Ondersteuning

Ondersteuning voor bedrijfsoplossingen

Kaspersky Endpoint Security 12 voor Windows

Gegevensverstrekking

Gegevensverstrekking tijdens het gebruik van Kaspersky Security Network

Kaspersky Endpoint Security 12 voor Windows
Нет результатов
Нет результатов
Online Hulp
Veelgestelde vragen Systeemvereisten Download Kopen Vernieuwen Forum Contact opnemen met ondersteuning Hulpmiddelen voor herstel Productvideo's

Gegevensverstrekking tijdens het gebruik van Kaspersky Security Network

14 februari 2024

ID 165983

Opslaan als PDF

De set gegevens die Kaspersky Endpoint Security naar Kaspersky stuurt, is afhankelijk van het type licentie en de gebruiksinstellingen van Kaspersky Security Network.

Gebruik van KSN onder licentie op niet meer dan 4 computers

Als u de Kaspersky Security Network-verklaring accepteert, gaat u ermee akkoord om de volgende informatie automatisch te verstrekken:

  • informatie over KSN-configuratie-updates: ID van de actieve configuratie, ID van de ontvangen configuratie, foutcode van de configuratie-update;
  • informatie over de te scannen bestanden en URL-adressen: de controlesommen van het gescande bestand (MD5, SHA2-256, SHA1) en bestandspatronen (MD5), de grootte van het patroon, de soort gedetecteerde dreiging en de naam ervan volgens de classificatie van de Rechthebbende, het ID voor de antivirusdatabases, het URL-adres waarvan de reputatie wordt gevraagd, alsook het verwijzende URL-adres, het ID van het protocol van de verbinding en het nummer van de gebruikte poort;
  • ID van de scantaak die de bedreiging heeft gedetecteerd;
  • informatie over gebruikte digitale certificaten om hun authenticiteit te verifiëren: de controlesommen (SHA256) van het gebruikte certificaat om het gescande object te ondertekenen en de openbare sleutel van het certificaat;
  • het ID van het Software-onderdeel dat de scan uitvoert;
  • de ID's van de antivirusdatabases en van de records in deze antivirusdatabases;
  • Informatie over de activering van de Software op de Computer: de ondertekende header van het ticket van de activeringsservice (het ID van het regionale activeringscentrum, de controlesom van de activeringscode, de controlesom van het ticket, de aanmaakdatum van het ticket, de unieke ID van het ticket, de ticketversie, de licentiestatus, de begin-/einddatum en -tijd van de geldigheidsduur van het ticket, de unieke ID van de licentie, de licentieversie), de ID van het gebruikte certificaat voor de ondertekening van de ticket-header, de controlesom (MD5) van het licentiebestand;
  • Informatie over de Software van de Rechthebbende: volledige versie, type, versie van het protocol dat wordt gebruikt om verbinding te maken met Kaspersky-services.

Gebruik van KSN onder licentie op 5 of meer computers

Als u de Kaspersky Security Network-verklaring accepteert, gaat u ermee akkoord om de volgende informatie automatisch te verstrekken:

Als het selectievakje Kaspersky Security Network is ingeschakeld en het selectievakje Uitgebreide KSN-modus inschakelen is uitgeschakeld, wordt de volgende informatie verstuurd:

  • informatie over KSN-configuratie-updates: ID van de actieve configuratie, ID van de ontvangen configuratie, foutcode van de configuratie-update;
  • informatie over de te scannen bestanden en URL-adressen: de controlesommen van het gescande bestand (MD5, SHA2-256, SHA1) en bestandspatronen (MD5), de grootte van het patroon, de soort gedetecteerde dreiging en de naam ervan volgens de classificatie van de Rechthebbende, het ID voor de antivirusdatabases, het URL-adres waarvan de reputatie wordt gevraagd, alsook het verwijzende URL-adres, het ID van het protocol van de verbinding en het nummer van de gebruikte poort;
  • ID van de scantaak die de bedreiging heeft gedetecteerd;
  • informatie over gebruikte digitale certificaten om hun authenticiteit te verifiëren: de controlesommen (SHA256) van het gebruikte certificaat om het gescande object te ondertekenen en de openbare sleutel van het certificaat;
  • het ID van het Software-onderdeel dat de scan uitvoert;
  • de ID's van de antivirusdatabases en van de records in deze antivirusdatabases;
  • Informatie over de activering van de Software op de Computer: de ondertekende header van het ticket van de activeringsservice (het ID van het regionale activeringscentrum, de controlesom van de activeringscode, de controlesom van het ticket, de aanmaakdatum van het ticket, de unieke ID van het ticket, de ticketversie, de licentiestatus, de begin-/einddatum en -tijd van de geldigheidsduur van het ticket, de unieke ID van de licentie, de licentieversie), de ID van het gebruikte certificaat voor de ondertekening van de ticket-header, de controlesom (MD5) van het licentiebestand;
  • Informatie over de Software van de Rechthebbende: volledige versie, type, versie van het protocol dat wordt gebruikt om verbinding te maken met Kaspersky-services.

