Apoio

Suporte técnico para soluções empresariais

Kaspersky Endpoint Security 12 for Windows

Fornecimento de dados

Fornecimento de dados ao utilizar a Kaspersky Security Network

Kaspersky Endpoint Security 12 for Windows
Нет результатов
Нет результатов
Ajuda online
Perguntas frequentes Requisitos do sistema Transferir Comprar Renovar Fórum Contactar suporte Ferramentas de recuperação Vídeos do produto

Fornecimento de dados ao utilizar a Kaspersky Security Network

14 de fevereiro de 2024

ID 165983

Guardar como PDF

O conjunto de dados que o Kaspersky Endpoint Security envia à Kaspersky depende do tipo de licença e das definições de utilização da Kaspersky Security Network.

Utilização da KSN sob licença num máximo de 4 computadores

Ao aceitar a Declaração de Recolha de Dados da KSN, aceita transmitir automaticamente a seguinte informação:

  • informação sobre as atualizações da configuração KSN: identificador da configuração ativa, identificador da configuração recebida, código de erro da atualização da configuração;
  • informação sobre os ficheiros e endereços URL a verificar: somas de verificação do ficheiro verificado (MD5, SHA2-256, SHA1) e padrões de ficheiro (MD5), o tamanho do padrão, tipo de ameaça detetada e o seu nome de acordo com a classificação do Titular do Direito, identificador para as bases de dados de antivírus, endereço URL para o qual está a ser solicitada a reputação, bem como o endereço URL da referência, o identificador do protocolo da ligação e o número da porta que está a ser utilizada;
  • ID da tarefa de verificação que detetou a ameaça;
  • informação sobre certificados digitais que estão a ser utilizados, necessária para verificar a sua autenticidade: as somas de verificação (SHA256) do certificado utilizado para assinar o objeto verificado e a chave pública do certificado;
  • identificador do componente do software que está a realizar a verificação;
  • IDs das bases de dados de antivírus e os registos nestas bases de dados de antivírus;
  • informação sobre a ativação do software no computador: cabeçalho assinado do pedido do serviço de ativação (identificador do centro de ativação regional, soma de verificação do código de ativação, soma de verificação do pedido, data de criação do pedido, identificador único do pedido, versão do pedido, estado da licença, data e hora de início/fim da validade do pedido, identificador único da licença, versão da licença), identificador do certificado utilizado para assinar o cabeçalho do pedido, soma de verificação (MD5) do ficheiro-chave;
  • informação sobre o Software do Titular do Direito: versão completa, tipo, versão do protocolo utilizado para estabelecer a ligação aos serviços da Kaspersky.

Uso da KSN sob licença em 5 ou mais computadores

Ao aceitar a Declaração de Recolha de Dados da KSN, aceita transmitir automaticamente a seguinte informação:

Se a caixa de verificação Kaspersky Security Network estiver selecionada e a caixa de verificação Ativar o modo KSN alargado for desmarcada, a aplicação envia as seguintes informações:

  • informação sobre as atualizações da configuração KSN: identificador da configuração ativa, identificador da configuração recebida, código de erro da atualização da configuração;
  • informação sobre os ficheiros e endereços URL a verificar: somas de verificação do ficheiro verificado (MD5, SHA2-256, SHA1) e padrões de ficheiro (MD5), o tamanho do padrão, tipo de ameaça detetada e o seu nome de acordo com a classificação do Titular do Direito, identificador para as bases de dados de antivírus, endereço URL para o qual está a ser solicitada a reputação, bem como o endereço URL da referência, o identificador do protocolo da ligação e o número da porta que está a ser utilizada;
  • ID da tarefa de verificação que detetou a ameaça;
  • informação sobre certificados digitais que estão a ser utilizados, necessária para verificar a sua autenticidade: as somas de verificação (SHA256) do certificado utilizado para assinar o objeto verificado e a chave pública do certificado;
  • identificador do componente do software que está a realizar a verificação;
  • IDs das bases de dados de antivírus e os registos nestas bases de dados de antivírus;
  • informação sobre a ativação do software no computador: cabeçalho assinado do pedido do serviço de ativação (identificador do centro de ativação regional, soma de verificação do código de ativação, soma de verificação do pedido, data de criação do pedido, identificador único do pedido, versão do pedido, estado da licença, data e hora de início/fim da validade do pedido, identificador único da licença, versão da licença), identificador do certificado utilizado para assinar o cabeçalho do pedido, soma de verificação (MD5) do ficheiro-chave;
  • informação sobre o Software do Titular do Direito: versão completa, tipo, versão do protocolo utilizado para estabelecer a ligação aos serviços da Kaspersky.

