Kaspersky Endpoint Security가 Kaspersky로 보내는 데이터 세트는 라이센스 유형 및 Kaspersky Security Network 사용 설정에 따라 다릅니다.
최대 4대의 컴퓨터에서 라이센스에 따라 KSN 사용
Kaspersky Security Network 성명서에 동의하시면 다음 정보를 자동으로 전송하는 데 동의하게 됩니다:
KSN 구성 업데이트 관련 정보: 활성 구성의 식별자, 수신된 구성의 식별자, 구성 업데이트의 오류 코드;
검사할 파일과 URL 주소 관련 정보: 검사한 파일의 체크섬(MD5, SHA2-256, SHA1) 및 파일 패턴(MD5), 패턴의 크기, 탐지된 보안위협의 유형과 권리 소유자 분류에 따른 보안위협 이름, 안티 바이러스 데이터베이스의 식별자, 평판 요청 대상 URL 주소와 리퍼러 URL 주소, 연결의 프로토콜 식별자 및 사용 중인 포트 번호;
위협을 탐지한 검사 작업 ID;
인증 확인에 필요한 사용 중인 디지털 인증서 관련 정보: 검사한 개체의 서명에 사용되는 인증서의 체크섬(SHA256) 및 인증서의 공개 키;
검사를 수행 중인 소프트웨어 구성 요소의 식별자;
안티 바이러스 데이터베이스 및 이러한 데이터베이스의 레코드 ID;
컴퓨터의 소프트웨어 활성화 관련 정보: 활성화 서비스에서 전송된 티켓의 서명된 헤더(지역별 활성화 센터의 식별자, 활성화 코드의 체크섬, 티켓의 체크섬, 티켓 생성 날짜, 티켓의 고유 식별자, 티켓 버전, 라이센스 상태, 티켓 유효 기간 시작/종료 날짜와 시간, 라이센스의 고유 식별자, 라이센스 버전), 티켓 헤더에 서명하는 데 사용되는 인증서의 식별자, 키 파일의 체크섬(MD5);
권리 소유자 소프트웨어 관련 정보: 전체 버전, 유형, Kaspersky 서비스에 연결하는 데 사용되는 프로토콜의 버전.
최대 5대의 컴퓨터에서 라이센스에 따라 KSN 사용
Kaspersky Security Network 성명서에 동의하시면 다음 정보를 자동으로 전송하는 데 동의하게 됩니다:
Kaspersky Security Network 확인란을 선택하고 확장 KSN 모드 사용 확인란을 선택 해제하면 애플리케이션이 다음 정보를 전송합니다:
KSN 구성 업데이트 관련 정보: 활성 구성의 식별자, 수신된 구성의 식별자, 구성 업데이트의 오류 코드;
검사할 파일과 URL 주소 관련 정보: 검사한 파일의 체크섬(MD5, SHA2-256, SHA1) 및 파일 패턴(MD5), 패턴의 크기, 탐지된 보안위협의 유형과 권리 소유자 분류에 따른 보안위협 이름, 안티 바이러스 데이터베이스의 식별자, 평판 요청 대상 URL 주소와 리퍼러 URL 주소, 연결의 프로토콜 식별자 및 사용 중인 포트 번호;
위협을 탐지한 검사 작업 ID;
인증 확인에 필요한 사용 중인 디지털 인증서 관련 정보: 검사한 개체의 서명에 사용되는 인증서의 체크섬(SHA256) 및 인증서의 공개 키;
검사를 수행 중인 소프트웨어 구성 요소의 식별자;
안티 바이러스 데이터베이스 및 이러한 데이터베이스의 레코드 ID;
컴퓨터의 소프트웨어 활성화 관련 정보: 활성화 서비스에서 전송된 티켓의 서명된 헤더(지역별 활성화 센터의 식별자, 활성화 코드의 체크섬, 티켓의 체크섬, 티켓 생성 날짜, 티켓의 고유 식별자, 티켓 버전, 라이센스 상태, 티켓 유효 기간 시작/종료 날짜와 시간, 라이센스의 고유 식별자, 라이센스 버전), 티켓 헤더에 서명하는 데 사용되는 인증서의 식별자, 키 파일의 체크섬(MD5);
권리 소유자 소프트웨어 관련 정보: 전체 버전, 유형, Kaspersky 서비스에 연결하는 데 사용되는 프로토콜의 버전.