Als de selectievakjes Uitgebreide KSN-modus inschakelen en Kaspersky Security Network zijn ingeschakeld, verstuurt het programma naast de hierboven vermelde informatie ook deze informatie:

  • informatie over de resultaten van de categorisering van de opgevraagde webbronnen, die het verwerkte URL- en IP-adres van de host bevat, de versie van het Software-onderdeel dat de categorisering heeft uitgevoerd, de methode van de categorisering, en de gedefinieerde categorieën voor de webbron;
  • informatie over de software die op de Computer is geïnstalleerd: namen van de programma's en van de leveranciers ervan, registersleutels en hun waarden, informatie over bestanden van de geïnstalleerde software-onderdelen (controlesommen (MD5, SHA2-256, SHA1), de naam, het pad naar het bestand op de Computer, de grootte, de versie en de digitale handtekening);
  • informatie over de staat van de antivirusbescherming van de computer: de versies en de release-tijdstempels van de antivirusdatabases die worden gebruikt, de ID van de taak en de ID van de software die scant;
  • informatie over bestanden die de Eindgebruiker downloadt: de URL- en IP-adressen van de download en de downloadpagina's, het downloadprotocol-ID en het nummer van de verbindingspoort, de status van de URL als schadelijk of niet, de eigenschappen van het bestand, de bestandsgrootte en controlesommen (MD5, SHA2-256, SHA1), informatie over het proces dat het bestand heeft gedownload (controlesommen (MD5, SHA2-256, SHA1), de aanmaakdatum en -tijd, de status van automatisch afspelen, de eigenschappen, de namen van compressieprogramma's, informatie over handtekeningen, de markering van uitvoerbare bestanden, het ID van de bestandsindeling en entropie), de bestandsnaam en -pad op de Computer, de digitale handtekening van het bestand en de tijdstempel van het aanmaken, het URL-adres waar de detectie is gebeurd, het nummer van het script op de pagina dat als verdacht of schadelijk wordt gezien, informatie over HTTP-verzoeken die zijn aangemaakt en het antwoord daarop;
  • informatie over de actieve programma's en hun modules: de gegevens over actieve processen op het systeem (proces-ID (PID), de naam van het proces, informatie over het account waaruit het proces is gestart, het programma en de opdracht waarmee het proces is gestart, het volledige pad naar de bestanden van het proces en hun controlesommen (MD5, SHA2-256, SHA1), en de eerste opdrachtregel, het niveau van de integriteit van het proces, een beschrijving van het product waartoe het proces behoort (de naam van het product en informatie over de uitgever), evenals digitale certificaten die worden gebruikt en informatie die nodig is om de authenticiteit te verifiëren of informatie over het ontbreken van een digitale handtekening van een bestand), informatie over de modules die in de processen zijn geladen (hun naam, grootte, type, aanmaakdatums, kenmerken, controlesom (MD5, SHA2-256, SHA1) en de paden naar de modules op de Computer), informatie over PE-bestands-header, de namen van compressieprogramma's (als het bestand is verpakt);
  • informatie over alle potentieel schadelijke objecten en activiteit: de naam van het gedetecteerde object en het volledige pad naar het object op de computer, de controlesommen van verwerkte bestanden (MD5, SHA2-256, SHA1), de datum en tijd van de detectie, de namen en grootten van geïnfecteerde bestanden en de paden ernaar, de code van de sjabloon van het pad, de vlag van het uitvoerbare bestand, de indicator die aangeeft of het object een container is, de naam van het compressieprogramma (als het bestand is gecomprimeerd), de code van het bestandstype, het ID van de bestandsindeling, de lijst met acties die door malware zijn uitgevoerd en de door de software en gebruiker genomen beslissing om er op te reageren, de ID's van de antivirusdatabases en van de records in deze antivirusdatabases die zijn gebruikt om de beslissing te nemen, de indicator van een potentieel schadelijk object, de naam van de gedetecteerde dreiging volgens de classificatie van de Rechthebbende, het veiligheidsrisico, de detectiestatus en detectiemethode, de reden voor opname in de geanalyseerde context en volgnummer van het bestand in de context, de controlesom (MD5, SHA2-256, SHA1), de naam en kenmerken van het uitvoerbare bestand van het programma waarmee het geïnfecteerde bericht of de geïnfecteerde koppeling is