Provisión de datos al utilizar Kaspersky Security Network
El conjunto de datos que Kaspersky Endpoint Security envía a Kaspersky depende del tipo de licencia y de la configuración de uso de Kaspersky Security Network.
Uso de KSN bajo licencia en no más de 4 equipos
Al aceptar la Declaración de Kaspersky Security Network, acepta transmitir automáticamente la siguiente información:
información sobre las actualizaciones de configuración de KSN: identificador de la configuración activa, identificador de la configuración recibida, código de error de la actualización de la configuración;
información sobre los archivos y las direcciones URL que deben analizarse: las sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y el patrón del archivo (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre de acuerdo con la clasificación del Titular de los derechos; el identificador de las bases de datos antivirus, la dirección URL en la que se solicita la reputación, así como la dirección URL de referencia, el identificador del protocolo de conexión y el número del puerto utilizado;
Id. de la tarea de análisis que detectó la amenaza;
información sobre los certificados digitales que se usaron y que se necesitaba para verificar su autenticidad: las sumas de comprobación (SHA256) del certificado que se usó para firmar el objeto analizado y la clave pública del certificado;
identificador del componente de software que realiza el análisis;
ID de las bases de datos antivirus y de los registros de estas bases de datos antivirus;
Información sobre la activación del software en el equipo: encabezado firmado del ticket del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del ticket, fecha de creación del ticket, identificador único del ticket, versión del ticket), estado de la licencia, fecha y hora de inicio/finalización de la validez del ticket, identificador único de la licencia, versión de la licencia, identificador del certificado utilizado para firmar el encabezado del ticket, suma de comprobación (MD5) del archivo de clave;
Información sobre el software del titular de los derechos: versión completa, tipo, versión del protocolo utilizado para conectarse a los servicios de Kaspersky.
Uso de KSN bajo licencia en 5 o más equipos
Al aceptar la Declaración de Kaspersky Security Network, acepta transmitir automáticamente la siguiente información:
Cuando la casilla Kaspersky Security Network está activada y la casilla Habilitar el modo KSN extendido está desactivada, la aplicación transmite la siguiente información:
información sobre las actualizaciones de configuración de KSN: identificador de la configuración activa, identificador de la configuración recibida, código de error de la actualización de la configuración;
información sobre los archivos y las direcciones URL que deben analizarse: las sumas de comprobación del archivo analizado (MD5, SHA2-256, SHA1) y el patrón del archivo (MD5), el tamaño del patrón, el tipo de amenaza detectada y su nombre de acuerdo con la clasificación del Titular de los derechos; el identificador de las bases de datos antivirus, la dirección URL en la que se solicita la reputación, así como la dirección URL de referencia, el identificador del protocolo de conexión y el número del puerto utilizado;
Id. de la tarea de análisis que detectó la amenaza;
información sobre los certificados digitales que se usaron y que se necesitaba para verificar su autenticidad: las sumas de comprobación (SHA256) del certificado que se usó para firmar el objeto analizado y la clave pública del certificado;
identificador del componente de software que realiza el análisis;
ID de las bases de datos antivirus y de los registros de estas bases de datos antivirus;
Información sobre la activación del software en el equipo: encabezado firmado del ticket del servicio de activación (identificador del centro de activación regional, suma de comprobación del código de activación, suma de comprobación del ticket, fecha de creación del ticket, identificador único del ticket, versión del ticket), estado de la licencia, fecha y hora de inicio/finalización de la validez del ticket, identificador único de la licencia, versión de la licencia, identificador del certificado utilizado para firmar el encabezado del ticket, suma de comprobación (MD5) del archivo de clave;
Información sobre el software del titular de los derechos: versión completa, tipo, versión del protocolo utilizado para conectarse a los servicios de Kaspersky.