Se a caixa de verificação Ativar o modo KSN alargado estiver selecionada juntamente com a caixa de verificação Kaspersky Security Network, além da informação indicada acima, a aplicação enviará também as seguintes informações:

  • informação sobre os resultados da categorização dos recursos Web solicitados, que contém o URL processado e o endereço IP do anfitrião, a versão do componente do software que realizou a categorização, o método de categorização e o conjunto de categorias definidas para o recurso Web;
  • informação sobre o software instalado no computador: nome das aplicações do software e fornecedores de software, chaves de registo e os seus valores, informação sobre os ficheiros dos componentes do software instalado (somas de verificação(MD5, SHA2-256, SHA1), nome, caminho até ao ficheiro no computador, tamanho, versão e assinatura digital);
  • informação sobre o estado da proteção antivírus do Computador: as versões e os carimbos de data/hora de lançamento das bases de dados de antivírus utilizadas, a ID da tarefa e a ID do Software que executa a verificação;
  • informação sobre os ficheiros que estão a ser transferidos pelo Utilizador Final: os endereços URL e IP da transferência e as páginas de transferência, identificador do protocolo da transferência e o número da porta de ligação, o estado dos URL como sendo maliciosos ou não, atributos do ficheiro, tamanho e somas de verificação (MD5, SHA2-256, SHA1), informação sobre o processo que transferiu o ficheiro, (somas de verificação (MD5, SHA2-256, SHA1), data e hora de criação/compilação, estado da reprodução automática, atributos, nomes dos packers, informação sobre as assinaturas, sinalizador do ficheiro executável, identificador do formato e entropia), nome do ficheiro e o seu caminho no computador, a assinatura digital do ficheiro e o carimbo de data/hora da sua geração, o endereço URL onde ocorreu a deteção, o número do script na página que parece ser suspeito ou malicioso, informação sobre os pedidos HTTP gerados e a resposta aos mesmos;
  • informação sobre as aplicações em execução e os seus módulos: dados sobre os processos em execução no sistema (ID do processo (PID), nome do processo, informação sobre a conta onde foi iniciado o processo, a aplicação e comando que iniciaram o processo, o sinal do programa ou processo fiável, o caminho completo até aos ficheiros do processo e às suas somas de verificação (MD5, SHA2-256, SHA1), e a linha inicial do comando, nível de integridade do processo, uma descrição do produto ao qual pertence o processo (o nome do produto e informação sobre o editor), bem como certificados digitais que estão a ser utilizados e informação necessária para verificar a sua autenticidade ou informação sobre a ausência da assinatura digital de um ficheiro) e informação sobre os módulos carregados nos processos (os seus nomes, tamanhos, tipos, datas de criação, atributos, somas de verificação (MD5, SHA2-256, SHA1), os caminhos até eles no computador), informação do cabeçalho do ficheiro PE, nomes dos packers (se o ficheiro tiver sido empacotado);
  • informação sobre todos os objetos e atividades potencialmente maliciosos: nome do objeto detetado e caminho completo para o objeto no computador, somas de verificação de ficheiros processados (MD5, SHA2-256, SHA1), data e hora da deteção, nomes e tamanhos dos ficheiros infetados e respetivos caminhos, código do modelo do caminho, sinal de ficheiro executável, indicador de se o objeto é um contentor, nomes do programa de compressão (caso o ficheiro tenha sido comprimido), código do tipo de ficheiro, ID do formato do ficheiro, lista de ações realizadas pelo software malicioso e a decisão tomada pelo software e utilizador em resposta, ID das bases de dados de antivírus e dos registros nesses bases de dados de antivírus utilizadas para tomar a decisão, indicador de um objeto potencialmente malicioso, o nome da ameaça detetada de acordo com a classificação do titular dos direitos, o nível de perigo, o estado e método de deteção, motivo para inclusão no contexto analisado e número de sequência do ficheiro no contexto, somas de verificação (MD5, SHA2-256, SHA1), o nome e atributos do ficheiro executável da aplicação através da qual a mensagem ou ligação infetada foi transmitida, endereços IP despersonalizados (IPv4 e IPv6) do anfitrião do objeto bloqueado, entropia do ficheiro, indicador de execução automática do ficheiro, hora a que o ficheiro foi detetado pela primeira vez no sistema, o número de vezes que o ficheiro foi executado desde o envio das últimas estatísticas, informação sobre o nome, somas de verificação (MD5, SHA2-256, SHA1) e tamanho do cliente de e-mail através do qual o objeto malicioso foi recebido, ID da tarefa do software que realizou a verificação, indicador de se a reputação ou assinatura do ficheiro foi verificada, resultado do processamento do ficheiro, soma de verificação (MD5) do padrão recolhido para o objeto, o tamanho do padrão em bytes e as especificações técnicas das tecnologias de deteção aplicadas;
  • informação sobre os objetos verificados: o grupo fiável atribuído no qual e/ou a partir do qual o ficheiro foi colocado, o motivo pelo qual o ficheiro foi colocado nessa categoria, identificador da categoria, informação sobre a origem das categorias e a versão da base de dados da categoria, o sinalizador do certificado fiável do ficheiro, nome do fornecedor do ficheiro, versão do ficheiro, nome e versão da aplicação do software que inclui o ficheiro;
  • informação sobre vulnerabilidades detetadas: a ID da vulnerabilidade na base de dados de vulnerabilidades, a classe de perigo da vulnerabilidade;
  • informação sobre a emulação do ficheiro executável: tamanho do ficheiro e as suas somas de verificação (MD5, SHA2-256, SHA1), a versão do componente de emulação, profundidade de emulação, um conjunto de propriedades de blocos lógicos e funções nos blocos lógicos obtidas durante a emulação, dados dos cabeçalhos PE do ficheiro executável;
  • os endereços IP do computador atacante (IPv4 e IPv6), o número da porta no computador à qual está direcionado o ataque de rede, identificador do protocolo do pacote IP que contém o ataque, o alvo do ataque (nome da organização, site), sinalizador para a reação ao ataque, o peso do ataque, nível de fiabilidade;
  • informação sobre ataques associados a recursos da rede falsificados, os endereços DNS e IP (IPv4 ou IPv6) de sites visitados.
  • Endereços DNS e IP (IPv4 ou IPv6) do recurso da Internet solicitado, informação sobre o ficheiro e/ou cliente Web que acede ao recurso da Internet, nome, tamanho e somas de verificação (MD5, SHA2-256 e SHA1) do ficheiro, caminho completo do ficheiro e código do modelo do ficheiro, resultado da verificação da assinatura digital e respetivo estado na KSN;
  • informação sobre a reversão de ações de software malicioso: dados sobre o ficheiro cuja atividade foi revertida [nome do ficheiro, caminho completo do ficheiro, respetivo tamanho e somas de verificação (MD5, SHA2-256 e SHA1)], dados sobre ações bem e malsucedidas para eliminar, mudar o nome e copiar ficheiros e restaurar os valores no registo (nomes das chaves de registo e respetivos valores), e informação sobre os ficheiros do sistema modificados pelo software malicioso, antes e depois da reversão;
  • informação sobre as exclusões definidas para o componente do Controlo de Anomalias Adaptativo: a ID e o estado da regra que foi acionada, a ação realizada pelo software quando a regra foi acionada, o tipo de conta de utilizador ao abrigo da qual o processo ou thread realiza a atividade suspeita, informação sobre o processo que realizou ou foi sujeito à atividade suspeita (ID do script ou nome do ficheiro do processo, caminho completo para o ficheiro do processo, código do modelo do caminho, somas de verificação (MD5, SHA2-256, SHA1) do ficheiro do processo); informação sobre o objeto que realizou as ações suspeitas bem como sobre o objeto que foi sujeito às ações suspeitas (nome da chave de registo ou nome do ficheiro, caminho completo até ao ficheiro, código do modelo do caminho e as somas de verificação (MD5, SHA2-256, SHA1) do ficheiro).