verstuurd, de geanonimiseerde IP-adressen (IPv4 en IPv6) van de host van het geblokkeerde object, de bestandsentropie, de indicator voor automatisch starten van het bestand, het tijdstip van de eerste detectie in het systeem, het aantal keren dat het bestand is uitgevoerd sinds de laatste verzending van de statistieken, informatie over de naam, de controlesommen (MD5, SHA2-256, SHA1) en de grootte van het e-mailprogramma waarmee het schadelijke object is ontvangen, het ID van de softwaretaak die de scan heeft uitgevoerd, de indicator die aangeeft of de bestandsreputatie of handtekening is gecontroleerd, het resultaat van de bestandsverwerking, de controlesom (MD5) van het verzamelde patroon voor het object, de grootte van het patroon in bytes, en de technische specificaties van de toegepaste detectietechnologieën;
  • informatie over gescande objecten: de toegewezen vertrouwensgroep waarin het bestand is geplaatst en/of waaruit het bestand is gehaald, de reden waarom het bestand in de categorie is geplaatst, het categorie-ID, informatie over de bron van de categorieën en de versie van de categoriedatabase, de markering van de vertrouwde certificering van het bestand, de naam van de leverancier van het bestand, de naam en versie van het softwareprogramma dat het bestand bevat;
  • informatie over gedetecteerde kwetsbaarheden: het ID van de kwetsbaarheid in de database met kwetsbaarheden, de gevarenklasse van de kwetsbaarheid;
  • informatie over emulatie van het uitvoerbare bestand: de bestandsgrootte en controlesommen (MD5, SHA2-256, SHA1), de versie van het emulatie-onderdeel, de emulatiediepte, een array van eigenschappen van logische blokken en functies binnen logische blokken die verkregen zijn tijdens de emulatie, de gegevens uit de PE-headers van het uitvoerbare bestand;
  • de IP-adressen van de computer waarmee wordt aangevallen (IPv4 en IPv6), het nummer van de poort van de Computer die wordt aangevallen, het ID van het protocol van het IP-pakket met de aanval, het doelwit van de aanval (naam organisatie, website), de markering voor de reactie op de aanval, het gewicht van de aanval, het vertrouwensniveau;
  • informatie over aanvallen waarbij netwerkbronnen worden vervalst, de DNS- en IP-adressen (IPv4 of IPv6) van bezochte websites;
  • de DNS- en IP-adressen (IPv4 of IPv6) van de opgevraagde webbron, informatie over het bestand en webclient die de webbron opent, de naam, de grootte en controlesommen (MD5, SHA2-256, SHA1) van het bestand, het volledige pad naar het bestand en de code van de sjabloon van het pad, het resultaat van de controle van de digitale handtekening ervan, en de status ervan in KSN;
  • informatie over het terugdraaien van malwareacties: gegevens over het bestand waarvan de activiteit is teruggedraaid (naam van het bestand, het volledige pad naar het bestand, de grootte en controlesommen (MD5, SHA2-256, SHA1) van het bestand), gegevens over geslaagde en mislukte acties om bestanden te verwijderen, hernoemen en kopiëren en om de waarden in het register te herstellen (namen van registersleutels en hun waarden), en informatie over systeembestanden die door malware zijn gewijzigd, vóór en na het terugdraaien;
  • informatie over de reeks uitzonderingen voor het onderdeel Adaptieve controle op afwijkingen: het ID en de status van de regel die is geactiveerd, de actie die de Software heeft uitgevoerd wanneer de regel werd geactiveerd, het type gebruikersaccount waarmee het proces of de thread verdachte activiteit uitvoert, alsook het proces dat onderhevig was aan verdachte activiteit (het script-ID of de bestandsnaam van het proces, het volledige pad naar het procesbestand, de sjablooncode van het pad, de controlesommen (MD5, SHA2-256, SHA1) van het procesbestand); informatie over het object dat de verdachte acties heeft uitgevoerd alsook het object dat onderhevig was aan de verdachte acties (de naam van de registersleutel of de bestandsnaam, het volledige pad naar het bestand, de code van de padsjabloon, en de controlesommen (MD5, SHA2-256, SHA1) van het bestand);
  • informatie over geladen softwaremodules: de naam, grootte en controlesommen (MD5, SHA2-256, SHA1) van het modulebestand, het volledige pad ernaar en de sjablooncode van het pad, de instellingen van de digitale handtekening van het modulebestand, de datum en tijd van de aanmaak van de handtekening, de naam van de houder en de organisatie die het modulebestand heeft ondertekend, het ID van het proces waarin de module is geladen, de naam van de leverancier van de module, en het volgnummer van de module in de laadwachtrij;