Cuando tanto la casilla Habilitar el modo KSN extendido como la casilla Kaspersky Security Network están activadas, la aplicación transmite la información que se indica más arriba y, además, lo siguiente:
información sobre los resultados de la categorización de los recursos web solicitados, lo que contiene la URL procesada y la dirección IP del host, la versión del componente del Software que realizó la categorización, el método de categorización y el conjunto de categorías que definió el recurso web;
información sobre el software instalado en el equipo: nombres de las aplicaciones de software y de los proveedores de software, claves de registro y sus valores, información sobre los archivos de los componentes de software instalados (sumas de comprobación [MD5, SHA2-256, SHA1], nombre, ruta al archivo en el equipo, tamaño, versión y firma digital);
información sobre el estado de la protección antivirus del equipo: las versiones y las marcas de tiempo de lanzamiento de las bases de datos antivirus que se utilizan, el id. de la tarea y el id. del software que realiza el análisis;
información sobre los archivos descargados por el usuario final: la URL y las direcciones IP de descarga y de las páginas de descarga, el identificador del protocolo de descarga y el número de puerto de conexión, el estado de las URL como malicioso o no, los atributos, el tamaño y las sumas de comprobación del archivo (MD5, SHA2-256, SHA1), información sobre el proceso que descargó el archivo (sumas de comprobación (MD5, SHA2-256, SHA1), fecha y hora de creación/compilación, estado de reproducción automática, atributos, nombres de los empacadores, información sobre firmas, marca de archivo ejecutable, el identificador de formato y la entropía), el nombre del archivo y su ruta en el equipo, la firma digital y la marca de tiempo de su generación, la dirección URL donde ocurrió la detección, el número del script en la página que parece ser sospechosa o dañina, información sobre solicitudes HTTP generadas y la respuesta a ellas;
información sobre las aplicaciones en ejecución y sus módulos: datos sobre los procesos que se están ejecutando en el sistema (identificador del proceso [PID], nombre del proceso, información sobre la cuenta con la que se inició el proceso, aplicación y comando con que se inició el proceso, el signo de programa o proceso de confianza, ruta de acceso completa a los archivos del proceso y sus sumas de comprobación [MD5, SHA2-256, SHA1], línea de comandos de inicio, nivel de integridad del proceso y descripción del producto al cual pertenece el proceso [nombre del producto e información sobre el editor], así como los certificados digitales utilizados y la información necesaria para verificar su autenticidad o información sobre la ausencia de la firma digital de un archivo), información sobre los módulos cargados en los procesos (sus nombres, tamaños, tipos, fechas de creación, atributos y sumas de comprobación [MD5, SHA2-256, SHA1], además de las rutas de acceso a estos en el equipo), información del encabezado de archivo PE y nombres de los empaquetadores (para archivos empaquetados);
información sobre todos los objetos y actividades potencialmente maliciosos: nombre del objeto detectado y ruta completa al objeto en el equipo; sumas de comprobación de los archivos procesados (MD5, SHA2-256, SHA1); fecha y hora de detección; nombre, tamaño y ruta de los archivos infectados; código de la plantilla de la ruta; marca de archivo ejecutable; indicador que señala si el objeto es un contenedor; nombres del empaquetador (para archivos empaquetados); código del tipo de archivo; id. del formato de archivo; lista de acciones realizadas por el malware y decisión tomada por el software y por el usuario en respuesta a ellas: id. de las bases de datos antivirus y de los registros de las bases de datos antivirus que se hayan usado para tomar la decisión; indicador de un objeto potencialmente malicioso; nombre de la amenaza detectada según la clasificación del Titular de los derechos; nivel de peligro; estado de detección y método de detección; motivo de inclusión en el contexto analizado y número de secuencia del archivo en el contexto; sumas de comprobación (MD5, SHA2-256, SHA1); nombre y atributos del archivo ejecutable de la aplicación