확장 KSN 모드 사용 확인란과 Kaspersky Security Network 확인란을 선택하면 애플리케이션이 상기 나열된 정보와 함께 다음 정보를 전송합니다:
요청한 웹 리소스 분류 결과 관련 정보(호스트의 IP 주소와 처리된 URL, 분류를 수행한 소프트웨어 구성 요소의 버전, 분류 방법 및 웹 리소스에 대해 정의된 카테고리 집합 포함);
컴퓨터에 설치된 소프트웨어 관련 정보: 소프트웨어 애플리케이션의 이름 및 소프트웨어 공급업체, 레지스트리 키와 해당 값, 설치된 소프트웨어 구성 요소의 파일 관련 정보(체크섬(MD5, SHA2-256, SHA1), 이름, 컴퓨터의 파일 경로, 크기, 버전 및 디지털 서명);
컴퓨터의 안티 바이러스 보호 상태에 대한 정보: 사용 중인 안티 바이러스 데이터베이스의 버전 및 배포 타임 스탬프, 작업 ID 및 검사를 수행하는 소프트웨어의 ID;
최종 사용자가 다운로드 중인 파일 관련 정보: 다운로드 및 다운로드 페이지의 URL과 IP 주소, 다운로드 프로토콜 식별자 및 연결 포트 번호, URL의 상태(악성 여부), 파일 특성, 크기와 체크섬(MD5, SHA2-256, SHA1), 파일을 다운로드한 프로세스 관련 정보(체크섬(MD5, SHA2-256, SHA1), 만든 날짜/빌드 날짜, 자동 재생 상태, 특성, 실행 압축 프로그램 이름, 서명 관련 정보, 실행 파일 플래그, 형식 식별자, 엔트로피), 파일 이름 및 컴퓨터의 경로, 파일의 디지털 서명 및 생성 타임 스탬프, 파일이 탐지된 URL 주소, 의심스럽거나 유해한 것으로 확인된 페이지의 스크립트 번호, 생성된 HTTP 요청 및 해당 요청에 대한 응답 관련 정보;
실행 중인 애플리케이션 및 해당 모듈 관련 정보: 시스템에서 실행 중인 프로세스 관련 데이터(프로세스 ID(PID), 프로세스 이름, 프로세스가 시작된 계정 관련 정보, 프로세스를 시작한 애플리케이션과 명령, 신뢰하는 프로그램이나 프로세스의 기호, 프로세스의 파일 전체 경로와 그 체크섬(MD5, SHA2-256, SHA1), 시작 명령 줄, 프로세스 무결성 레벨, 프로세스가 속하는 제품의 설명(제품 이름 및 게시자 관련 정보), 사용 중인 디지털 인증서 및 해당 인증서의 신뢰성 확인에 필요한 정보나 파일의 디지털 서명 누락 관련 정보), 프로세스에 로드된 모듈 관련 정보(모듈 이름, 크기, 유형, 생성 날짜, 특성, 체크섬(MD5, SHA2-256, SHA1), 컴퓨터의 모듈 경로), PE-파일 헤더 정보, 실행 압축 프로그램 이름(파일이 압축된 경우);
모든 잠재적인 악성 개체와 활동에 관한 정보: 탐지한 개체의 이름 및 컴퓨터상 개체의 전체 경로, 처리한 파일의 체크섬(MD5, SHA2-256, SHA1), 탐지 날짜 및 시간, 감염된 파일의 이름 및 크기와 경로, 경로 템플릿 코드, 실행 파일 플래그, 개체가 컨테이너인지 여부, 실행 파일 압축 프로그램의 이름(파일 압축 시), 파일 유형 코드, 파일 형식 ID, 악성 코드가 수행한 작업 목록 및 이에 대한 대응으로 소프트웨어 및 사용자가 내린 결정, 결정을 내리는 데 사용된 안티 바이러스 데이터베이스 및 이러한 데이터베이스에 포함된 레코드의 ID, 악성일 가능성이 있는 개체를 나타내는 표시기, 권리자의 분류에 따라 탐지된 위협의 이름, 위험 수준, 탐지 상태 및 탐지 방법, 분석된 컨텍스트 