  • informatie over de kwaliteit van de Software-interactie met de KSN-services: de begin- en einddatum en -tijd van de periode wanneer de statistieken zijn gegenereerd, informatie over de kwaliteit van verzoeken en de verbinding met alle gebruikte KSN-services (de ID van de KSN-service, het aantal geslaagde verzoeken, het aantal verzoeken met antwoorden vanuit de cache, het aantal mislukte verzoeken (netwerkproblemen, KSN dat is uitgeschakeld in de Software-instellingen, onjuiste routing), de tijdspanne van de geslaagde verzoeken, de tijdspanne van de geannuleerde verzoeken, de tijdspanne van de verzoeken met een overschreden tijdslimiet, het aantal verbindingen met KSN die uit de cache zijn gehaald, het aantal geslaagde verbindingen met KSN, het aantal mislukte verbindingen met KSN, het aantal geslaagde overdrachten, het aantal mislukte overdrachten, de tijdspanne van de geslaagde verbindingen met KSN, de tijdspanne van de mislukte verbindingen met KSN, de tijdspanne van de geslaagde overdrachten, de tijdspanne van de mislukte overdrachten);
  • als een mogelijk schadelijke object wordt gedetecteerd, wordt informatie verstrekt over gegevens in het geheugen van de processen: elementen van de systeemobjecthiërarchie (ObjectManager), gegevens in UEFI BIOS-geheugen, namen van registersleutels en hun waarden;
  • informatie over gebeurtenissen in de systeemlogboeken: de tijdstempel van de gebeurtenis, de naam van het logboek waarin de gebeurtenis is gevonden, het type en de categorie van de gebeurtenis, de naam van de bron en beschrijving van de gebeurtenis;
  • informatie over netwerkverbindingen: de versie en controlesommen (MD5, SHA2-256, SHA1) van het bestand waaruit het proces is gestart dat de poort heeft geopend, het pad naar het procesbestand en de digitale handtekening, de lokale en externe IP-adressen, de nummers van poorten voor lokale en externe verbindingen, de verbindingsstatus, het tijdstip wanneer de poort is geopend;
  • informatie over de datum van software-installatie en activering op de computer: de ID van de partner die de licentie heeft verkocht, het serienummer van de licentie, de ondertekende kop van het ticket van de activeringsdienst (de ID van een regionaal activeringscentrum, de controlesom van de activeringscode, de controlesom van het ticket, de aanmaakdatum van het ticket, de unieke ID van het ticket, de ticketversie, de licentiestatus, de start-/ einddatum en tijd van het ticket, de unieke ID van de licentie, de licentieversie), de ID van het certificaat gebruikt om de ticketkop te ondertekenen, de controlesom (MD5) van het licentiebestand, de unieke ID van de software-installatie op de computer, het type en de ID van het programma dat wordt bijgewerkt, de ID van de updatetaak;
  • informatie over de instellingen van alle geïnstalleerde updates en over recent geïnstalleerde/verwijderde updates, het type gebeurtenis dat de verzending van de updategegevens heeft veroorzaakt, de verstreken tijd sinds de installatie van de laatste update, informatie over de momenteel geïnstalleerde antivirusdatabases;
  • informatie over de werking van de software op de computer: gegevens over het CPU-gebruik, gegevens over het geheugengebruik (Eigen bytes, Niet-wisselbare pool, Verwisselbare pool), het aantal actieve threads in het softwareproces en openstaande threads, en de duur van de softwarewerking vóór de fout;
  • aantal softwaredumps en systeemdumps (BSOD) sinds de installatie van de Software en sinds de laatste update: het ID en de versie van de Softwaremodule die is gecrasht, de geheugenopslag in het proces van de Software en informatie over de antivirusdatabases op het moment van de crash;
  • gegevens over de systeemdump (BSOD): een vlag die aangeeft hoe vaak de BSOD voorkomt op de Computer, de naam van het stuurprogramma dat de BSOD heeft veroorzaakt, het adres en de geheugenopslag in het stuurprogramma, een vlag die aangeeft hoe lang de sessie van het besturingssysteem heeft geduurd voordat de BSOD optrad, de geheugenopslag van het stuurprogramma dat gecrasht is, het type opgeslagen geheugendump, de vlag voor de sessie van het besturingssysteem voordat de BSOD meer dan 10 minuten heeft geduurd, het unieke ID van de dump, de tijdstempel van de BSOD;
