logischen Prozessoren (Anzahl der physischen und logischen Prozessoren, Hersteller, Modell, Stepping, Anzahl der Kerne, Taktfrequenz, Prozessor-ID (CPUID), Cache-Eigenschaften, Eigenschaften des logischen Prozessors, Merkmale für die Unterstützung der Modi und Anweisungen), Daten über die Module des Arbeitsspeichers (Typ, Formfaktor, Hersteller, Modell, Größe, Granularität der Speicherbelegung), Daten über Netzwerkschnittstellen (IP- und MAC-Adressen, Name, Beschreibung, Konfiguration der Netzwerkschnittstellen, Verteilung der Anzahl und der Größe von Netzwerkpaketen nach Typen, Geschwindigkeit des Netzwerkaustauschs, Verteilung der Anzahl der Netzwerkfehler nach Typen), Konfiguration des IDE-Controllers, IP-Adresse der DNS-Server, Daten über die Grafikkarte (Modell, Beschreibung, Hersteller, Kompatibilität, Größe des Grafikspeichers, Bildschirmauflösung, Anzahl der Bits pro Pixel, BIOS-Version), Daten über verbundene Plug-and-Play-Geräte(Name, Beschreibung, Geräte-ID [PnP, ACPI], Daten über Laufwerke und Speichergeräte (Anzahl der Laufwerke oder Flash-Laufwerke, Hersteller, Modell, Größe des Laufwerks, Anzahl der Zylinder, Anzahl der Spuren pro Zylinder, Anzahl der Sektoren pro Spur, Größe des Sektors, Cache-Eigenschaften, Ordnungszahl, Partitionsanzahl, Konfiguration des SCSI-Controllers), Daten über die logischen Laufwerke (Ordnungszahl, Größe der Partition, Volume-Größe, Volume-Buchstabe, Typ der Partition, Typ des Dateisystems, Anzahl der Cluster, Cluster-Größe, Anzahl der Sektoren pro Cluster, Anzahl der belegten und freien Cluster, Boot-Volume-Buchstabe, Adresse-Abweichung der Partition bezüglich des Anfangs des Laufwerks), Daten über das BIOS der Hauptplatine (Hersteller, Veröffentlichungsdatum, Version), Daten über die Hauptplatine (Hersteller, Modell, Typ), Daten über den physischen Speicher (gesamter und freier Platz), Daten über die Dienste des Betriebssystems (Name, Beschreibung, Status, Tag, Daten über Prozesse [Name und PID-ID]), Energieoptionen des Computers, Konfiguration des Interrupt Controllers, Pfade der Windows-Systemordner (Windows und System32), Daten über das Betriebssystem (Version, Build, Veröffentlichungsdatum, Name, Typ, Installationsdatum), Größe der Auslagerungsdatei, Daten über die Monitore (Anzahl, Hersteller, Bildschirmauflösung, Auflösungsvermögen, Typ), Daten über den Treiber der Grafikkarte (Hersteller, Veröffentlichungsdatum, Version).
Informationen von ETW, Bereitstellung von EventTrace/EventMetadata Ereignissen von Microsoft: Informationen über die Sequenz von Systemereignissen (Typ, Uhrzeit, Datum, Zeitzone), Metadaten über die Datei mit Trace-Ergebnissen (Name, Struktur, Trace-Parameter, Aufgliederung der Anzahl von Trace-Operationen nach Typ), Informationen über das Betriebssystem (Name, Typ, Version, Build, Veröffentlichungsdatum, Startzeit).
Informationen von ETW, Bereitstellung von Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power Ereignisse von Microsoft: Informationen über gestartete und abgeschlossene Prozesse (Name, PID, Startparameter, Befehlszeile, Rückgabecode, Energieverwaltungsparameter, Start- und Fertigstellungszeit, Typ des Zugriffstoken, SID, SessionID, Anzahl der installierten Deskriptoren), Informationen über Änderungen der Thread-Prioritäten (TID, Priorität, Uhrzeit), Informationen über Laufwerkoperationen des Prozesses (Typ, Uhrzeit, Kapazität, Anzahl), Verlauf der Änderungen der Struktur und Kapazität der nutzbaren Speicherprozesse.