내로 포함한 이유와 컨텍스트 내 파일의 시퀀스 번호, 체크섬(MD5, SHA2-256, SHA1), 감염된 메시지 또는 링크가 전송된 애플리케이션의 실행 파일의 이름과 특성, 차단된 개체에 대한 호스트의 익명 처리된 IP 주소(IPv4 및 IPv6), 파일 엔트로피, 파일 자동 실행 표시, 시스템에서 파일을 처음 탐지한 시간, 마지막 통계 전송 이후 파일 실행 횟수, 악성 개체가 수신된 메일 클라이언트의 이름, 체크섬(MD5, SHA2-256, SHA1) 및 크기에 관한 정보, 검사를 수행한 소프트웨어 작업 ID, 파일 평판 또는 서명의 검사 여부, 파일 처리 결과, 개체에 대해 수집된 패턴의 체크섬(MD5), 패턴 크기(단위: 바이트), 적용한 탐지 기술의 기술 사양;
검사한 개체 관련 정보: 검사한 파일이 원래 포함되어 있었거나 검사 후에 포함된 제어 그룹, 파일이 해당 카테고리에 포함된 이유, 카테고리 식별자, 카테고리 소스 및 카테고리 데이터베이스 버전 관련 정보, 파일의 신뢰하는 인증서 플래그, 파일 공급업체 이름, 파일 버전, 파일을 포함하는 소프트웨어 애플리케이션의 이름과 버전;
탐지된 취약점 관련 정보: 취약점 데이터베이스의 취약점 ID, 취약점 위험 등급;
실행 파일 에뮬레이션 관련 정보: 파일 크기와 해당 체크섬(MD5, SHA2-256, SHA1), 에뮬레이션 구성 요소의 버전, 에뮬레이션 수준, 에뮬레이션 중에 가져온 논리 블록 내의 기능과 논리 블록 속성의 배열, 실행 파일 PE 헤더의 데이터;
공격하는 컴퓨터의 IP 주소(IPv4 및 IPv6), 네트워크 공격의 대상인 컴퓨터의 포트 번호, 공격을 포함하는 IP 패킷의 프로토콜 식별자, 공격 대상(조직 이름, 웹사이트), 공격에 대한 대응 플래그, 공격의 가중치, 신뢰 레벨;
스푸핑된 네트워크 리소스와 관련된 공격 관련 정보, 방문한 웹사이트의 DNS 및 IP 주소(IPv4 및 IPv6);
요청된 웹사이트의 DNS 및 IP 주소(IPv4 또는 IPv6), 웹사이트에 접근하는 파일 및 웹 클라이언트에 관한 정보, 파일의 이름, 크기 및 체크섬(MD5, SHA2-256, SHA1), 파일 및 경로 템플릿 코드에 대한 전체 경로, 디지털 서명 검사 결과, KSN의 상태;
악성 코드 활동의 롤백에 관한 정보: 활동이 롤백된 파일에 관한 데이터(파일 이름, 파일 전체 경로, 크기 및 체크섬(MD5, SHA2-256, SHA1)), 파일 삭제, 이름 바꾸기, 복사 및 레지스트리의 값 복구를 위한 작업 성공 또는 실패 날짜(레지스트리 키 이름 및 값), 롤백 전후 악성 코드가 수정한 시스템 파일에 관한 정보;
적응형 이상 행위 제어 구성 요소에 대해 설정된 예외 규칙 정보: 트리거된 규칙의 ID와 상태, 규칙 트리거 시 소프트웨어가 수행한 처리, 프로세스 또는 스레드가 의심스러운 활동을 수행하는 사용자 계정의 유형, 의심스러운 활동을 수행했거나 그 대상이었던 프로세스에 대한 정보(스크립트 ID 또는 프로세스 파일 이름, 프로세스 파일의 전체 경로, 경로 템플릿 코드, 프로세스 파일의 체크섬(MD5, SHA2-256, SHA1); 의심스러운 활동을 수행한 개체 및 의심스러운 활동 수행 대상 개체 관련 정보(레지스트리 키 이름 또는 파일 이름, 파일의 전체 경로, 경로 템플릿 코드, 파일의 체크섬(MD5, SHA2-256, SHA1));
