悪意のある可能性のあるオブジェクトおよび活動に関する情報:検知したオブジェクトの名前およびコンピューター上の完全パス、処理されたファイルのチェックサム(MD5、SHA2-256、SHA1)、検知した日時、感染したファイルの名前およびサイズおよびそのパス、パステンプレートコード、実行ファイルのフラグ、オブジェクトがコンテナーであるかどうかを示すフラグ、圧縮プログラムの名前(ファイルが圧縮されている場合)、ファイル種別コード、ファイル形式の識別子、マルウェアが実行した処理のリストおよびそれに対応したソフトウェアとユーザーの判定、判定に使用された定義データベースの識別子および定義データベースのレコードの識別子、悪意のある可能性があるオブジェクトであることを示すフラグ、権利者の分類による検知された脅威の名前、危険度レベル、検知ステータスおよび検知方法、解析されたコンテキストに含めた理由およびコンテキスト内のファイルのシーケンス番号、チェックサム(MD5、SHA2-256、SHA1)、感染したメッセージまたはリンクの送信に使用されたアプリケーションの実行ファイルの名前と属性、ブロックされたオブジェクトのホストの匿名化した IP アドレス(IPv4 および IPv6)、ファイルの情報量、ファイルの自動実行のフラグ、システム内でファイルが最初に検知された時刻、前回統計情報が送信されてからファイルが実行された回数、悪意のあるオブジェクトを受信したメールクライアントの名前とチェックサム(MD5、SHA2-256、SHA1)およびサイズに関する情報、スキャンを実行したソフトウェアのタスクの識別子、ファイルの評価または署名がチェックされたかどうかのフラグ、ファイルの処理結果、当該オブジェクトに対して収集されたパターンのチェックサム(MD5)、サイズおよびパターン(バイト)、適用された検知技術の技術仕様。
実行ファイルのエミュレーションに関する情報:ファイルのサイズおよびチェックサム(MD5、SHA2-256、SHA1)、エミュレーションコンポーネントのバージョン、エミュレーション深度、エミュレーション中に取得された論理ブロックのプロパティの配列および論理ブロック内の関数の配列、実行ファイルの PE ヘッダーのデータ。
攻撃元コンピューターの IP アドレス(IPv4 および IPv6)、攻撃の標的となったコンピューターのポート番号、攻撃に使用された IP パケットのプロトコルの識別子、攻撃対象(組織名、Web サイト)、攻撃への対処のフラグ、攻撃の重み、信頼度。
ネットワークリソースの偽装に関連した攻撃に関する情報:閲覧した Web サイトの DNS および IP アドレス(IPv4 および IPv6)。
要求された Web リソースの DNS アドレスおよび IP アドレス(IPv4 または IPv6)、Web リソースにアクセスしているファイルおよび Web クライアントに関する情報、ファイルの名前とサイズおよびチェックサム(MD5、SHA2-256、SHA1)、ファイルの完全パスとパステンプレートコード、デジタル署名の確認結果、KSN のステータス。
ネットワーク接続に関する情報。ポートを開いたプロセスを開始したファイルのバージョンおよびチェックサム(MD5、SHA2-256、SHA1)、プロセスファイルのパスおよびデジタル署名、ローカルおよびリモートの IP アドレス、ローカルおよびリモートの接続ポート番号、接続状態、ポートが開かれたときのタイムスタンプ。
本ソフトウェアのシステム監視コンポーネントの動作に関する情報:コンポーネントの詳細バージョン、イベントキューをオーバーフローさせたイベントのコードおよび該当するイベントの数、キューがオーバーフローしたイベントの総数、イベントを開始したプロセスのファイルに関する情報(ファイル名およびコンピューター上のパス、ファイルパスのテンプレートコード、ファイルに関連付けられたプロセスのチェックサム(MD5、SHA2-256、SHA1))、発生したイベント遮断の識別子、遮断フィルターのバージョン、遮断されたイベントの種別の識別子、キュー内の最初のイベントと現在のイベント間におけるイベントキューのサイズとイベントの数、キュー内の期限切れイベントの数、現在のイベントを開始したプロセスのファイルに関する情報(ファイル名およびコンピューター上のパス、ファイルパスのテンプレートコード、ファイルに関連付けられたプロセスのチェックサム(MD5、SHA2-256、SHA1))、イベントの処理時間、イベントの処理時間の上限、統計を送信する確率、処理時間制限を超えた OS イベントに関する情報(イベントの日時、定義データベースの初期化繰り返しの回数、定義データベースのアップデート後に最後の初期化繰り返しが実行された日時、各システム監視コンポーネントのイベント処理遅延時間、キューにあるイベントの数、処理されたイベントの数、現在の種別の遅延イベントの数、現在の種別のイベントの合計遅延時間、すべてのイベントの合計遅延時間)。
