Furnizarea datelor când folosiți Kaspersky Security Network

Setul de date pe care Kaspersky Endpoint Security îl trimite către Kaspersky depinde de tipul de licență și de setările de utilizare a Kaspersky Security Network.

Utilizarea KSN sub licență pe cel mult 4 computere

Acceptând Kaspersky Security Network Statement, ești de acord să transmiți automat informațiile următoare:

• informații despre actualizările de configurare KSN: identificatorul configurației active, identificatorul configurației primite, codul de eroare al actualizării configurației;
• informații despre fișiere și adrese URL care trebuie scanate: sumele de verificare ale fișierului scanat (MD5, SHA2-256, SHA1) și modelele fișierelor (MD5), dimensiunea modelului, tipul amenințării detectate și numele acestea după clasificarea Titularului de drepturi, identificatorul bazelor de date de viruși, adresa URL pentru care este solicitată reputația, dar și adresa URL de referință, identificatorul protocolului conexiunii și numărul portului utilizat;
• ID-ul activității de scanare care a detectat amenințarea;
• informații despre certificatele digitale utilizate de care este nevoie pentru a le verifica autenticitatea: sumele de verificare (SHA256) ale certificatului utilizat pentru a semna obiectul scanat și cheia publică a certificatului;
• identificatorul componentei software care efectuează scanarea;
• ID-urile bazelor de date antivirus și ale înregistrărilor din aceste baze de date antivirus;
• informații despre activarea software-ului pe computer: antetul semnat al tichetului de la serviciul de activare (identificatorul centrului de activare regional, suma de verificare a codului de activare, suma de verificare a tichetului, data creării tichetului, identificatorul unic al tichetului, versiunea tichetului, starea licenței, data de început/sfârșit și ora validării tichetului, identificatorul unic al licenței, versiunea licenței), identificatorul certificatului utilizat pentru semnarea antetului tichetului, suma de verificare (MD5) a fișierului cheie;
• informații despre software-ul titularului de drepturi: versiunea completă, tipul, versiunea de protocol utilizate pentru conectarea la serviciile Kaspersky.

Utilizarea KSN sub licență pe 5 sau mai multe computere

Acceptând Kaspersky Security Network Statement, ești de acord să transmiți automat informațiile următoare:

În cazul în care caseta de selectare Kaspersky Security Network este bifată și caseta de selectare Activare mod KSN extins este debifată, aplicația va transmite informațiile următoare:

• informații despre actualizările de configurare KSN: identificatorul configurației active, identificatorul configurației primite, codul de eroare al actualizării configurației;
• informații despre fișiere și adrese URL care trebuie scanate: sumele de verificare ale fișierului scanat (MD5, SHA2-256, SHA1) și modelele fișierelor (MD5), dimensiunea modelului, tipul amenințării detectate și numele acestea după clasificarea Titularului de drepturi, identificatorul bazelor de date de viruși, adresa URL pentru care este solicitată reputația, dar și adresa URL de referință, identificatorul protocolului conexiunii și numărul portului utilizat;
• ID-ul activității de scanare care a detectat amenințarea;
• informații despre certificatele digitale utilizate de care este nevoie pentru a le verifica autenticitatea: sumele de verificare (SHA256) ale certificatului utilizat pentru a semna obiectul scanat și cheia publică a certificatului;
• identificatorul componentei software care efectuează scanarea;
• ID-urile bazelor de date antivirus și ale înregistrărilor din aceste baze de date antivirus;
• informații despre activarea software-ului pe computer: antetul semnat al tichetului de la serviciul de activare (identificatorul centrului de activare regional, suma de verificare a codului de activare, suma de verificare a tichetului, data creării tichetului, identificatorul unic al tichetului, versiunea tichetului, starea licenței, data de început/sfârșit și ora validării tichetului, identificatorul unic al licenței, versiunea licenței), identificatorul certificatului utilizat pentru semnarea antetului tichetului, suma de verificare (MD5) a fișierului cheie;
• informații despre software-ul titularului de drepturi: versiunea completă, tipul, versiunea de protocol utilizate pentru conectarea la serviciile Kaspersky.