로드된 소프트웨어 모듈에 관한 정보: 모듈 파일의 이름, 크기 및 체크섬(MD5, SHA2-256, SHA1), 파일 전체 경로와 파일 템플릿 코드, 모듈 파일의 디지털 서명 설정, 서명 생성 날짜 및 시간, 모듈 파일을 서명한 조직 및 주체 이름, 모듈이 로드된 프로세스의 ID, 모듈 제공자 이름, 로딩 대기열 내 모듈의 시퀀스 번호;
KSN 서비스와 소프트웨어의 상호 작용 품질 관련 정보: 통계 생성 기간의 시작 및 종료 날짜와 시간, 요청 품질과 사용되는 각 KSN 서비스에 대한 연결 관련 정보(KSN 서비스 ID, 성공한 요청 수, 캐시에서 응답을 받은 요청 수, 실패한 요청 수(네트워크 문제, 소프트웨어 설정에서 KSN이 중지됨, 잘못된 라우팅), 성공한 요청의 시간 분선, 취소한 요청의 시간 분산, 시간 제한을 초과한 요청의 시간 분산, 캐시에서 가져온 KSN으로의 연결 수, 성공한 KSN으로의 연결 수, 실패한 KSN으로의 연결 수, 성공한 트랜잭션 수, 실패한 트랜잭션 수, 성공한 KSN으로의 연결 시간 분산, 실패한 KSN으로의 연결 시간 분산, 성공한 트랜잭션의 시간 분산, 실패한 트랜잭션의 시간 분산);
잠재적 악성 개체가 탐지되면 프로세스 메모리에서 데이터 관련 정보가 제공됩니다: 시스템 개체 계층 구조의 요소(ObjectManager), UEFI BIOS 메모리의 데이터, 레지스트리 키의 이름과 해당 값;
시스템 로그의 이벤트 관련 정보: 이벤트 타임 스탬프, 이벤트가 발견된 로그 이름, 이벤트 유형 및 카테고리, 이벤트 소스 이름 및 이벤트 설명;
네트워크 연결 관련 정보: 포트를 연 프로세스가 시작된 파일의 버전 및 체크섬(MD5, SHA2-256, SHA1), 프로세스 파일 경로 및 디지털 서명, 로컬 및 원격 IP 주소, 로컬 및 원격 연결 포트 수, 연결 상태, 포트 열기 타임 스탬프;
컴퓨터에 소프트웨어를 설치 및 활성화한 날짜에 대한 정보: 라이센스를 판매한 파트너의 ID, 라이센스 일련번호, 활성화 서비스 티켓의 서명된 헤더(지역별 활성화 센터의 ID, 활성화 코드의 체크섬, 티켓의 체크섬, 티켓 생성 날짜, 티켓의 고유 ID, 티켓 버전, 라이센스 상태, 티켓 시작/종료 날짜 및 시간, 라이센스 고유 ID, 라이센스 버전), 티켓 헤더에 서명하는 데 사용된 인증서 ID, 키 파일의 체크섬(MD5), 컴퓨터에 설치된 소프트웨어의 고유 ID, 업데이트되는 애플리케이션의 유형 및 ID, 업데이트 작업;
설치된 모든 업데이트 집합 및 가장 최근에 설치/제거된 업데이트 집합 관련 정보, 업데이트 정보 전송의 원인이 된 이벤트의 유형, 마지막 업데이트 설치 이후에 경과한 시간, 현재 설치되어 있는 안티 바이러스 데이터베이스 관련 정보;
컴퓨터의 소프트웨어 동작 관련 정보: CPU 사용량 정보, 메모리 사용량 정보(전용 바이트, 비페이징 풀, 페이징 풀), 소프트웨어 프로세스의 활성 스레드 수와 보류 중인 스레드 수, 오류 발생 전까지 소프트웨어 동작 시간;
소프트웨어 설치 이후 그리고 마지막 업데이트 시간 이후 소프트웨어 덤프 및 시스템 덤프(BSOD) 횟수, 작동이 중단된 소프트웨어 모듈의 식별자와 버전, 소프트웨어 프로세스의 메모리 스택, 작동 중단 발생 시 안티 바이러스 데이터베이스에 관한 정보;