ソフトウェアパフォーマンスの問題が発生した場合に SysConfig / SysConfigEx / WinSATAssessment イベントが出力される Microsoft の Windows イベントトレースツール(ETW:Event Tracing for Windows)からの情報:コンピューターに関する情報(機種、製造元、筐体のフォームファクター、バージョン)、Windows パフォーマンスメトリックスに関する情報(WinSAT 評価、Windows パフォーマンスインデックス)、ドメイン名、物理プロセッサおよび論理プロセッサに関する情報(物理プロセッサおよび論理プロセッサの数、製造元、モデル、ステッピングレベル、コア数、クロック周波数、CPUID、キャッシュ特性、論理プロセッサ特性、サポートされるモードと命令を示すフラグ)、RAM モジュールに関する情報(種別、フォームファクター、製造元、モデル、容量、メモリ割り当ての細分性)、ネットワークインターフェイスに関する情報(IP アドレスおよび MAC アドレス、名前、説明、ネットワークインターフェイスの設定、種別ごとのネットワークパッケージの数とサイズの内訳、ネットワーク通信速度、種別ごとのネットワークエラー数の内訳)、IDE コントローラーの設定、DNS サーバーの IP アドレス、ビデオカードに関する情報(モデル、説明、製造元、互換性、ビデオメモリ容量、画面許可、ピクセルあたりのビット数、BIOS バージョン)、プラグアンドプレイのデバイスに関する情報(名前、説明、デバイス識別子[PnP、ACPI])、ディスクおよびストレージデバイスに関する情報(ディスクまたはフラッシュデバイスの数、製造元、モデル、ディスク容量、シリンダー数、シリンダーあたりのトラック数、トラックあたりのセクター数、セクター容量、キャッシュ特性、シーケンシャル番号、パーティション数、SCSI コントローラーの設定)、論理ディスクに関する情報(シーケンシャル番号、パーティション容量、ボリューム容量、ボリューム文字、パーティション種別、ファイルシステム種別、クラスター数、クラスターのサイズ、クラスターあたりのセクター数、空のクラスターと占有されているクラスターの数、起動可能ボリュームの文字、ディスクの先頭に関するパーティションのオフセットアドレス)、BIOS マザーボードに関する情報(製造元、発売日、バージョン)、マザーボードに関する情報(製造元、モデル、タイプ)物理メモリに関する情報(共有されている容量およびフリーの容量)、オペレーティングシステムのサービスに関する情報(名前、説明、ステータス、タグ、プロセスに関する情報[名前および PID])、コンピューターの電力消費のパラメータ、割り込みコントローラーの設定、Windows システムフォルダーのパス(Windows および System32)、OS に関する情報(バージョン、ビルド、発売日、名前、種別、インストール日)、ページファイルのサイズ、モニターに関する情報(番号、製造元、画面許可、解像度の容量、種別)ビデオカードドライバーに関する情報(製造元、発売日、バージョン)。
EventTrace / EventMetadata イベントが出力される Microsoft の ETW からの情報:システムイベントのシーケンスに関する情報(種別、時間、日付、タイムゾーン)、トレース結果を含むファイルに関するメタデータ(名前、構造、トレースパラメータ、種別ごとのトレース操作数の内訳)、OS に関する情報(名前、種別、バージョン、ビルド、リリース日、開始時刻)。
Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power イベントが出力される Microsoft の ETW からの情報:開始および完了したプロセスに関する情報(名前、PID、開始パラメータ、コマンドライン、リターンコード、電力管理パラメータ、開始および完了した時刻、アクセストークン種別、SID、セッション識別子、インストールされている記述子の数)、スレッドの優先順位の変更に関する情報(TID、優先順位、時間)、プロセスのディスク操作に関する情報(種別、時刻、容量、数)、使用可能なメモリプロセスの構造と容量に対する変更履歴。
最新の OS の再起動の失敗に関する情報:OS をインストールしてから再起動に失敗した回数、システムダンプに関する情報(エラーのコードおよびパラメータ、OS の動作エラーの原因となったモジュールの名前、バージョンおよびチェックサム(CRC32)、モジュールのオフセットとしてのエラーのアドレス、システムダンプのチェックサム(MD5、SHA2-256、SHA1))。