Informationen von ETW, Bereitstellung von StackWalk/Perfinfo Ereignissen von Microsoft: Informationen über Leistungsindikatoren (Leistung von einzelnen Codeabschnitten, Sequenz von Funktionsaufrufen, PID, TID, Adressen und Attribute von ISRs und DPCs).
Informationen von ETW, Bereitstellung von KernelTraceControl-ImageID Ereignissen von Microsoft: Informationen über ausführbare Dateien und dynamische Bibliotheken (Name, Bildgröße, vollständiger Pfad), Informationen zu PDB-Dateien (Name, ID), VERSIONINFO Ressourcendaten für ausführbare Dateien (Name, Beschreibung, Ersteller, Ort, Programmversion und -ID, Dateiversion und -ID);
Informationen von ETW, Bereitstellung von FileIo/DiskIo/Image/Windows Kernel Disk Ereignissen von Windows: Informationen zu Datei- und Laufwerkoperationen (Typ, Kapazität, Startzeit, Fertigstellungszeit, Dauer, Status der Fertigstellung, PID, TID, Funktionsaufrufadressen des Treibers, E/A-Anfragepaket (IRP), Windows-Dateiobjektattribute), Informationen über Dateien, die in Datei- und Laufwerkoperationen involviert sind (Name, Version, Größe, vollständiger Pfad, Attribute, Offset, Prüfsumme des Bildes, Optionen für das Öffnen und Zugreifen).
Informationen von ETW, Bereitstellung von PageFault Ereignissen von Microsoft: Informationen über Zugriffsfehler der Speicherseiten (Adresse, Uhrzeit, Kapazität, PID, TID, Attribute von Windows-Dateiobjekten, Parameter der Speicherzuordnung).
Informationen von ETW, Bereitstellung von Thread Ereignissen von Microsoft: Informationen über Thread-Erstellung/-Fertigstellung, Informationen gestartete Threads (PID, TID, Größe des Stacks, Prioritäten und Zuordnungen von CPU-Ressourcen, E/A-Ressourcen, Speicherseiten zwischen Threads, Stack-Adresse, Adresse der Initialisierungsfunktion, Adresse des Thread Environment Block (TEB), Windows Service-Tag).
Informationen von ETW, Bereitstellung von Microsoft Windows Kernel Memory Ereignissen von Microsoft: Informationen über Speicherverwaltungsoperationen (Status der Fertigstellung, Uhrzeit, Anzahl, PID), Struktur der Speicherzuordnung (Typ, Kapazität, SessionID, PID).
Informationen zu Softwareoperationen im Falle von Leistungsproblemen: ID der Softwareinstallation, Typ und Wert des Leistungsabfalls, Informationen über die Sequenz von Ereignissen innerhalb der Software (Uhrzeit, Zeitzone, Typ, Status der Fertigstellung, ID der Softwarekomponenten, ID des Softwareoperationsszenarios, TID, PID, Funktionsaufrufadressen), Informationen zu den zu überprüfenden Netzwerkverbindungen (URL, Richtung der Verbindung, Größe des Netzwerkpakets), Informationen zu PDB-Dateien (Name, ID, Bildgröße der ausführbaren Datei), Informationen über zu prüfende Dateien (Name, vollständiger Pfad, Prüfsumme), Überwachungsparameter der Softwareleistung.
Informationen über den letzten fehlgeschlagenen Neustart des Betriebssystems: Anzahl der fehlgeschlagenen Neustarts seit der Installation des Betriebssystems, Daten zum System-Dump (Code und Parameter des Fehlers, Name, Version und Prüfsumme (CRC32) des Moduls, welches den Fehler bei der Arbeit des Betriebssystem hervorgerufen hat, Fehleradresse als Offset im Modul, Prüfsummen (MD5, SHA2-256, SHA1) des System-Dumps).