시스템 덤프(BSOD) 관련 데이터: 컴퓨터에서 BSOD가 발생했음을 나타내는 플래그, BSOD의 원인이 된 드라이버의 이름, 드라이버의 주소와 메모리 스택, BSOD 발생 전의 OS 세션 지속 시간을 나타내는 플래그, 작동이 중단된 드라이버의 메모리 스택, 저장된 메모리 덤프의 유형, BSOD가 10분 이상 지속되기 전의 OS 세션 플래그, 덤프의 고유 식별자, BSOD의 타임 스탬프;
소프트웨어 구성 요소 동작 중에 발생한 오류 또는 성능 문제 관련 정보: 소프트웨어의 상태 ID, 오류 유형, 코드와 원인, 오류 발생 시간, 구성 요소 ID, 오류가 발생한 제품의 모듈과 프로세스, 오류가 발생한 작업 또는 업데이트 카테고리의 ID, 소프트웨어에서 사용하는 드라이버의 로그(오류 코드, 모듈 이름, 소스 파일 이름, 오류가 발생한 줄);
안티 바이러스 데이터베이스 및 소프트웨어 구성 요소 업데이트 관련 정보: 마지막 업데이트 중에 다운로드되었으며 현재 업데이트 중에 다운로드 중인 색인 파일의 이름, 날짜 및 시간;
소프트웨어 동작의 비정상 종료 관련 정보: 덤프의 생성 타임 스탬프, 해당 유형, 소프트웨어 동작 비정상 종료의 원인이 된 이벤트의 유형(예기치 않은 전원 꺼짐, 타사 애플리케이션 작동 중단), 예기치 않은 전원 꺼짐 날짜 및 시간;
하드웨어 및 소프트웨어와 소프트웨어 드라이버의 호환성 관련 정보: 소프트웨어 구성 요소 기능을 제한하는 OS 속성 관련 정보(보안 부팅, KPTI, WHQL 적용, BitLocker, 대/소문자 구분), 설치된 다운로드 소프트웨어의 유형(UEFI, BIOS), 신뢰하는 플랫폼 모듈(TPM) 식별자, TPM 사양 버전, 컴퓨터에 설치된 CPU 관련 정보, 코드 무결성 및 Device Guard 운영 모드 및 파라미터, 드라이버 운영 모드 및 현재 모드 사용 이유, 소프트웨어 드라이버 버전, 컴퓨터의 소프트웨어 및 하드웨어 가상화 지원 상태;
오류를 발생시킨 제삼자 애플리케이션에 관한 정보: 이름, 버전 및 현지화, 오류 코드 및 애플리케이션의 시스템 로그에 기재된 오류 관련 정보, 제삼자 애플리케이션의 메모리 스택 및 오류 주소, 소프트웨어 구성 요소의 오류 발생을 나타내는 플래그, 오류 발생 전까지 제삼자 애플리케이션이 동작한 시간, 오류가 발생한 애플리케이션 프로세스 이미지의 체크섬(MD5, SHA2-256, SHA1), 이 애플리케이션 프로세스 이미지의 경로 및 경로 템플릿 코드, 시스템 로그의 정보와 애플리케이션과 관련된 오류 설명, 오류가 발생한 애플리케이션 모듈에 관한 정보(제외 식별자, 작동 중단된 메모리 주소(애플리케이션 모듈의 오프셋), 모듈의 이름과 버전, 권리 소유자의 플러그인 내 애플리케이션 작동 중단 식별자 및 작동 중단된 메모리 스택, 작동 중단 전까지의 애플리케이션 세션 지속 시간);
소프트웨어 업데이터 구성 요소의 버전, 구성 요소 수명 동안 업데이트 작업을 실행하는 중에 업데이터 구성 요소의 작동이 중단된 수, 업데이트 작업 유형의 ID, 업데이터 구성 요소의 업데이트 작업 완료 시도가 실패한 수;