a través de la cual se transmitieron el mensaje o el vínculo infectados; direcciones IP despersonalizadas (IPv4 e IPv6) del host del objeto bloqueado; entropía del archivo; indicador de ejecución automática del archivo; hora a la que se detectó por primera vez el archivo en el sistema; número de ocasiones en las que se ejecutó el archivo desde el envío de las últimas estadísticas; información sobre el nombre; sumas de comprobación (MD5, SHA2-256, SHA1) y tamaño del cliente de correo a través del cual se recibió el objeto malicioso; id. de la tarea del software que realizó el análisis; indicador que señala si la firma o la reputación del archivo se comprobaron; resultado del procesamiento del archivo; suma de comprobación (MD5) del patrón obtenido para el objeto; tamaño del patrón en bytes; y las especificaciones técnicas de las tecnologías de detección aplicadas;
información sobre los objetos analizados: el grupo de confianza asignado en el que se ubicó el archivo o desde el que se ubicó; el motivo por el que el archivo se ubicó en esa categoría; el identificador de la categoría; la información sobre el origen de las categorías y la versión de la base de datos de la categoría; la marca de certificado de confianza del archivo; el nombre del proveedor del archivo; la versión del archivo; el nombre y la versión de la aplicación de software que contiene el archivo;
información sobre las vulnerabilidades detectadas: el identificador de la vulnerabilidad en la base de datos de vulnerabilidades, la clase de riesgo de la vulnerabilidad;
información acerca de la emulación del archivo ejecutable: el tamaño del archivo y sus sumas de comprobación (MD5, SHA2-256, SHA1); la versión del componente de la emulación, la profundidad de la emulación, el conjunto de propiedades de los bloques lógicos y las funciones situadas dentro de estos bloques que se obtuvieron durante la emulación; los datos provenientes de los encabezados de PE del archivo ejecutable;
las direcciones IP del equipo atacante (IPv4 e IPv6), el número del puerto del equipo al que se dirige el ataque de red, el identificador del protocolo del paquete IP que contiene el ataque, el objetivo del ataque (nombre de la organización, sitio web), la marca de la reacción ante el ataque, la ponderación del ataque y el nivel de confianza;
información sobre ataques asociados a recursos de red falsificados, y las direcciones IP (IPv4 e IPv6) y DNS de los sitios web visitados;
direcciones IP (IPv4 o IPv6) y DNS del recurso web solicitado; la información sobre el archivo y el cliente web que accede al recurso web; información sobre el archivo y el cliente web que accede al recurso web; el nombre, el tamaño y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo, ruta completa al archivo y código de plantilla de la ruta, el resultado de la comprobación de la firma digital y su estado de conformidad con KSN;
información sobre reversión de acciones de malware: los datos del archivo cuya actividad se ha revertido (el nombre del archivo, ruta entera al archivo, su tamaño y sumas de comprobación (MD5, SHA2-256, SHA1)), datos de acciones correctas y fallidas a eliminar, renombra y copia archivos y restaura los valores en el registro (los nombres de las claves de registro y sus valores), e información sobre los archivos del sistema modificados por el malware, antes y después de la reversión.
información sobre las exclusiones establecidas para el componente Control de anomalías adaptativo: el identificador y el estado de la regla que se ejecutó, la acción llevada a cabo por el Software cuando se ejecutó la regla, el tipo de cuenta de usuario con la cual el proceso o el hilo lleva a cabo una actividad sospechosa, así como sobre el proceso sujeto a la actividad sospechosa (identificador de la secuencia o nombre del archivo del proceso, ruta de acceso completa al archivo del proceso, código del patrón de la ruta, sumas de comprobación [MD5, SHA2-256, SHA1] del archivo del proceso); información sobre el objeto que llevó a cabo las actividades sospechosas, así como sobre el objeto que quedó sujeto a acciones sospechosas (nombre de la clave del registro o nombre del archivo, ruta completa al archivo, código del patrón de la ruta, y sumas de comprobación [MD5, SHA2-256, SHA1] del archivo).