  • informação sobre módulos de software carregados: nome, tamanho e somas de verificação (MD5, SHA2-256, SHA1) do ficheiro do módulo, caminho completo do mesmo e o código do modelo do caminho, definições da assinatura digital do ficheiro do módulo, data e hora da criação da assinatura, nome do sujeito e organização que assinaram o ficheiro do módulo, ID do processo em que o módulo foi carregado, nome do fornecedor do módulo e o número da sequência do módulo na fila para carregamento;
  • informação sobre a qualidade da interação do software com os serviços KSN: data e hora de início e fim do período no qual foram geradas as estatísticas, informação sobre a qualidade dos pedidos e ligação a cada um dos serviços KSN utilizados (ID do serviço KSN, número de pedidos com êxito, número de pedidos com respostas da memória intermédia, número de pedidos sem êxito (problemas da rede, KSN desativado nas definições do software, encaminhamento incorreto), propagação do tempo dos pedidos com êxito, propagação do tempo dos pedidos cancelados, propagação do tempo dos pedidos com limite de tempo excedido, número de ligações a KSN retiradas da memória intermédia, número de ligações com êxito ao KSN, número de ligações sem êxito ao KSN, número de transações com êxito; Número de transações sem êxito, propagação do tempo das ligações com êxito ao KSN, propagação do tempo das ligações sem êxito ao KSN, propagação do tempo das transações com êxito, propagação do tempo as transações sem êxito);
  • se for detetado um objeto potencialmente malicioso, a informação é fornecida sobre os dados na memória dos processos: elementos da hierarquia do objeto do sistema (ObjectManager), dados na memória UEFI BIOS, nomes das chaves de registo e os seus valores;
  • informação sobre eventos nos registos de sistemas: data e hora do evento, nome do início de sessão em que o evento foi detetado, tipo e categoria do evento, nome da origem do evento e respetiva descrição;
  • informação sobre ligações de rede: versão e somas de verificação (MD5, SHA2-256, SHA1) do ficheiro a partir do qual foi iniciado um processo que abriu a porta, caminho do ficheiro do processo e respetiva assinatura digital, endereços IP local e remoto, números das portas de ligação local e remota, estado da ligação e data e hora de abertura da porta;
  • informação sobre a data de instalação e ativação do software no computador: a ID do parceiro que vendeu a licença, o número de série da licença, o cabeçalho assinado do pedido do serviço de ativação (a ID de um centro de ativação regional, a soma de verificação do código de ativação, a soma de verificação do pedido, a data de criação do pedido, a ID única do pedido, a versão do pedido, o estado da licença, a data e hora de início/fim do pedido, a ID única da licença, a versão da licença), a ID do certificado utilizado para assinar o cabeçalho do pedido, a soma de verificação (MD5) do ficheiro de chave, a ID única de instalação do software no computador, o tipo e ID da aplicação que é atualizada, a ID da tarefa de atualização;
  • informação sobre o conjunto de todas as atualizações instaladas e o conjunto das atualizações mais recentemente instaladas/removidas, o tipo de evento que originou o envio da informação da atualização, duração desde a instalação da última atualização, informação sobre as bases de dados de antivírus atualmente instaladas;
  • informação sobre o funcionamento do software no computador: dados sobre a utilização da CPU, dados sobre a utilização da memória (bytes privados, bloco não paginado, bloco paginado), número de threads ativos no processo do software e de threads pendentes, e a duração do funcionamento do software antes do erro;
  • número de descargas do software e do sistema (BSOD) desde que o software foi instalado e desde a última atualização, o identificador e a versão do módulo do software em que a anomalia ocorreu, a pilha de memória no processo do software e informação sobre as bases de dados de antivírus quando a anomalia ocorreu;
  • dados na descarga do sistema (BSOD): um sinalizador a indicar a ocorrência do BSOD o computador, o nome do controlador que causou o BSOD, o endereço e pilha de memória no controlador, um sinalizador a indicar a duração da sessão OS antes da ocorrência do BSOD, pilha de memória do controlador que teve a anomalia, tipo de descarga de memória armazenado, sinalizador da sessão OS antes do BSOD ter durado mais de 10 minutos, identificador único da descarga, carimbo de data e hora do BSOD;