소프트웨어 시스템 감시 구성 요소의 동작 관련 정보: 구성 요소의 전체 버전, 구성 요소가 시작된 날짜와 시간, 이벤트 대기열 초과의 원인이 된 이벤트 코드와 해당 이벤트의 수, 대기열 초과 이벤트의 총 수, 이벤트 게시자 프로세스의 파일 관련 정보(파일 이름과 컴퓨터의 파일 경로, 파일 경로의 템플릿 코드, 파일과 연결된 프로세스의 체크섬(MD5, SHA2-256, SHA1), 파일 버전), 발생한 이벤트 가로채기의 식별자, 가로채기 필터의 전체 버전, 가로챈 이벤트의 유형 식별자, 이벤트 대기열의 크기 및 대기열의 첫 번째 이벤트와 현재 이벤트 사이 이벤트 수, 대기열의 지연된 이벤트 수, 현재 이벤트 개시자 프로세스의 파일 관련 정보(파일 이름과 컴퓨터의 파일 경로, 파일 경로의 템플릿 코드, 파일과 연결된 프로세스의 체크섬(MD5, SHA2-256, SHA1)), 이벤트 처리의 지속 시간, 이벤트 처리의 최대 지속 시간, 통계 전송 가능성, 처릴 시간 제한이 초과된 OS 이벤트 관련 정보(이벤트의 날짜와 시간, 안티 바이러스 데이터베이스의 반복 초기화 수, 업데이트 이후 마지막으로 반복된 안티 바이러스 데이터베이스 초기화의 날짜와 시간, 각 시스템 감시 구성 요소의 이벤트 처리 지연 시간, 대기된 이벤트의 수, 처리된 이벤트의 수, 현재 유형의 지연되는 이벤트 수, 현재 유형 이벤트의 총 지연 시간, 모든 이벤트의 총 지연 시간);
소프트웨어 성능 문제 이벤트 발생 시 Microsoft의 SysConfig/SysConfigEx/WinSATAssessment 이벤트 공급자인 Windows 이벤트 추적 도구(ETW, Windows용 이벤트 추적)에서 생성되는 정보: 컴퓨터 관련 정보(모델, 하우징 폼 팩터, 버전), Windows 성능 메트릭 관련 정보(WinSAT 평가, Windows 성능 지수), 도메인 이름, 실제/논리 프로세서 관련 정보(실제/논리 프로세서의 수, 제조업체, 모델, 스태핑 레벨, 코어 수, 클록 주파수, CPUID, 캐시 특성, 논리 프로세서 특성, 지원되는 모드와 명령 표시기), RAM 모듈 관련 정보(유형, 폼 팩터, 제조업체, 모델, 용량, 메모리 할당 세분성), 네트워크 인터페이스 관련 정보(IP 및 MAC 주소, 이름, 설명, 네트워크 인터페이스 구성, 유형별 네트워크 패키지 수와 크기 구분, 네트워크 교환 속도, 유형별 네트워크 오류 수 구분), IDE 컨트롤러 구성, DNS 서버의 IP 주소, 비디오 카드 관련 정보(모델, 설명, 제조업체, 호환성, 비디오 메모리 용량, 화면 권한, 픽셀당 비트 수, BIOS 버전) 플러그 앤 플레이 장치 관련 정보(이름, 설명, 장치 식별자 [PnP, ACPI], 디스크 및 저장 장치 관련 정보(디스크 또는 플래시 드라이브 수, 제조업체, 모델, 디스크 용량, 실린더 수, 실린더당 트랙 수, 트랙당 섹터 수, 섹터 용량, 캐시 특성, 시퀀스 번호, 파티션 수, SCSI 컨트롤러 구성), 논리 디스크 관련 정보(시퀀스 번호, 파티션 용량, 볼륨 용량, 볼륨 문자, 파티션 유형, 파일 시스템 유형, 클러스터 수, 클러스터 크기, 클러스터당 섹터 수, 비어 있는/사용된 클러스터 수, 부팅 가능 볼륨 문자, 디스크 시작 관련 파티션 오프셋 주소), BIOS 마더보드 관련 정보(제조업체, 배포 날짜, 버전), 마더보드 관련 정보(제조업체, 모델, 유형), 실제 메모리 관련 정보(공유 및 사용 가능 용량), 운영 체제 서비스 관련 정보(이름, 설명, 상태, 태그, 프로세스 관련 정보 [이름 및 PID]), 컴퓨터의 에너지 소비량 파라미터, 인터럽트 컨트롤러 구성, Windows 시스템 폴더 경로(Windows 및 System32), OS 관련 정보(버전, 빌드, 배포 날짜, 이름, 유형, 설치 날짜), 페이지 파일 크기, 모니터 관련 정보(수, 제조업체, 화면 권한, 해상도 용량, 유형), 비디오 카드 드라이버 관련 정보(제조업체, 배포 날짜, 버전);