În cazul în care este bifată atât caseta de selectare Activare mod KSN extins, cât și caseta de selectare Kaspersky Security Network, în plus față de informațiile de mai sus, aplicația mai transmite și informațiile următoare:

• informații despre rezultatele stabilirii categoriilor resurselor web solicitate, care conțin adresele URL și IP procesate ale gazdei, versiunea componentei Software care a efectuat ordonarea pe categorii, metoda de ordonare pe categorii și seturile de categorii definite pentru resursele web;
• informații despre software-ul instalat pe computer: numele aplicațiilor software și ale furnizorilor de software, ale cheilor de registru și valorile acestora, informații despre fișierele componentelor software instalate (sumele de verificare (MD5, SHA2-256, SHA1), numele, calea către fișierul de pe computer, dimensiunea, versiunea și semnătura digitală);
• informații despre starea de protecție antivirus a computerului: versiunile și marcajele temporale ale lansării bazelor de date antivirus utilizate, ID-ul sarcinii și ID-ul software-ului care efectuează scanarea;
• informații despre fișierele descărcate de către Utilizatorul final: adresele URL și IP ale descărcării și paginile descărcate, identificatorul protocolului de descărcare și numărul portului conexiunii, starea adreselor URL ca fiind dăunătoare sau nu, atributele fișierelor, dimensiunea și sumele de verificare (MD5, SHA2-256, SHA1), informații despre procesul care a descărcat fișierul (sumele de verificare (MD5, SHA2-256, SHA1), ora și data creării/versiunii, starea redării automate, atributele, numele aplicațiilor de arhivare, informații privind semnăturile, semnalizatorul fișierelor executabile, identificatorul formatului și entropia), numele fișierului și calea acestuia pe computer, semnătura digitală a fișierului și marcajul de timp al generării sale, adresa URL la care a avut loc detectarea, numărul scriptului în pagina care pare suspectă sau dăunătoare, informații despre solicitările HTTP generate și răspunsul la acestea;
• informații referitoare la aplicațiile aflate în execuție și modulele acestora: date referitoare la procesele care sunt executate în sistem (ID proces (PID), numele procesului, informații despre contul care a inițiat procesul, aplicația și comanda care au inițiat procesul, simbolul programului sau procesului de încredere, calea completă către fișierele procesului și sumele lor de verificare (MD5, SHA2-256, SHA1) și linia de comandă inițială, nivelul de integritate a procesului, o descriere a produsului căruia aparține procesul (numele produsului și informații despre editor), precum și certificatele digitale utilizate și informațiile necesare pentru verificarea autenticității acestora sau informații despre absența unei semnături digitale a unui fișier), precum și informații despre modulele încărcate în procese (numele acestora, dimensiunile, tipurile, datele de creare, atributele, sumele de verificare (MD5, SHA2-256, SHA1), căile către acestea), informații despre antetul fișierului PE, numele utilitarelor de împachetare (dacă fișierul a fost împachetat);
• informații despre toate obiectele și activitățile potențial periculoase: numele obiectului detectat și calea completă spre obiectul respectiv pe computer, sumele de verificare ale fișierelor procesate (MD5, SHA2-256, SHA1), data și ora detectării, numele și dimensiunile fișierelor infectate și căile spre acestea, codul șablonului căii, semnalizatorul fișierului executabil, specificația care indică dacă obiectul este un container, numele arhivatorului (în cazul în care fișierul a fost arhivat), codul tipului fișierului, ID-ul formatului fișierului, lista acțiunilor efectuate de programul malware și decizia luată de software și de utilizator ca răspuns la aceste acțiuni, ID-urile bazelor de date antivirus și ale înregistrărilor din aceste baze de date antivirus care au fost utilizate pentru a lua decizia, indicatorul unui obiect potențial rău intenționat, numele amenințării detectate în funcție de clasificarea proprietarului drepturilor asupra software-ului, nivelul de pericol, starea detectării și metoda de detectare, motivul