  • informação sobre erros ou problemas de desempenho que tenham ocorrido durante a operação dos componentes do software: a ID do estado do software, tipo de erro, código e causa bem como a hora à qual o erro ocorreu, as IDs do componente, módulo e processo do produto no qual o erro ocorreu, a ID da tarefa ou categoria da atualização durante a qual o erro ocorreu, registos (logs) de controladores utilizados pelo software (código do erro, nome do módulo, nome do ficheiro fonte e a linha na qual o erro ocorreu);
  • informação sobre as atualizações das bases de dados de antivírus e componentes do software: o nome, data e hora dos ficheiros de índice durante a última atualização e que estão a ser transferidos durante a atual atualização;
  • informação sobre a terminação anómala da operação do software: o carimbo de data e hora da descarga, o seu tipo, o tipo de evento que causou a terminação anómala da operação do software (desativação inesperada, anomalia de uma aplicação de terceiros), data e hora da desativação inesperada;
  • informação sobre a compatibilidade dos controladores do software com hardware e software: informação sobre propriedades do SO que restringem a funcionalidade dos componentes do software (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), tipo de software de transferência instalado (UEFI, BIOS), identificador do Módulo da Plataforma fiável (TPM), versão de especificação do TPM, informação sobre a CPU instalada no computador, modo operacional e parâmetros do Code Integrity e Device Guard, modo operacional dos controladores e motivo da utilização do modo atual, versão dos controladores do software, estado do suporte da virtualização do software e hardware do computador;
  • informação sobre aplicações de terceiros que causaram o erro: nome, versão e localização, código do erro e informação sobre o mesmo proveniente do registo de aplicações do sistema, endereço do erro e pilha de memória da aplicação de terceiros, sinalizador a indicar a ocorrência do erro no componente do software, período de tempo em que a aplicação de terceiros funcionou antes do erro, somas de verificação (MD5, SHA2-256, SHA1) da imagem do processo da aplicação em que o erro ocorreu, caminho para a imagem do processo da aplicação e código do modelo do caminho, informação proveniente do registo do sistema com uma descrição do erro associado à aplicação, informação sobre o módulo da aplicação em que o erro ocorreu (identificador da exceção, endereço da memória da anomalia como um desvio no módulo da aplicação, nome e versão do módulo, identificador da anomalia da aplicação no plug-in do Titular do Direito e pilha de memória da anomalia, duração da sessão da aplicação antes da anomalia);
  • versão do componente atualizador do software, número de anomalias do componente atualizador enquanto estava a executar as tarefas de atualização ao longo da vida útil do componente, ID do tipo de tarefa de atualização, número de tentativas falhas do componente atualizador para completar as tarefas de atualização;
  • informação sobre a operação dos componentes de monitorização do sistema do software: versões completas dos componentes, data e hora às quais os componentes foram iniciados, código do evento que transbordou da fila de eventos e o número de tais eventos, o número total de transbordos da fila de eventos, informação sobre o ficheiro do processo que iniciou o evento (nome do ficheiro e respetivo caminho no computador, código do modelo do caminho, somas de verificação (MD5, SHA2-256, SHA1) do processo associado ao ficheiro, versão do ficheiro), identificador da interceção do evento que ocorreu, a versão completa do filtro de interceção, identificador do tipo de evento intercetado, tamanho da fila de eventos e o número de eventos entre o primeiro evento na fila e o evento atual, número de eventos em atraso na fila, informação sobre o ficheiro do processo do