Microsoft의 EventTrace/EventMetadata 이벤트 공급자인 ETW의 정보: 시스템 이벤트 시퀀스 관련 정보(유형, 시간, 날짜, 표준 시간대), 추적 결과가 포함된 파일 관련 메타데이터(이름, 구조, 추적 파라미터, 유형별 추적 동작 수 구분), OS 관련 정보(이름, 유형, 버전, 빌드, 배포 날짜, 시작 시각);
Microsoft의 프로세스/Microsoft Windows 커널 프로세스/Microsoft Windows 커널 프로세서 전원 이벤트 공급자인 ETW의 정보: 시작/완료된 프로세스 관련 정보(이름, PID, 시작 파라미터, 명령 줄, 반환 코드, 전원 관리 파라미터, 시작/완료 시간, 액세스 토큰 유형, SID, SessionID, 설치된 설명자 수), 스레드 우선 순위 변경 관련 정보(TID, 우선 순위, 시간), 프로세스의 디스크 작동 관련 정보(유형, 시간, 용량, 수), 사용 가능한 메모리 프로세스의 구조와 용량 변경 기록;
Microsoft의 StackWalk/Perfinfo 이벤트 공급자인 ETW의 정보: 성능 카운트 관련 정보(개별 코드 섹션의 성능, 함수 호출 시퀀스, PID, TID, ISR과 DPC의 주소와 특성);
Microsoft의 KernelTraceControl-ImageID 이벤트 공급자인 ETW의 정보: 실행 파일과 동적 라이브러리 관련 정보(이름, 이미지 크기, 전체 경로), PDB 파일 관련 정보(이름, 식별자), 실행 파일의 VERSIONINFO 리소스 데이터(이름, 설명, 작성자, 위치, 애플리케이션 버전과 식별자, 파일 버전과 식별자);
Microsoft의 FileIo/DiskIo/Image/Windows 커널 디스크 이벤트 공급자인 ETW의 정보: 파일 및 디스크 동작 관련 정보(유형, 용량, 시작 시간, 완료 시간, 지속 시간, 완료 상태, PID, TID, 드라이버 함수 호출 주소, IRP(I/O 요청 패킷), Windows 파일 개체 특성), 파일 및 디스크 동작에서 사용된 파일 관련 정보(이름, 버전, 크기, 전체 경로, 특성, 오프셋, 이미지 체크섬, 열기 및 액세스 옵션);
Microsoft의 PageFault 이벤트 공급자인 ETW의 정보: 메모리 페이지 액세스 오류 관련 정보(주소, 시간, 용량, PID, TID, Windows 파일 개체 특성, 메모리 할당 파라미터);
Microsoft의 스레드 이벤트 공급자인 ETW의 정보: 스레드 생성/완료 관련 정보, 시작된 스레드 관련 정보(PID, TID, 스택 크기, CPU 리소스 우선 순위와 할당, I/O 리소스, 스레드 간의 메모리 페이지, 스택 주소, init 함수 주소, TEB(스레드 환경 블록)의 주소, Windows 서비스 태그);
Microsoft Windows 커널 메모리 이벤트의 공급자인 ETW의 정보: 메모리 관리 동작 관련 정보(완료 상태, 시간, 수량, PID), 메모리 할당 구조(유형, 용량, SessionID, PID);