includerii în contextul analizat și numărul de ordine al fișierului în context, sumele de verificare (MD5, SHA2-256, SHA1), numele și atributele fișierului executabil al aplicației prin care a fost transmis mesajul sau linkul infectat, adresele IP (IPv4 și IPv6) depersonalizate ale gazdei obiectului blocat, entropia fișierului, indicatorul de executare automată al fișierului, momentul în care fișierul a fost detectat pentru prima dată în sistem, numărul de executări ale fișierului de la trimiterea ultimelor statistici, informații despre nume, sumele de verificare (MD5, SHA2-256, SHA1) și dimensiunea clientului de e-mail prin care a fost primit obiectul periculos, ID-ul activității software care a efectuat scanarea, specificația care indică dacă s-a verificat reputația sau semnătura fișierului, rezultatul procesării fișierului, suma de verificare (MD5) a modelului colectat pentru obiect, dimensiunea modelului în octeți și specificațiile tehnice ale tehnologiilor de detectare aplicate;
• informații despre obiectele scanate: grupul de încredere alocat către care și/sau de la care a fost plasat fișierul, motivul pentru care fișierul a fost plasat în categoria respectivă, identificatorul categoriei, informații despre sursa categoriilor și versiunea bazei de date corespunzătoare categoriei, permisiunea de certificat de încredere a fișierului, numele furnizorului fișierului, versiunea fișierului, numele și versiunea software-ului care include fișierul;
• informații despre vulnerabilitățile detectate: ID-ul acestora din baza de date pentru vulnerabilității, clasa de pericol corespunzătoare vulnerabilității;
• informații despre emularea fișierului executabil: dimensiunea fișierului și sumele de verificare ale acestuia (MD5, SHA2-256, SHA1), versiunea componentei de emulare, profunzimea emulării, o gamă de proprietăți de seturi logice și funcții în cadrul seturilor logice obținute în timpul emulării, date de la antetele PE ale fișierului executabil;
• adresele IP ale computerului atacator (IPv4 și IPv6), numărul de porturi de pe computer către care este îndreptat atacul, identificatorul protocolului pachetului IP care conține atacul, ținta atacului (numele, site-ul web al organizației), permisiunea pentru reacția la atac, seriozitatea atacului, nivelul de încredere;
• informații despre atacurile asociate cu resursele falsificate ale rețelei, adresele DNS și IP (IPv4 și IPv6) ale site-urilor web vizitate;
• adresele DNS și IP (IPv4 sau IPv6) ale resurselor web solicitate, informații despre fișier și clientul web care accesează resursa web, numele, dimensiunea și sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului, calea completă către fișier și codul șablonului căii, rezultatul verificării semnăturii digitale și starea acestuia în KSN;
• informații despre restaurarea acțiunilor programelor malware: datele din fișierul a cărui activitate a fost restaurată (numele fișierului, calea completă către fișier, dimensiunea și sumele de verificare ale acestuia (MD5, SHA2-256, SHA1)), datele despre acțiunile reușite sau nereușite de ștergere, de redenumire și copiere a fișierelor și de restaurare a valorilor în registru (numele cheilor de registru și valorile acestora) și informațiile despre fișierele de sistem modificate de malware, înainte și după restaurare;
• informații despre setul de excluderi pentru componenta Control adaptiv al anomaliilor: ID-ul stării pentru regula care a fost declanșată, acțiunea efectuată de software când a fost declanșată regula, tipul contului de utilizator sub care procesul sau șirul efectuează activitatea suspectă, informații despre procesul care a fost efectuat sau supus activității suspecte (ID-ul scriptului sau numele fișierului de proces, calea completă a fișierului de proces, codul șablonului căii, sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului de proces); informații despre obiectul care a efectuat acțiunile suspecte, precum și despre obiectul care a fost supus acțiunilor suspecte (numele cheii de registru sau numele fișierului, calea completă a fișierului, codul șablonului căii și sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului).