iniciador do evento atual (nome do ficheiro e o seu caminho no computador, código modelo do caminho do ficheiro, somas de verificação (MD5, SHA2-256, SHA1) do processo associado ao ficheiro), duração do processamento do evento, duração máxima do processamento do evento, probabilidade do envio de estatísticas, informação sobre eventos do SO para o qual foi excedido o limite de tempo de processamento (data e hora do evento, número de inicializações repetidas de bases de dados de antivírus, data e hora da última inicialização repetida das bases de dados de antivírus depois da sua atualização, tempo de atraso do processamento do evento para cada componente de monitorização do sistema, número de eventos na fila, número de eventos processados, número de eventos atrasados do tipo atual, tempo de atraso total para os eventos do tipo atual, tempo de atraso total para todos os eventos);
  • informação da ferramenta de rastreio de eventos do Windows (Event Tracing for Windows, ETW) na eventualidade de problemas de desempenho do software, fornecedores de eventos de SysConfig / SysConfigEx / WinSATAssessment da Microsoft: informação sobre o computador (modelo, fabricante, fator de forma do invólucro, versão), informação sobre a métrica de desempenho do Windows (WinSAT assessments, índice de desempenho do Windows), nome do domínio, informação sobre os processadores físicos e lógicos (número de processadores físicos e lógicos, fabricante, modelo, nível de grau, número de núcleos, frequência do relógio, CPUID, características da memória intermédia, características do processador lógico, indicadores dos modos suportados e instruções), informação sobre módulos RAM (tipo, fator de forma, fabricante, modelo, capacidade, granularidade da alocação de memória), informação sobre interfaces de rede (endereços IP e MAC, nome, descrição, configuração das interfaces de rede, decomposição do número e tamanho dos pacotes de rede por tipo, velocidade da troca de rede, divisão do número de erros da rede por tipo), configuração do controlador IDE, endereços IP dos servidores DNS, informação sobre a placa de vídeo (modelo, descrição, fabricante, compatibilidade, capacidade de memória vídeo, permissão do ecrã, número de bits por pixel, versão da BIOS), informação sobre dispositivos plug-and-play (nome, descrição, identificador do dispositivo [PnP, ACPI], informação sobre discos e dispositivos de armazenamento (número de discos ou unidades flash, fabricante, modelo, capacidade do disco, número de cilindros, número de faixas por cilindro, número de setores por faixa, capacidade do setor, características da memória intermédia, número sequencial, número de partições, configuração do controlador SCSI), informação sobre discos lógicos (número sequencial, capacidade da partição, capacidade do volume, letra do volume, tipo de partição, tipo de sistema de ficheiros, número de clusters, tamanho do cluster, número de setores por cluster, número de clusters vazios e ocupados, letra do volume de arranque, endereço de desvio da partição em relação ao arranque do disco), informação sobre a motherboard da BIOS (fabricante, data de lançamento, versão), informação sobre a motherboard (fabricante, modelo, tipo), informação sobre a memória física (capacidade partilhada e livre), informação sobre serviços do sistema operativo (nome, descrição, estado, sinalizador), informação sobre os processos [nome e PIDI], parâmetros de consumo de energia para o computador, configuração do controlador de interrupção, caminho para as pastas do sistema Windows (o Windows e System32), informação sobre o SO (versão, compilação, data de lançamento, nome, tipo, data de instalação), tamanho do ficheiro da página, informação sobre os monitores (número, fabricante, permissão do ecrã, capacidade de resolução, tipo), informação sobre o controlador da placa de vídeo (fabricante, data de lançamento, versão);
  • informação de ETW, fornecedores de eventos de EventTrace / EventMetadata da Microsoft: informação sobre a sequência dos eventos do sistema (tipo, hora, data, fuso horário), metadados sobre o ficheiro com resultados de rastreio (nome, estrutura, parâmetros do rastreio, divisão do número de operações de rastreio por tipo), informação sobre o SO (nome, tipo, versão, compilação, data de lançamento, hora de início);