  • informatie over fouten of prestatieproblemen tijdens de werking van de Software-onderdelen: het status-ID van de Software, het type fout, de code en oorzaak alsook het tijdstip van de fout, de ID's van het onderdeel, de module en het proces van het product waarin de fout is opgetreden, het ID van de taak of updatecategorie wanneer de fout is opgetreden, de logboeken van stuurprogramma's die door de Software zijn gebruikt (foutcode, naam van de module, naam van het bronbestand en de regel waar de fout is opgetreden);
  • informatie over updates van antivirusdatabases en Software-onderdelen: de naam, de datum en tijd van indexbestanden die zijn download tijdens de laatste update en die tijdens de huidige update worden gedownload;
  • informatie over een abnormale beëindiging van de Software: de tijdstempel van de aanmaak van de dump, het type ervan, het type gebeurtenis dat de abnormale beëindiging van de Software heeft veroorzaakt (onverwachte uitschakeling, crash van ander programma), de datum en tijd van de onverwachte uitschakeling;
  • informatie over de compatibiliteit van de stuurprogramma's van de Software met hardware en software: informatie over besturingssysteemeigenschappen die de functionaliteit van Software-onderdelen beperken (Beveiligd opstarten, KPTI, WHQL Enforce, BitLocker, hoodlettergevoeligheid), het type van geïnstalleerde downloadsoftware (UEFI, BIOS), het ID van de Trusted Platform Module (TPM), de versie van de TPM, informatie over de geïnstalleerde CPU in de Computer, de uitvoermodus en parameters van Code-integriteit en Device Guard, de uitvoermodus van stuurprogramma's en de reden voor gebruik van de huidige modus, de versie van de stuurprogramma's van de Software, de status van de ondersteuning voor software- en hardwarevirtualisatie van de Computer;
  • informatie over programma's van andere fabrikanten die de fout hebben veroorzaakt: hun naam, de versie en taalversie, de foutcode en informatie over de fout uit het systeemlogboek van programma's, het adres van de fout en de geheugenopslag van het programma van de andere leverancier, een vlag die aangeeft dat er een fout in het Software-onderdeel is opgetreden, de tijd dat het programma van een andere leverancier actief was voordat de fout optrad, de controlesommen (MD5, SHA2-256, SHA1) van de procesimage van het programma waarin de fout is opgetreden, het pad naar de procesimage van het programma en de sjablooncode van het pad, informatie van het systeemlogboek met een beschrijving van de fout met betrekking tot het programma, informatie over de programmamodule waarin een fout is opgetreden (informatie over de uitzondering, het geheugenadres van de crash als een afwijking in de programmamodule, de naam en de versie van de module, het ID van de programmacrash in de plug-in van de Rechthebbende en de geheugenopslag van de crash, de duur van de programmasessie voor de crash);
  • de versie van het onderdeel Software-updater, het aantal crashes van het update-onderdeel tijdens het uitvoeren van updatetaken gedurende de complete gebruiksduur van het onderdeel, het ID van het type van de updatetaak, het aantal mislukte pogingen van het update-onderdeel om updatetaken te voltooien;
  • informatie over de werking van de Software-onderdelen die het systeem bewaken: de volledige versies van de onderdelen, de datum en tijd van de start van de onderdelen, de code van de gebeurtenis die een overloop in de gebeurtenissenwachtrij veroorzaakte en het aantal dergelijke gebeurtenissen, het totale aantal gebeurtenissen die een overloop in de wachtrij veroorzaakten, informatie over het bestand van het proces van de initiator van de gebeurtenis (de naam van het bestand en het bijbehorende pad op de Computer, de sjablooncode van het bestandspad, de controlesommen (MD5, SHA2-256, SHA1) van het proces dat aan het bestand is gekoppeld, de bestandsversie), het ID van de onderschepping van de gebeurtenis, de volledige versie van het onderscheppingsfilter, het ID van het type onderschepte gebeurtenis, de grootte van de gebeurtenissenwachtrij en het aantal gebeurtenissen tussen de eerste gebeurtenis in de wachtrij en de huidige gebeurtenis, het aantal nog niet verwerkte gebeurtenissen in de wachtrij, informatie over het bestand van het proces van de initiator van de huidige gebeurtenis (de naam van het bestand en het bijbehorende