• informații despre modulele software încărcate: numele, dimensiunea și sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului modulului, calea completă către acesta și codul șablonului căii, setările semnăturii digitale a fișierului modulului, data și ora creării semnăturii, numele subiectului și al organizației care a semnat fișierul modulului, ID-ul procesului în care s-a încărcat modulul, numele furnizorului modulului și numărul de ordine al modulului în coada de încărcare;
• informații despre calitatea interacțiunii software-ului cu serviciile KSN: data și ora începerii și terminării perioadei în care au fost generate statisticile, informații despre calitatea solicitărilor și a conexiunii la fiecare dintre serviciile KSN utilizate (ID-ul serviciului KSN, numărul de solicitări reușite, numărul de solicitări cu răspunsuri din memoria cache, numărul de solicitări nereușite (probleme de rețea, dezactivarea KSN din setările software-ului, rutarea incorectă), intervalul de timp între solicitările reușite, intervalul de timp între solicitările anulate, intervalul de timp între solicitările cu limită de timp depășită, numărul de conexiuni la KSN preluate din memoria cache, numărul de conexiuni reușite la KSN, numărul de conexiuni nereușite la KSN, numărul de tranzacții reușite, numărul de tranzacții nereușite, intervalul de timp între conexiunile reușite la KSN, intervalul de timp între conexiunile nereușite la KSN, intervalul de timp între tranzacțiile reușite, intervalul de timp între tranzacțiile nereușite);
• dacă se detectează un potențial obiect rău intenționat, se vor furniza informații legate de datele din memoria proceselor: elemente ale ierarhiei obiectelor din sistem (ObjectManager), date din memoria BIOS UEFI, nume ale cheilor de registru și valorile acestora;
• informații despre evenimente din jurnalele sistemelor: marcajul temporal al evenimentului, numele jurnalului în care a fost găsit evenimentul, tipul și categoria evenimentului, numele sursei evenimentului și descrierea evenimentului;
• informații despre conexiunile la rețea: versiunea și sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului din care a fost inițiat procesul care a deschis portul, calea către fișierul procesului și semnătura digitală a acestui fișier, adresele IP locale și la distanță, numerele porturilor de conexiune locale și la distanță, starea conexiunii, marcajul temporal aferent deschiderii portului;
• informații despre data instalării și activării software-ului pe computer: ID-ul partenerului care a vândut licența, numărul de serie al licenței, antetul semnat al tichetului de la serviciul de activare (ID-ul unui centru regional de activare, suma de verificare a codului de activare, suma de verificare a tichetului, data creării tichetului, ID-ul unic al tichetului, versiunea tichetului, starea licenței, data și ora de începere/sfârșit a tichetului, ID-ul unic al licenței, versiunea licenței), ID-ul certificatului utilizat pentru semnarea antetului tichetului, suma de control (MD5) a fișierului cheie, ID-ul unic al instalării software-ului pe computer, tipul și ID-ul aplicației care se actualizează, ID-ul activității de actualizare;
• informații despre setul tuturor actualizărilor instalate și setul celor mai recente actualizări instalate/dezinstalate, tipul evenimentului care a cauzat trimiterea informațiilor de actualizare, durata de la ultima actualizare, informații despre toate bazele de date anti-virus instalate curent;
• informații despre funcționarea software-ului pe computer: date despre utilizarea procesorului, date despre utilizarea memoriei (octeți privați, acumulator fără paginare, acumulator cu paginare), numărul firelor active în procesul software și al firelor în așteptare, precum și durata de funcționare a software-ului înainte de apariția erorii;
• numărul de evenimente software dump și system dump (erori critice cu ecran albastru BSOD) de la instalarea software-ului și de la momentul ultimei actualizări, identificatorul și versiunea modulului software care a generat eroarea, stiva de memorie din procesul aplicației, precum și informații despre bazele de date anti-virus de la momentul erorii;
• date despre system dump (BSOD): un marcaj care să indice apariția sau lipsa apariției ecranului albastru, numele driverului care a cauzat apariția ecranului albastru, adresa și stiva de memorie din driver, un marcaj care să indice durata sesiunii de utilizare a sistemului de operare înaintea apariției ecranului albastru, stiva de memorie cu drivere care a cedat, tipul imaginii de memorie stocate, marcajul sesiunii sistemului de operare înainte ca BSOD să dureze mai mult de 10 minute, identificatorul unic al imaginii, marca de timp pentru BSOD;