  • informação de ETW, fornecedores de eventos do Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power da Microsoft: informação sobre os processos iniciados e concluídos (nome, PID, parâmetros de arranque, linha de comando, código de retorno, parâmetros de gestão energética, hora de início e conclusão, tipo de token de acesso, SID, SessionID, número de descritores instalados), informação sobre alterações nas prioridades do thread (TID, prioridade, hora), informação sobre operações do disco do processo (tipo, hora, capacidade, número), histórico de alterações à estrutura e capacidade dos processos de memória utilizáveis;
  • informação de ETW, fornecedores de eventos de StackWalk / Perfinfo da Microsoft: informação sobre os contadores do desempenho (o desempenho das secções do código individual, sequência de chamadas de função, PID, TID, endereços e atributos de ISRs e DPCs);
  • informação do ETW, fornecedor de eventos de KernelTraceControl-ImageID da Microsoft: informação sobre ficheiros executáveis e bibliotecas dinâmicas (nome, tamanho da imagem, caminho completo), informação sobre ficheiros PDB (nome, identificador), dados do recurso VERSIONINFO para ficheiros executáveis (nome, descrição, criador, localização, versão e identificador da aplicação, versão e identificador do ficheiro);
  • informação de ETW, fornecedores de eventos de FileIo / DiskIo / Image / Windows Kernel Disk da Microsoft: informação sobre as operações de ficheiros e do disco (tipo, capacidade, hora de início, hora de conclusão, duração, estado de conclusão, PID, TID, endereços da chamada da função do controlador, I/O Request Packet (IRP), atributos do objeto do ficheiro do Windows), informação sobre os ficheiros envolvidos nas operações de ficheiros e do disco (nome, versão, tamanho, caminho completo, atributos, desvio, soma de verificação da imagem, opções de abertura e acesso);
  • informação de ETW, fornecedor de eventos de PageFault da Microsoft: informação sobre erros de acesso à página de memória (endereço, hora, capacidade, PID, TID, atributos do objeto do ficheiro do Windows, parâmetros de alocação de memória);
  • informação de ETW, fornecedor de eventos de Thread da Microsoft: informação sobre a criação/conclusão do thread, informação sobre os threads iniciados (PID, TID, tamanho da pilha, prioridades e alocação dos recursos CPU, recursos I/O, páginas de memória entre threads, endereço da pilha, endereço da função de inicialização, endereço de Thread Environment Block (TEB), etiqueta do serviço do Windows);
  • informação de ETW, fornecedor de eventos de Microsoft Windows Kernel Memory da Microsoft: informação sobre as operações de gestão da memória (estado de conclusão, hora, quantidade, PID), estrutura de alocação da memória (tipo, capacidade, SessionID, PID);
  • informação sobre a operação do software na eventualidade de problemas de desempenho: identificador de instalação do software, tipo e valor da queda do desempenho, informação sobre a sequência de eventos no software (hora, fuso horário, tipo, estado de conclusão, identificador do componente do software, identificador do cenário operacional do software, TID, PID, endereços da chamada da função), informação sobre as ligações de rede a verificar (URL, direção da ligação, tamanho do pacote de rede), informação sobre os ficheiros PDB (nome, identificador, tamanho da imagem do ficheiro executável), informação sobre ficheiros a verificar (nome, caminho completo, soma de verificação), parâmetros de monitorização do desempenho do software;
  • informação sobre o último reinício malsucedido do SO: o número de reinícios malsucedidos desde a instalação do SO, dados sobre a descarga do sistema (código de erro e parâmetros, nome, versão e soma de verificação (CRC32) do módulo que provocou o erro no funcionamento do SO, endereço do erro como desvio no módulo e somas de verificação (MD5, SHA2-256, SHA1) da descarga do sistema);