pad op de Computer, de sjablooncode van het bestandspad, de controlesommen (MD5, SHA2-256, SHA1) van het proces dat aan het bestand is gekoppeld), de duur van de verwerking van de gebeurtenissen, de maximale duur van de verwerking van de gebeurtenissen, de waarschijnlijkheid van de verzending van statistieken, informatie over gebeurtenissen in het besturingssysteem waarvoor de maximale verwerkingsduur is overschreden (de datum en tijd van de gebeurtenis, het aantal herhaalde initialisaties van antivirusdatabases, de datum en tijd van de laatste herhaalde initialisatie van de antivirusdatabases na het updaten ervan, de vertraging in de verwerking van gebeurtenissen voor elk onderdeel dat het systeem bewaakt, het aantal gebeurtenissen in de wachtrij, het aantal verwerkte gebeurtenissen, het aantal gebeurtenissen van het huidige type dat vertraging heeft opgelopen, de totale vertraging voor de gebeurtenissen van het huidige type, de totale vertraging voor alle gebeurtenissen);
  • informatie uit de Windows-tool voor gebeurtenistracering (Event Tracing for Windows, ETW) bij eventuele prestatieproblemen van de Software, leveranciers van SysConfig / SysConfigEx / WinSATAssessment-gebeurtenissen van Microsoft: informatie over de Computer (het model, de fabrikant, de vormfactor van de behuizing, versie), informatie over de Windows-prestatiemetriek (WinSAT-beoordelingen, Windows-prestatie-index), de domeinnaam, informatie over fysieke en logische processors (het aantal fysieke en logische processors, de fabrikant, het model, het revisienummer, het aantal kernen, de klokfrequentie, het CPUID, de cachekenmerken, de kenmerken van de logische processors, de indicators voor ondersteunde modi en instructies), informatie over RAM-modules (het type, de vormfactor, de fabrikant, het model, de capaciteit, de granulariteit van geheugentoewijzing), informatie over netwerkinterfaces (de IP- en MAC-adressen, de naam, de beschrijving, de configuratie van netwerkinterfaces, de uitsplitsing van het aantal en de grootte van de netwerkpakketten per type, de snelheid van de netwerkoverdrachten, de uitsplitsing van het aantal netwerkfouten per type), de configuratie van de IDE-controller, de IP-adressen van de DNS-servers, informatie over de videokaart (het model, de beschrijving, de fabrikant, de compatibiliteit, de grootte van het videogeheugen, de schermtoestemming, het aantal bits per pixel, de BIOS-versie), informatie over Plug en-Play-apparaten (de naam, de beschrijving, het apparaat-ID [PnP, ACPI], informatie over schijven en opslagapparaten (het aantal schijven of flashstations, de fabrikant, het model, de schijfgrootte, het aantal cilinders, het aantal tracks per cilinder, het aantal sectoren per track, de sectorgrootte, de cachekenmerken, het sequentiële nummer, het aantal partities, de configuratie van de SCSI-controller), informatie over logische schijven (het sequentiële nummer, de grootte van partities, de grootte van stations, de stationsletter, het partitietype, het type bestandssysteem, het aantal clusters, de clustergrootte, het aantal sectoren per cluster, het aantal lege en gebruikte clusters, de letter van het opstartbare station, het offset-adres van de partitie met betrekking tot de start van de schijf), informatie over de BIOS-systeemkaart (de fabrikant, de releasedatum, de versie), informatie over de systeemkaart (de fabrikant, het model, het type), informatie over het fysieke geheugen (de grootte van het gedeelde en beschikbare geheugen), informatie over services van het besturingssysteem (de naam, de beschrijving, de status, de tag, informatie over processen [naam en PID]), de parameters van het energieverbruik voor de Computer, de configuratie van de onderbrekingscontroller, het pad naar de Windows-systeemmappen (Windows en System32), informatie over het besturingssysteem (de versie, de build, de releasedatum, de naam, het type, de installatiedatum), de grootte van het wisselbestand, informatie over beeldschermen (het aantal, de fabrikant, de schermtoestemming, de maximale resolutie, het type), informatie over het stuurprogramma van de videokaart (de fabrikant, de releasedatum, de versie);
  • informatie uit ETW, leveranciers van EventTrace / EventMetadata-gebeurtenissen van Microsoft: informatie over de opeenvolging van systeemgebeurtenissen (het type, de tijd, de datum, de tijdzone), metagegevens over het bestand met de tracingresultaten (de naam, de structuur, de tracingparameters, de uitsplitsing van het aantal traces per type), informatie over het besturingssysteem (de naam, het type, de versie, de build, de releasedatum, de begintijd);