• informații despre erorile sau despre problemele de performanță care au apărut în timpul funcționării componentelor Software-ului: ID-ul de stare al Software-ului, tipul, codul și cauza erorii, precum și momentul în care a apărut eroarea, ID-urile componentei, ale modulului și ale procesului în care a apărut eroarea, ID-ul sarcinii sau al categoriei de actualizare în timpul căreia a apărut eroarea, jurnalele driverelor utilizate de Software (codul erorii, numele modulului, numele fișierului sursă și linia în care a apărut eroarea);
• informații despre actualizările bazelor de date antivirus și ale componentelor Software-ului: numele, data și ora fișierelor de indexare descărcate în timpul ultimei actualizări și aflate în curs de descărcare în timpul actualizării curente;
• informații despre încetarea anormală a funcționării Software-ului: data și ora creării erorii, tipul acesteia, tipul evenimentului care a cauzat încetarea anormală a funcționării Software-ului (oprirea neașteptată, eroarea unei aplicații terțe) și ora opririi neașteptate;
• informații despre compatibilitatea driverelor Software-ului cu hardware-ul și Software-ul: informații despre proprietățile sistemului de operare care restricționează funcționalitatea componentelor Software-ului (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), tipul Software-ului de descărcare instalat (UEFI, BIOS), identificatorul Trusted Platform Module (TPM), versiunea specificației TPM, informații despre procesorul instalat pe computer, modul de operare și parametrii integrității codului și a protecției dispozitivului, modul de operare al driverelor și motivul de utilizare a modului curent, versiunea driverelor Software-ului, starea suportului de virtualizare software și hardware al computerului;
• informații despre aplicațiile terțe care au cauzat eroarea: numele, versiunea și localizarea, codul de eroare și informații despre eroare din jurnalul de sistem al aplicațiilor, adresa erorii și stiva de memorie a aplicației terțe, un marcaj care să indice apariția erorii în componenta Software, precum și durata pentru care aplicația terță a funcționat înainte de apariția erorii, sumele de verificare (MD5, SHA2-256, SHA1) ale imaginii procesului aplicației în care a apărut eroarea, calea către imaginea procesului aplicației și codul șablonului căii, informații din jurnalul sistemului cu descrierea erorii asociate cu aplicația, informații despre modulul aplicației în care a apărut eroarea (identificatorul excepției, adresa memoriei cache ca decalaj în modulul aplicației, numele și versiunea modulului, identificatorul căderii aplicației în insertul Deținătorului drepturilor și stiva de memorie a căderii, durata sesiunii aplicației înaintea căderii);
• versiunea componentei de actualizare a Software-ului, numărul erorilor componentei de actualizare apărute în timp ce rulează sarcini de actualizare în timpul duratei de viață a componentei, ID-ul tipului sarcinii de actualizare, numărul încercărilor eșuate ale componentei de actualizare de a executa sarcinile de actualizare;
• informații despre funcționarea componentelor de monitorizare a sistemului Software-ului: versiunile complete ale componentelor, data și ora la care au pornit componentele, codul evenimentului care a depășit coada evenimentului și numărul de astfel de evenimente, numărul total de evenimente de depășire a cozii, informații despre fișierul de proces al inițiatorului evenimentului (numele fișierului și calea acestuia pe computer, codul șablonului căii pentru fișier, sumele de verificare (MD5, SHA2-256, SHA1) ale procesului asociat cu fișierul, versiunea fișierului), identificatorul interceptării de eveniment care a apărut, versiunea completă a filtrului de interceptare, identificatorul tipului de eveniment interceptat, dimensiunea cozii evenimentului și numărul de evenimente între primul eveniment din coadă și evenimentul curent, numărul de evenimente depășite din coadă, informații despre fișierul de proces al inițiatorului evenimentului curent (numele fișierului și calea acestuia pe computer, codul șablonului căii pentru fișier, sumele de verificare (MD5, SHA2-256, SHA1) ale procesului asociat cu fișierul), durata procesării evenimentului, durata maximă a procesării evenimentului, probabilitatea de trimitere a statisticilor, informații despre evenimentele sistemului de operare pentru care a fost depășită limita de timp a procesării (data și ora evenimentului, numărul de inițializări repetate ale bazelor de date antivirus, data și ora ultimei inițializări repetate a bazelor de date antivirus după actualizarea acestora, timpul de întârziere a procesării evenimentului pentru fiecare componentă de monitorizare a sistemului, numărul de evenimente din coadă, numărul de evenimente procesate, numărul de evenimente întârziate ale tipului curent, timpul total de întârziere pentru evenimentele tipului curent, timpul total de întârziere pentru toate evenimentele);