성능 문제 발생 시 소프트웨어 작동에 대한 정보: 소프트웨어 설치 식별자, 성능 저하 유형과 값, 소프트웨어 내 이벤트 시퀀스 관련 정보(시간, 표준 시간대, 유형, 완료 상태, 소프트웨어 구성 요소 식별자, 소프트웨어 작동 시나리오 식별자, TID, PID, 함수 호출 주소), 확인할 네트워크 연결 관련 정보(URL, 연결 방향, 네트워크 패키지 크기), PDB 파일 관련 정보(이름, 식별자, 실행 파일의 이미지 크기), 확인할 파일 관련 정보(이름, 전체 경로, 체크섬), 소프트웨어 성능 모니터링 파라미터';
마지막으로 실패한 OS 다시 시작 관련 정보: OS 설치 이후 실패한 다시 시작 수, 시스템 덤프의 데이터(오류의 코드와 파라미터, OS 동작에서 오류를 발생시킨 모듈의 이름, 버전 및 체크섬(CRC32), 오류 주소(모듈의 오프셋), 시스템 덤프의 체크섬(MD5, SHA2-256, SHA1));
파일에 서명하는 데 사용 중인 디지털 인증서의 신뢰성을 확인하기 위한 정보: 인증서의 지문, 체크섬 알고리즘, 인증서의 공개 키와 일련번호, 인증서 발급 기관의 이름, 인증서 검증 결과, 인증서 데이터베이스 식별자;
소프트웨어 자기 보호에 공격을 가한 프로세스 관련 정보: 프로세스 파일의 이름 및 크기, 체크섬(MD5, SHA2-256, SHA1), 프로세스 파일의 전체 경로 및 파일 경로의 템플릿 코드, 생성/작성 타임 스탬프, 실행 파일 플래그, 프로세스 파일의 특성, 프로세스 파일에 서명하는 데 사용된 인증서 관련 정보, 프로세스를 시작하는 데 사용한 계정의 코드, 프로세스 접근을 위해 수행된 동작의 ID, 동작 수행에 사용된 리소스 유형(프로세스, 파일, 레지스트리 개체, FindWindow 검색 기능), 동작 수행에 사용된 리소스 이름, 동작 성공을 나타내는 플래그, 프로세스의 파일 상태 및 KSN의 파일 서명;
권리 소유자 소프트웨어에 관한 정보: 사용한 소프트웨어의 전체 버전, 유형, 현지화 및 동작 상태, 설치된 소프트웨어 구성 요소의 버전 및 동작 상태, 설치된 소프트웨어 업데이트 날짜, TARGET 필터값, 권리 소유자 서비스에 연결하는 데 사용한 프로토콜 버전.
컴퓨터에 설치된 하드웨어 관련 정보: 유형, 이름, 모델 이름, 펌웨어 버전, 기본 제공 장치와 연결된 장치의 파라미터, 소프트웨어가 설치된 컴퓨터의 고유 식별자;
운영 체제와 설치된 업데이트의 버전 관련 정보, 단어 크기, OS 실행 모드의 버전과 파라미터, OS 커널 파일의 버전과 체크섬(MD5, SHA2-256, SHA1), OS 시작 시간과 날짜;
전체 또는 일부 실행 파일 및 비 실행 파일
컴퓨터의 RAM 일부;
OS 부팅 프로세스와 관련된 섹터;
네트워크 트래픽 데이터 패킷;
의심스러운 악성 개체가 포함된 웹 페이지와 이메일;
WMI 저장소 클래스 및 해당 인스턴스에 관한 설명;
애플리케이션 활동 리포트:
전송할 파일의 이름, 크기 및 버전, 설명 및 체크섬(MD5, SHA2-256, SHA1), 파일 형식 식별자, 파일 공급 업체 이름, 파일이 속한 제품 이름, 컴퓨터의 파일 전체 경로, 경로의 템플릿 코드, 파일의 생성 및 수정 타임 스탬프;
인증서 유효 기간의 시작 및 종료 날짜/시간(디지털 서명이 있는 파일의 경우), 서명 날짜 및 시간, 인증서 발급자 이름, 인증서 소유자 관련 정보, 지문, 인증서의 공개 키 및 적절한 알고리즘, 인증서 일련번호;