  • informatie uit ETW, leveranciers van Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power-gebeurtenissen van Microsoft: informatie over gestarte en voltooide processen (de naam, het PID, de startparameters, de opdrachtregel, de retourcode, de parameters van het energiebeheer, het tijdstip van de start en voltooiing, het type toegangstoken, het SID, het SessionID, het aantal geïnstalleerde descriptors), informatie over wijzigingen in threadprioriteiten (het TID, de prioriteit, de tijd), informatie over schijfbewerkingen van het proces (het type, de tijd, de grootte, het aantal), de geschiedenis van wijzigingen in de structuur en de capaciteit van bruikbare geheugenprocessen;
  • informatie uit ETW, leveranciers van StackWalk / Perfinfo-gebeurtenissen van Microsoft: informatie over prestatietellers (de prestaties van individuele stukken code, de opeenvolging van functie-aanroepen, het PID, het TID, de adressen en kenmerken van ISRs en DPCs);
  • informatie uit ETW, leverancier van KernelTraceControl-ImageID-gebeurtenissen van Microsoft: informatie over uitvoerbare bestanden en DLL's (de naam, de imagegrootte, het volledige pad), informatie over PDB-bestanden (de naam, het ID), VERSIONINFO-resourcegegevens voor uitvoerbare bestanden (de naam, de beschrijving, de maker, de lokalisatie, de programmaversie en het ID, de bestandsversie en het ID);
  • informatie uit ETW, leveranciers van FileIo / DiskIo / Image / Windows Kernel Disk-gebeurtenissen van Microsoft: informatie over bestands- en schijfbewerkingen (het type, de capaciteit, de begintijd, de voltooiingstijd, de duur, de voltooiingsstatus, het PID, het TID, de adressen van de functie-aanroep van het stuurprogramma, I/O Request Packet (IRP), Windows-bestandskenmerken), informatie over bestanden die betrokken zijn bij bestands- en schijfbewerkingen (de naam, de versie, de grootte, het volledige pad, de kenmerken, de offset, de imagecontrolesom, open en toegangsopties);
  • informatie uit ETW, leverancier van PageFault-gebeurtenissen van Microsoft: informatie over toegangsfouten bij de geheugenpagina (het adres, de tijd, de grootte, het PID, het TID, de kenmerken van het Windows-bestand, de parameters van de geheugentoewijzing);
  • informatie uit ETW, leverancier van Thread-gebeurtenissen van Microsoft: informatie over de aanmaak/voltooiing van threads, informatie over gestarte threads (het PID, het TID, de grootte van de stack, de prioriteiten en toewijzing van CPU-bronnen, I/O-bronnen, geheugenpagina's tussen threads, het stack-adres, het adres van de init-functie, het adres van Thread Environment Block (TEB), de Windows-servicetag);
  • informatie uit ETW, leverancier van Microsoft Windows Kernel Memory-gebeurtenissen van Microsoft: informatie over bewerkingen voor geheugenbeheer (de voltooiingsstatus, de tijd, de hoeveelheid, het PID), de structuur van de geheugentoewijzing (het type, de capaciteit, het SessionID, het PID);
  • informatie over de werking van de Software bij eventuele prestatieproblemen: het ID van de Software-installatie, het type en de waarde van drop in-prestaties, informatie over de opeenvolging van gebeurtenissen in de Software (de tijd, de tijdzone, het type, de voltooiingsstatus, het ID van het Software-onderdeel, het ID van het Software-scenario, het TID, het PID, de adressen van de aanroep van de functie), informatie over te controleren netwerkverbindingen (de URL, de richting van de verbinding, de grootte van het netwerkpakket), informatie over PDB-bestanden (de naam, het ID, de imagegrootte van het uitvoerbare bestand), informatie over te controleren bestanden (de naam, het volledige pad, de controlesom), de parameters voor de bewaking van de prestaties van de Software;
  • informatie over een de laatste mislukte laatste herstart van het besturingssysteem: het aantal mislukte heropstarten sinds de installatie van het besturingssysteem, gegevens over de systeemdump (de code en parameters van een fout, de naam, de versie en de controlesom (CRC32) van de module die een fout in de werking van het besturingssysteem heeft veroorzaakt, het foutadres als een offset in de module, controlesommen (MD5, SHA2-256, SHA1) van de systeemdump);