• informații din instrumentul Windows de urmărire a evenimentelor (Event Tracing for Windows, ETW) în cazul problemelor de performanță ale Software-ului, furnizorii evenimentelor SysConfig/SysConfigEx/WinSATAssessment din Microsoft: informații despre computer (model, producător, factorul de formă a carcasei, versiunea), informații despre măsurătorile de performanță Windows (evaluările WinSAT, indicele de performanță Windows), numele domeniului, informații despre procesoarele fizice și logice (numărul de procesoare fizice și logice, producătorul, modelul, nivelul de modificare a instrucțiunilor, numărul de nuclee, frecvența ceasului, CPUID, caracteristicile memoriei cache, caracteristicile procesoarelor logice, indicatorii modurilor și ai instrucțiunilor suportate), informații despre modulele RAM (tip, factor de formă, producător, model, capacitate, granularitatea alocării memoriei), informații despre interfețele de rețea (adresele IP și MAC, numele, descrierea, configurarea interfețelor de rețea, detalierea numărului și a dimensiunii pachetelor de rețea după tip, viteza schimbului de rețea, detalierea numărului de erori de rețea după tip), configurarea controlerului IDE, adresele IP ale serverelor DNS, informații despre placa video (model, descriere, producător, compatibilitate, capacitate memorie video, permisiune ecran, număr de biți pe pixel, versiune BIOS), informații despre dispozitivele plug-and-play (numele, descrierea, identificatorul dispozitivului [PnP, ACPI], informații despre discuri și dispozitive de stocare (numărul de discuri sau de unități flash, producător, model, capacitate disc, număr de cilindri, număr de piste pe cilindru, număr de sectoare pe pistă, capacitate sector, caracteristici memorie cache, număr secvențial, numărul de partiții, configurarea controlerului SCSI), informații despre discurile logice (numărul secvențial, capacitatea partiției, capacitatea volumului, litera de volum, tipul partiției, tipul sistemului de fișiere, numărul de clustere, dimensiunea clusterelor, numărul de sectoare pe cluster, numărul de clustere goale și ocupate, litera volumului care poate fi inițializat, adresa de decalaj a partiției în raport cu începutul discului), informații despre placa de bază BIOS (producător, dată de eliberare, versiune), informații despre placa de bază (producător, model, tip), informații despre memoria fizică (capacitate partajată și liberă), informații despre serviciile sistemului de operare (nume, descriere, stare, etichetă, informații despre procese [nume și PID]), parametrii consumului de energie pentru computer, configurarea controlerului de întrerupere, calea directoarelor de sistem Windows (Windows și System32), informații despre sistemul de operare (versiune, generare, data eliberării, nume, tip, data instalării), dimensiunea fișierului paginii, informații despre monitoare (număr, producător, permisiune ecran, capacitate rezoluție, tip), informații despre driverul plăcii video (producător, data eliberării, versiune);
• informații din ETW, furnizorii evenimentelor EventTrace/EventMetadata de la Microsoft: informații despre secvența evenimentelor de sistem (tip, oră, dată, fus orar), metadate despre fișierul cu rezultatele urmăririi (nume, structură, parametrii urmăririi, detalierea numărului de operații de urmărire după tip), informații despre SO (nume, tip, versiune, generare, data eliberării, ora începerii);
• informații din ETW, furnizorii evenimentelor Process/Microsoft Windows Kernel Process/Microsoft Windows Kernel Processor Power din Microsoft: informații despre procesele începute și finalizate (nume, PID, parametri de pornire, linie de comandă, cod de retur, parametri de gestionare a alimentării, oră de început și de sfârșit, tipul simbolului de acces, SID, SessionID, număr de descriptori instalați), informații despre modificările proprietăților pentru șir (TID, prioritate, oră), informații despre operațiile procesului pe disc (tip, oră, capacitate, număr), istoricul modificărilor în structura și capacitatea proceselor de memorie utilizabilă;
• informații din ETW, furnizorii evenimentelor StackWalk/Perfinfo de la Microsoft: informații despre contoarele de performanță (performanța secțiunilor individuale de coduri, secvența apelurilor de funcții, PID, TID, adresele și atributele ISR-urilor și ale DPC-urilor);
• informații din ETW, furnizorul evenimentelor KernelTraceControl-ImageID de la Microsoft: informații despre fișierele executabile și bibliotecile dinamice (nume, dimensiune imagine, cale completă), informații despre fișierele PDB (nume, identificator), datele despre resurse VERSIONINFO pentru fișierele executabile (nume; descriere, creator, locație, versiune și identificator aplicație, versiune și identificator fișier);
• informații din ETW, furnizorii evenimentelor FileIo/DiskIo/Image/Windows Kernel Disk de la Microsoft: informații despre operațiile din fișier și de pe disc (tip, capacitate, oră de început, oră de sfârșit, durată, stare finalizare, PID, TID, adresele apelurilor de funcții pentru drivere, Pachetul de solicitări I/O (IRP), atributele de obiect ale fișierelor Windows), informații despre fișierele implicate în operațiile din fișier și de pe disc (numele, versiunea, dimensiunea, calea completă, atribute, decalaj, suma de verificare a imaginilor, opțiunile de deschidere și de acces);