  • informação para verificar a autenticidade dos certificados digitais utilizados para assinar os ficheiros: a impressão digital do certificado, o algoritmo da soma de verificação, a chave pública e o número de série do certificado, o nome do emissor do certificado, o resultado da validação do certificado e o identificador da base de dados do certificado;
  • informação sobre o processo que está a executar o ataque contra a autodefesa do software: nome e tamanho do ficheiro do processo, respetivas somas de verificação (MD5, SHA2-256, SHA1), caminho completo do ficheiro do processo e código do modelo do caminho do ficheiro, carimbos de data e hora de criação/compilação, sinalizador do ficheiro executável, atributos do ficheiro do processo, informação sobre o certificado utilizado para assinar o ficheiro do processo, código da conta utilizada para iniciar o processo, ID das operações realizadas para aceder ao processo, tipo de recurso com o qual a operação foi realizada (processo, ficheiro, objeto de registo, função de pesquisa FindWindow), nome do recurso com o qual a operação foi realizada, sinalizador que indica o sucesso da operação, o estado do ficheiro do processo e a respetiva assinatura na KSN;
  • informações sobre o software do Titular do Direito: versão completa, tipo, localização e estado de operação do software utilizado, versões dos componentes de software instalados e o seu estado de operação, informações sobre as atualizações de software instaladas, o valor do filtro TARGET, a versão do protocolo utilizado para a ligação aos serviços do Titular do Direito;
  • informação sobre o hardware instalado no computador: tipo, nome, o nome do modelo, versão de firmware, parâmetros de dispositivos integrados e ligados, o identificador único do computador com o software instalado;
  • informações sobre as versões do sistema operativo e atualizações instaladas, o tamanho da palavra, edição e parâmetros do modo de execução do SO, versão e somas de verificação (MD5, SHA2-256, SHA1) do ficheiro kernel do SO e data e hora do arranque do SO;
  • ficheiros executáveis e não executáveis, total ou parcialmente;
  • partes da RAM do Computador;
  • setores envolvidos no processo de arranque do SO;
  • pacotes de dados de tráfego de rede;
  • páginas da Internet e e-mails que contenham objetos suspeitos e maliciosos;
  • descrições das classes e das ocorrências das classes do repositório WMI;
  • relatórios de atividade das aplicações:
    • o nome, o tamanho e a versão do ficheiro enviado, a respetiva descrição e as somas de verificação (MD5, SHA2-256, SHA1), o identificador do formato do ficheiro, o nome do fornecedor do ficheiro, o nome do produto ao qual pertence o ficheiro, o caminho completo no Computador, o código do modelo do caminho, os carimbos de data/hora da criação e modificação do ficheiro;
    • a data e hora de início e fim do período de validade do certificado (se o ficheiro tiver uma assinatura digital), a data e hora da assinatura, o nome do emissor do certificado, as informações relativas ao titular do certificado, a impressão digital, a chave pública do certificado e os algoritmos adequados, bem como o número de série do certificado;
    • o nome da conta a partir da qual o processo está a ser executado;
    • as somas de verificação (MD5, SHA2-256, SHA1) do nome do Computador no qual o processo está a ser executado;
    • os títulos das janelas do processo;
    • o identificador para as bases de dados de antivírus, o nome da ameaça detetada de acordo com a classificação do Titular do Direito;
    • os dados sobre a licença instalada, o respetivo identificador, tipo e data de validade;
    • hora local do Computador no momento do fornecimento de informações;
    • nomes e caminhos dos ficheiros que foram acedidos pelo processo;
    • os nomes das chaves de registo e os respetivos valores acedidos pelo processo;
    • os endereços URL e IP acedidos pelo processo;
    • os endereços URL e IP a partir dos quais o ficheiro em execução foi transferido.

Achou este artigo útil?
O que podemos melhorar?
Agradecemos o seu comentário! Está a ajudar-nos a melhorar.
Agradecemos o seu comentário! Está a ajudar-nos a melhorar.