  • informatie voor de controle van de authenticiteit van digitale certificaten die voor de ondertekening van bestanden worden gebruikt: de vingerafdruk van het certificaat, het algoritme van de controlesom, de openbare sleutel en het serienummer van het certificaat, de naam van de verlener van het certificaat, het resultaat van de validatie van het certificaat en het database-ID van het certificaat;
  • informatie over het proces dat de aanval op de zelfbescherming van de Software uitvoert: de naam en de grootte van het procesbestand, de controlesommen (MD5, SHA2-256, SHA1), het volledige pad naar het procesbestand en de sjablooncode van het bestandspad, de tijdstempels van de aanmaak/build, de vlag van het uitvoerbare bestand, de kenmerken van het procesbestand, informatie over het gebruikte certificaat om het procesbestand te ondertekenen, de code van het gebruikte account om het proces te starten, het ID van uitgevoerde bewerkingen om toegang tot het proces te krijgen, het type van de bron waarmee de bewerking is uitgevoerd (het proces, het bestand, het registerobject, de FindWindow-zoekfunctie), de naam van de bron waarmee de bewerking is uitgevoerd, de vlag voor het resultaat van de bewerking, de status van het bestand van het proces en de handtekening ervan volgens het KSN;
  • Informatie over de software van de Rechthebbende: volledige versie, type, taalversie en status van de gebruikte software, versies van de geïnstalleerde softwareonderdelen en de status van hun werking, gegevens over geïnstalleerde software-updates, de waarde van het TARGET-filter en de versie van het gebruikte protocol om verbinding te maken met de services van de Rechthebbende.
  • informatie over geïnstalleerde hardware in de Computer: het type, de naam, de naam van het model, de firmwareversie, de parameters van ingebouwde en aangesloten apparaten, het unieke ID van de Computer met de geïnstalleerde software;
  • informatie over de versies van het besturingssysteem en geïnstalleerde updates, de woordgrootte, de editie en de parameters van het uitvoermodus van het besturingssysteem, de versie en de controlesommen (MD5, SHA2-256, SHA1) van het kernelbestand van het besturingssysteem, en de datum en tijd van de opstart van het besturingssysteem;
  • uitvoerbare en niet-uitvoerbare bestanden, geheel of gedeeltelijk;
  • delen van het RAM-geheugen van de computer;
  • sectoren die betrokken zijn bij het opstarten van het besturingssysteem;
  • pakketten met gegevens over netwerkverkeer;
  • webpagina's en e-mails met verdachte en kwaadaardige objecten.
  • beschrijving van de klassen en instanties van klassen van de WMI-opslagplaats;
  • rapporten over toepassingsactiviteiten:
    • de naam, grootte en versie van het bestand dat wordt verzonden, de beschrijving en controlesommen (MD5, SHA2-256, SHA1), bestandsformaat-ID, de naam van de leverancier van het bestand, de naam van het product waartoe het bestand behoort, volledig pad naar het bestand op de computer, sjablooncode van het pad, de tijdstempels van het maken en wijzigen van het bestand;
    • begin- en einddatum/-tijd van de geldigheidsperiode van het certificaat (als het bestand een digitale handtekening heeft), de datum en het tijdstip van de handtekening, de naam van de uitgever van het certificaat, informatie over de certificaathouder, de vingerafdruk, de openbare sleutel van het certificaat en geschikte algoritmen en het serienummer van het certificaat;
    • de naam van het account van waaruit het proces wordt uitgevoerd;
    • controlesommen (MD5, SHA2-256, SHA1) van de naam van de computer waarop het proces wordt uitgevoerd;
    • titels van de procesvensters;
    • ID voor de antivirusdatabases, naam van de gedetecteerde dreiging volgens de classificatie van de Rechthebbende;
    • gegevens over de geïnstalleerde licentie, de ID, het type en de vervaldatum;
    • lokale tijd van de computer op het moment van informatieverstrekking;
    • namen van en paden naar bestanden die door het proces zijn geopend;
    • namen van registersleutels en hun waarden die door het proces zijn aangeroepen;
    • URL- en IP-adressen die het proces heeft gebruikt;
    • URL- en IP-adressen waarvan het actieve bestand werd gedownload.

Vond je dit artikel nuttig?
Wat kunnen we beter doen?
Bedankt voor je feedback! Je helpt ons verbeteren.
Bedankt voor je feedback! Je helpt ons verbeteren.