Información sobre los módulos de software cargados: nombre, tamaño y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del módulo, la ruta completa hacia el archivo y código de la plantilla de la ruta, configuración de la firma digital del archivo del módulo, fecha y hora de la creación de la firma, nombre del asunto y organización que firmó el archivo del módulo, ID del proceso en el cual se cargó el módulo, nombre del proveedor del módulo y número de secuencia del módulo en la cola que carga.
información sobre la calidad de la interacción del Software con los servicios KSN: fecha y hora de comienzo y finalización del periodo en el que se generaron las estadísticas, información sobre la calidad de las solicitudes y conexión con cada uno de los servicios KSN utilizados (identificador del servicio KSN, cantidad de solicitudes exitosas, cantidad de solicitudes con respuestas del caché, cantidad de solicitudes no exitosas (problemas de red, KSN desactivado en la configuración del Software, ruta incorrecta), intervalo de tiempo de las solicitudes exitosas, intervalo de tiempo de las solicitudes canceladas, intervalo de tiempo de las solicitudes con límite de tiempo excedido, cantidad de conexiones a KSN tomadas del caché, cantidad de conexiones exitosas a KSN, cantidad de conexiones no exitosas a KSN, cantidad de transacciones exitosas, cantidad de transacciones no exitosas, intervalo de tiempo de las conexiones exitosas a KSN, intervalo de tiempo de las conexiones no exitosas a KSN, intervalo de tiempo de las transacciones exitosas, intervalo de tiempo de las transacciones no exitosas);
si se detecta un objeto posiblemente malicioso, se debe proporcionar información sobre los datos en la memoria de los procesos: los elementos de la jerarquía de los objetos del sistema (ObjectManager), los datos de la memoria UEFI BIOS, los nombres de las claves del registro y sus valores;
información sobre los eventos en los registros de los sistemas: la marca de tiempo del evento, el nombre del registro en el que se encontró el evento, el tipo y la categoría del evento, el nombre de la fuente del evento y su descripción;
información sobre las conexiones de red: la versión y las sumas de comprobación (MD5, SHA2-256, SHA1) del archivo desde el que se inició el proceso de apertura del puerto, la ruta de acceso al archivo del proceso y su firma digital, las direcciones IP locales y remotas, la cantidad de puertos de conexión local y remota, el estado de conexión, y la marca de tiempo de apertura del puerto;
información sobre la fecha de instalación y activación del software en el equipo: el id. del socio que vendió la licencia, el número de serie de la licencia, el encabezado firmado del ticket del servicio de activación (el id. de un centro de activación regional, la suma de comprobación del código de activación, la suma de comprobación del ticket, la fecha de creación del ticket, el id. único del ticket, la versión del ticket, el estado de la licencia, la fecha y hora de inicio/finalización del ticket, el id. único de la licencia, la versión de la licencia), el id. del certificado utilizado para firmar el encabezado del ticket, la suma de comprobación (MD5) del archivo de clave, el id. único de la instalación del software en el equipo, el tipo y el id. de la aplicación que se actualiza, el id. de la tarea de actualización;
información sobre el conjunto de todas las actualizaciones instaladas y el conjunto de las últimas actualizaciones instaladas o eliminadas, el tipo de evento que ocasionó que se enviara la información de actualización, el tiempo transcurrido desde la instalación de la última actualización, y la información sobre las bases de datos antivirus instaladas;
información sobre el funcionamiento del software en el equipo: datos de uso de la CPU, datos de uso de memoria (Bytes Privados, grupo no paginado, grupo paginado), número de amenazas activas en el proceso de software y amenazas pendientes y el tiempo de funcionamiento del software antes del error.