Informationen für die Authentizitätsprüfung der Zertifikate, mit welchen die Dateien signiert sind: Fingerabdruck des Zertifikats, Algorithmus zur Berechnung der Prüfsumme, öffentlicher Schlüssel und Seriennummer des Zertifikats, Name des Zertifikatausstellers, Ergebnis der Zertifikatuntersuchung und ID der Zertifikatdatenbank;
Informationen zum Prozess, welcher einen Angriff auf den Selbstschutz der Software ausgeführt hat: Name, Größe, Prüfsummen (MD5, SHA2-256, SHA1), vollständiger Pfad und Code der Pfadvorlage der Prozessdatei, Zeitpunkt (Datum und Uhrzeit) der Erstellung und Verlinkung der Prozessdatei, Merkmal der ausführbaren Datei, Attribute der Prozessdatei, Informationen zum Zertifikat, mit welchem die Prozessdatei signiert ist, Code des Benutzerkontos, in deren Namen der Prozess gestartet wurde, ID der Vorgänge, welche für den Zugriff auf den Prozess ausgeführt wurden, Typ der Ressourcen, von welchen der Vorgang ausgeführt wurde (Prozess, Datei, Registrierungsobjekt, Suche des Fensters mithilfe der Funktion FindWindow), Name der Ressource, mit welcher der Vorgang ausgeführt wird, Merkmal für die erfolgreiche Ausführung des Vorgangs, Status der Prozessdatei und ihr Status in KSN;
Informationen über die Software des Rechteinhabers: Vollversion, Typ, Lokalisierung und Betriebszustand der verwendeten Software, Versionen der installierten Software-Komponenten und deren Betriebszustand, Informationen über die installierten Software-Updates, den Wert des TARGET-Filters, die Version des für die Verbindung zu den Diensten des Rechteinhabers verwendeten Protokolls;
Informationen über die Hardware, welche auf dem Computer installiert ist: Typ, Name, Modell, Firmware-Version, Merkmale von integrierten und verbundenen Geräten, einmalige ID des Computers, auf welchem die Software installiert ist.
Informationen über die Versionen des Betriebssystems und der installierten Updates, Bit-Version, Edition und Einstellungen für den Ausführungsmodus des Betriebssystems, Version und Prüfsummen (MD5, SHA2-256, SHA1) der Kernel-Datei des Betriebssystems und Datum und Uhrzeit, an dem das Betriebssystem gestartet wurde;
Ausführbare und nicht ausführbare Dateien, entweder ganz oder teilweise;
Abschnitte aus dem Arbeitsspeicher des Computers;
Sektoren, die am Ladeprozess des Betriebssystems beteiligt sind
Datenpakete des Netzwerkverkehrs
Webseiten und E-Mail-Nachrichten, die verdächtige und schädliche Objekte enthalten
Beschreibung der Klassen und Exemplarklassen des WMI-Speichers
Berichte über Aktivitäten der Programme:
Name, Größe und Version der gesendeten Datei, ihre Beschreibung und Prüfsummen (MD5, SHA2-256, SHA1), Kennung des Dateiformats, Name des Anbieters der Datei, Name des Produkts, zu dem die Datei gehört, vollständiger Pfad zu der Datei auf dem Computer, Vorlagencode des Pfads, Erstellungs- und Änderungszeitstempel der Datei;
Anfangs- und Enddatum/-zeit der Gültigkeitsdauer des Zertifikats (wenn die Datei eine digitale Signatur aufweist), Datum und Uhrzeit der Signatur, Name des Ausstellers des Zertifikats, Informationen über den Zertifikatsinhaber, Fingerabdruck, öffentlicher Schlüssel des Zertifikats und entsprechende Algorithmen sowie Seriennummer des Zertifikats;
Name des Kontos, von dem aus der Prozess ausgeführt wird;
Prüfsummen (MD5, SHA2-256, SHA1) des Namens des Computers, auf dem der Prozess läuft;
Titel der Prozessfenster;
ID der Antiviren-Datenbanken, Name der erkannten Bedrohung gemäß der Klassifizierung des Rechteinhabers;
Daten über die installierte Lizenz, deren ID, Typ und Ablaufdatum;
Ortszeit des Computers zum Zeitpunkt der Informationsbereitstellung;
Name und Pfade der Dateien, auf die der Prozess zugegriffen hat;
Name der Registrierungsschlüssel und ihrer Werte, auf die der Prozess zugegriffen hat;
URL und IP-Adressen, auf die durch den Prozess zugegriffen wurde;
URL und IP-Adressen, von denen die laufende Datei heruntergeladen wurde.