cantidad de volcados de software y volcados del sistema (BSOD) desde que se instaló el Software y a partir del momento de la última actualización, además del identificador y la versión del módulo del Software en la que se produjo el error, la pila de memoria del proceso del Software e información sobre las bases de datos antivirus en el momento en que se generó el error;
datos acerca del volcado del sistema (BSOD): la marca que refleja su aparición en el equipo, el nombre del controlador que provocó el BSOD, la dirección y la pila de memoria del controlador, la marca que refleja la duración de la sesión del SO antes de que ocurriera el BSOD, la pila de memoria de los controladores que se bloquearon, el tipo de volcado de la memoria almacenada, la marca de la sesión del SO antes de que el BSOD se prolongara por más de 10 minutos, el identificador único del volcado y la marca de tiempo del BSOD;
información sobre los errores o problemas de rendimiento que tuvieron lugar durante la operación de los componentes del Software: identificación del estado del Software, tipo de error, código y causa, así como el horario en el que ocurrió el error, identificador del componente, módulo y proceso del producto en el que tuvo lugar el error, identificador de la tarea o categoría de actualización en el que tuvo lugar el error, registros de las unidades que utiliza el Software (código de error, nombre del módulo, nombre del archivo de origen y línea en la que ocurrió el error);
información sobre las actualizaciones de bases de datos de antivirus y componentes del Software: nombre, fecha y horario de los archivos de índice descargados durante la última actualización y en descarga en la actualización vigente;
información sobre la terminación anormal de la operación del Software: marca de tiempo de la creación del volcado, su tipo, tipo de evento que provocó la terminación anormal del funcionamiento del Software (cierre inesperado, error en la aplicación de terceros), fecha y horario del cierre inesperado;
información sobre la compatibilidad de los controladores del Software con el hardware y el Software: información sobre las propiedades del sistema operativo que limitan la funcionalidad de los componentes del Software (arranque seguro, KPTI, WHQL Enforce, BitLocker, distinción entre mayúsculas y minúsculas), tipo de Software de descarga instalado (UEFI, BIOS), identificador de módulo de plataforma segura (TPM), versión de especificación de TPM, información sobre el CPU instalado en el equipo, modo operativo y parámetros de la Integridad del Código y la Protección de Dispositivos, modo de funcionamiento de los controladores y motivo para utilizar el modo actual, versión de los controladores del Software, estado de soporte de virtualización del software y del hardware del equipo;
información acerca de las aplicaciones externas que generaron el error: su nombre, la versión y la ubicación; el código de error y la información sobre este, proveniente del registro de aplicaciones del sistema; la dirección de la aparición del error y la pila de la memoria de la aplicación externa; la marca que representa la aparición del error en el componente del Software; el período durante el cual funcionó la aplicación externa antes de que se produjera el error; las sumas de comprobación (MD5, SHA2-256, SHA1) de la imagen del proceso de la aplicación en el cual ocurrió el error; la ruta de acceso a la imagen del proceso de la aplicación y el código del patrón de la ruta de acceso; la información del registro del sistema, con una descripción del error asociado a la aplicación; la información sobre el módulo de la aplicación en la que se produjo el error (el identificador de la excepción, la ubicación del error en la memoria como un desplazamiento del módulo de la aplicación, el nombre y la versión del módulo, el identificador del error de la aplicación en el complemento del Titular de los derechos y la pila de memoria del error, y la duración de la sesión de aplicación antes de que se produjera el error);
versión del componente de actualización del Software y la cantidad de errores que ocurrieron en este componente durante la ejecución de tareas de actualización durante su ciclo de vida, el identificador de los tipos de tareas de actualización, la cantidad de intentos fallidos que realizó el componente de actualización a fin de completar las tareas correspondientes;
información sobre el funcionamiento de los componentes de supervisión del sistema del Software: versiones completas de los componentes, fecha y hora en que se iniciaron los componentes, código del evento que desbordó la cola de eventos y la cantidad de dichos eventos, cantidad total de eventos de desborde de la cola, información sobre el archivo del proceso del iniciador del evento (nombre de archivo y su ruta en el equipo, código de plantilla de la ruta del archivo, sumas de comprobación (MD5, SHA2-256, SHA1) del proceso asociado con el archivo, versión del archivo), identificador de la intercepción del evento que tuvo lugar, versión completa del filtro de intercepción, identificador del tipo de evento interceptado, tamaño de la cola del evento y la cantidad de eventos entre el primer evento de la cola y el evento actual, cantidad de eventos vencidos en la cola, información sobre el archivo del proceso del iniciador del evento actual (nombre del archivo y su ruta en el equipo, código de patrón de la ruta del archivo, sumas de comprobación (MD5, SHA2-256, SHA1) del proceso asociado con el archivo), duración del procesamiento del evento, duración máxima del procesamiento del evento, probabilidad del envío de estadísticas, información sobre los eventos del sistema operativo respecto de los cuales se excedió el límite de tiempo de procesamiento (fecha y hora del evento, cantidad de inicializaciones reiteradas de las base de datos de antivirus, fecha y hora de la inicialización repetida por última vez de las base de datos de antivirus luego de su actualización, tiempo de demora de procesamiento del evento para cada uno de los componentes de supervisión del sistema, cantidad de eventos en cola, cantidad de eventos procesados, cantidad de eventos demorados del tipo actual, tiempo de demora total para los eventos del tipo actual, tiempo de demora total para todos los eventos);
información de la herramienta de seguimiento de eventos de Windows (Event Tracing for Windows, ETW) en caso de que se presenten problemas de rendimiento con el Software, proveedores de eventos SysConfig/SysConfigEx/WinSATAssessment de Microsoft: información sobre el equipo (modelo, fabricante, factor de forma del alojamiento, versión), información sobre las métricas de rendimiento de Windows (evaluaciones WinSAT, índice de rendimiento de Windows), nombre de dominio, información sobre los procesadores físicos y lógicos (cantidad de procesadores físicos y lógicos, fabricante, modelo, nivel de revisión, cantidad de núcleos, frecuencia del reloj, CPUID, características del caché, indicadores de modos e instrucciones compatibles), información sobre los módulos RAM (tipo, factor de forma, fabricante, modelo, capacidad, granularidad de la distribución de la memoria), información sobre las interfaces de red (direcciones IP y MAC, nombre; descripción; configuración de las interfaces de red, desglose de la cantidad y del tamaño de los paquetes de red por tipo, velocidad del intercambio de la red, desglose de la cantidad de errores de red por tipo), configuración del controlador IDE, direcciones IP de los servidores DNS, información sobre la tarjeta de video (modelo, descripción, fabricante, compatibilidad, capacidad de memoria de video, permiso de la pantalla, cantidad de bits por píxel, versión BIOS), información sobre los dispositivos "enchufar y reproducir" (nombre, descripción, identificador del dispositivo [PnP, ACPI], información sobre los discos y dispositivos de almacenamiento (cantidad de discos o unidades flash, fabricante, modelo, capacidad de disco, cantidad de cilindros, cantidad de pistas por cilindro, cantidad de sectores por pista, capacidad del sector, características del caché, número secuencial, cantidad de particiones, configuración del controlador SCSI), información sobre los discos lógicos (número secuencial, capacidad de partición, capacidad de volumen, letra del volumen, tipo de partición, tipo del sistema de archivos, cantidad de clústeres, tamaño del clúster, cantidad de sectores por clúster, cantidad de clústeres vacíos y ocupados, carta de volumen reiniciable, dirección de desplazamiento de la partición en relación con el inicio del disco), información sobre la placa madre BIOS (fabricante, fecha de lanzamiento, versión), información sobre la placa madre (fabricante, modelo, tipo), información sobre la memoria física (capacidad compartida y libre), información sobre los servicios del sistema operativo (nombre, descripción, estado, etiqueta, información sobre los procesos [nombre y PID]), parámetros de consumo de energía para el equipo, configuración del controlador de interrupción, ruta a las carpetas del sistema de Windows (Windows y System32), información sobre el sistema operativo (versión, edición, fecha de lanzamiento, nombre, tipo, fecha de instalación), tamaño del archivo de página, información sobre monitores (cantidad, fabricante, permiso de pantalla, capacidad de resolución, tipo), información sobre el controlador de la tarjeta de video (fabricante, fecha de lanzamiento, versión);
información sobre ETW, proveedores de eventos EventTrace/EventMetadata de Microsoft: información sobre la secuencia de eventos del sistema (tipo, horario, fecha, zona horaria), metadatos sobre el archivo con resultados de seguimiento (nombre, estructura, parámetros de seguimiento, desglose de la cantidad de operaciones de pista por tipo), información sobre el sistema operativo (nombre, tipo, versión, edición, fecha de lanzamiento, hora de inicio);
información de ETW, proveedores de eventos Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power de Microsoft: información sobre los procesos iniciados y completos (nombre, PID, parámetros de inicio, línea de comando, código de retorno, parámetros de administración de la energía, horario de inicio y finalización, tipo de token de acceso, SID, Id. de sesión, cantidad de descriptores instalados), información sobre los cambios en las prioridades del hilo (TID, prioridad, horario), información sobre las operaciones de disco del proceso (tipo, horario, capacidad, cantidad), historial de cambios en la estructura y capacidad de procesos de memoria utilizable;
información de ETW, proveedores de eventos StackWalk/Perfinfo de Microsoft; información sobre los contadores de rendimiento (rendimiento de secciones de código individual, secuencia de llamadas de función, PID, TID, direcciones y atributos de ISR y DPC);
información de ETW, proveedor de eventos KernelTraceControl-ImageID de Microsoft: información sobre los archivos ejecutables y las bibliotecas dinámicas (nombre, tamaño de la imagen, ruta completa), información sobre archivos PDB (nombre, identificador), datos de recursos VERSIONINFO para los archivos ejecutables (nombre, descripción, creador, localización, versión e identificador de la aplicación, versión del archivo e identificador);
información de ETW; proveedores de eventos Filelo/Disklo/Image/Windows Kernel Disk de Microsoft: información sobre el archivo y las operaciones del disco (tipo, capacidad, horario de inicio, horario de finalización, duración, estado de finalización, PID, TID, direcciones de llamada de la función del controlador, Paquete de Solicitud de E/S (IRP), atributos de objeto de archivo de Windows), información sobre los archivos que forman parte de operaciones de archivo y disco (nombre, versión, tamaño, ruta completa, atributos, desplazamiento, suma de comprobación de la imagen, acciones abiertas y de acceso);
información de ETW, proveedor de eventos PageFault de Microsoft: información sobre los errores de acceso de la página de memoria (dirección, horario, capacidad, PID, TID, atributos del objeto de archivo de Windows, parámetros de distribución de la memoria);
información de ETW, proveedor de eventos de hilo de Microsoft: información sobre la creación/finalización del hilo, información sobre hilos iniciados (PID, TID, tamaño de la pila, prioridades y asignación de recursos del CPU, recursos de E/S, páginas de memoria entre hilos, dirección de la pila, dirección de la función init, dirección del Thread Environment Block [TEB], etiqueta de servicios de Windows);
información de ETW, proveedor de eventos Microsoft Windows Kernel Memory de Microsoft: información sobre las operaciones de administración de la memoria (estado de finalización, hora, cantidad, PID), estructura de asignación de la memoria (tipo, capacidad, id. de sesión, PID);
información sobre el funcionamiento del Software en caso de problemas de rendimiento: identificador de la instalación del Software, tipo y valor de caída en el rendimiento, información sobre la secuencia de eventos en el Software (hora, zona horaria, tipo, estado de finalización, identificador del componente de Software, identificador del escenario operativo del Software, TID, PID, direcciones de llamada de funciones), información sobre las conexiones de red a verificarse (URL, dirección de la conexión, tamaño del paquete de red), información sobre los archivos PDB (nombre, identificador, tamaño de imagen del archivo ejecutable), información sobre los archivos a verificarse (nombre, ruta completa; suma de comprobación), parámetros de supervisión del rendimiento del Software;
información sobre el último reinicio fallido del SO: la cantidad de reinicios fallidos desde la instalación del SO, datos sobre el volcado del sistema (el código y los parámetros del error; el nombre, la versión y la suma de comprobación [CRC32] del módulo que generó el error en el funcionamiento del SO; la ubicación del error como un desplazamiento en el módulo; las sumas de comprobación [MD5, SHA2-256, SHA1] del volcado del sistema);
información para verificar la autenticidad de los certificados digitales que se utilizan para firmar archivos: la huella digital del certificado, el algoritmo de la suma de comprobación, la clave pública y el número de serie del certificado, el nombre del emisor del certificado, el resultado de la validación del certificado y el identificador de la base de datos del certificado;
información sobre el proceso que ejecuta el ataque en la autodefensa del Software: el nombre y el tamaño del archivo de proceso, sus sumas de comprobación (MD5, SHA2-256, SHA1), la ruta completa al archivo de proceso y el código de plantilla de la ruta de archivo, las marcas de tiempo de creación/compilación, marca de archivo ejecutable, atributos del archivo de proceso, información sobre el certificado utilizado para firmar el archivo de proceso, código de la cuenta utilizada para iniciar el proceso, Id. de las operaciones realizadas para acceder al proceso, tipo de recurso con el que se realiza la operación (proceso, archivo, objeto de registro, función de búsqueda FindWindow), nombre del recurso con el que se realiza la operación, indicador que muestra que la operación se completó correctamente, el estado del archivo del proceso y su firma según la KSN;
información sobre el software del titular de los derechos: versión completa, tipo, localización y estado de funcionamiento del software utilizado, versiones de los componentes del software instalados y su estado de funcionamiento, información sobre las actualizaciones de software instaladas, el valor del filtro TARGET, la versión del protocolo utilizado para conectarse a los servicios del titular de los derechos;
información sobre el hardware que se instaló en el equipo: el tipo, el nombre, el nombre del modelo, la versión del firmware, los parámetros de los dispositivos integrados y conectados, el identificador único del equipo con el Software instalado;
información sobre las versiones del sistema operativo y de las actualizaciones instaladas, tamaño de palabra, edición y parámetros del modo de ejecución del SO, versión y sumas de comprobación (MD5, SHA2-256, SHA1) del archivo del núcleo del SO, fecha y hora de inicio del SO;
archivos ejecutables y no ejecutables, total o parcialmente;
secciones de la RAM del equipo;
sectores involucrados en el proceso de arranque del SO;
paquetes de datos tomados del tráfico de red;
páginas web y mensajes de correo electrónico con objetos sospechosos o maliciosos;
descripción de las clases e instancias de las clases del repositorio de WMI;
informes de actividad de aplicaciones:
el nombre, tamaño y versión del archivo que se envía, su descripción y sumas de comprobación (MD5, SHA2-256, SHA1), identificador de formato de archivo, el nombre del proveedor del archivo, el nombre del producto al que pertenece el archivo, ruta completa al archivo en el equipo, código de plantilla de la ruta, las marcas de hora de creación y modificación del archivo;
fecha/hora de inicio y finalización del período de validez del certificado (si el archivo tiene una firma digital), la fecha y la hora de la firma, el nombre del emisor del certificado, información sobre el titular del certificado, la huella dactilar, la clave pública del certificado y los algoritmos apropiados, y el número de serie del certificado;
el nombre de la cuenta desde la que se ejecuta el proceso;
sumas de comprobación (MD5, SHA2-256, SHA1) del nombre del equipo en el que se ejecuta el proceso;
títulos de las ventanas de proceso;
identificador de las bases de datos antivirus, nombre de la amenaza detectada según la clasificación del titular de los derechos;
datos sobre la licencia del software instalado, su identificador, tipo y fecha de caducidad;
hora local del equipo en el momento de la provisión de información;
nombres y rutas de los archivos a los que accedió el proceso;
nombres de claves de registro y sus valores a los que accedió el proceso;
Direcciones URL e IP a las que accedió el proceso;
Direcciones URL e IP desde las que se descargó el archivo en ejecución.