• informații din ETW, furnizorul evenimentelor PageFault de la Microsoft: informații despre erorile de acces la pagina de memorie (adresă, oră, capacitate, PID, TID, atributele obiectului de fișiere Windows, parametri de alocare a memoriei);
• informații din ETW, furnizorul evenimentelor Thread de la Microsoft: informații despre crearea/finalizarea șirurilor, informații despre șirurile începute (PID, TID, dimensiunea stivei, prioritățile și alocarea resurselor procesorului, resursele I/O, paginile de memorie între șiruri, adresa stivei, adresa funcției init, adresa Thread Environment Block (TEB), eticheta serviciului Windows);
• informații din ETW, furnizorul de evenimente Microsoft Windows Kernel Memory de la Microsoft: informații despre operațiile de gestionare a memoriei (stare finalizare, oră, cantitate, PID), structura de alocare a memoriei (tip, capacitate, SessionID, PID);
• informații despre funcționarea Software-ului în cazul problemelor de performanță: identificatorul de instalare a Software-ului, tipul și valoarea scăderii performanței, informații despre secvența de evenimente din cadrul Software-ului (oră, fus orar, tip, stare finalizare, identificatorul componentei Software-ului, identificatorul scenariului de funcționare a Software-ului, TIP, PID, adresele de apelare a funcțiilor), informații despre conexiunile de rețea de verificat (URL, direcția conexiunii, dimensiunea pachetului de rețea), informații despre fișierele PDB (nume, identificator, dimensiunea imaginii pentru fișierul executabil), informații despre fișierele de verificat (nume, cale completă, sumă de verificare), parametri de monitorizare a performanței Software-ului;
• informații despre ultima încercare nereușită de reinițializare a sistemului de operare: numărul reinițializărilor nereușite de la instalarea sistemului de operare până în prezent, date despre erorile de sistem (codul și parametri unei erori, nume, versiune și suma de verificare (CRC32) a modulului care a cauzat o eroare a sistemului de operare, adresa erorii, sumele de verificare (MD5, SHA2-256, SHA1) ale erorilor de sistem);
• informații verificarea autenticității certificatelor digitale utilizate pentru a semna fișiere: amprenta certificatului, algoritmul sumei de verificare, cheia publică și numărul de serie ale certificatului, numele emitentului certificatului, rezultatul validării certificatului și identificatorul bazei de date a certificatului;
• informații despre procesul care execută atacul asupra componentei de autoapărare a Software-ului: numele și dimensiunea fișierului procesului, sumele sale de verificare (MD5, SHA2-256, SHA1), calea completă a fișierului procesului și codul șablonului căii fișierului, marcajul temporal al creării/compilării, marcajul fișierului executabil, atributele fișierului procesului, informații despre certificatul utilizat pentru a semna fișierul procesului, codul contului utilizat la lansarea procesului, ID-ul operațiunilor efectuate pentru a accesa procesul, tipul resursei cu care se efectuează operațiunea (proces, fișier, obiect de registru, funcția de căutare FindWindow), numele resursei cu care se efectuează operațiunea, marcaj care indică reușita operațiunii, starea fișierului procesului și semnătura acestuia conform KSN;
• informații despre software-ul titularului de drepturi: versiunea completă, tipul, localizarea și starea de funcționare a software-ului utilizat, versiunile componentelor software instalate și starea de funcționare a acestora, informații despre actualizările software instalate, valoarea filtrului TARGET, versiunea protocolului utilizat pentru conectarea la serviciile titularului de drepturi;
• informații despre componentele hardware instalate pe computer: tip, nume, numele modelului, versiunea firmware-ului, parametri dispozitivelor incluse și conectate, identificatorul unic al computerului cu Software-ul instalat;
• informații despre versiunile sistemului de operare și despre actualizările instalate, dimensiunea cuvintelor, ediția și parametrii modului de funcționare al sistemului de operare, versiunea și sumele de verificare (MD5, SHA2-256, SHA1) ale fișierului kernel al sistemului de operare și data și ora de început a sistemului de operare;
• fișiere executabile și neexecutabile, total sau parțial;
• porțiuni din memoria RAM a computerului;
• sectoarele implicate în procesul de pornire a sistemului de operare;
• Pachete de date despre traficul de rețea;
• pagini web și e-mailuri care conțin obiecte suspecte și periculoase;
• descrierea claselor și instanțelor claselor din depozitul WMI;
• rapoarte de activitate ale aplicațiilor:
  • numele, dimensiunea și versiunea fișierului trimis, descrierea și sumele de verificare ale acestuia (MD5, SHA2-256, SHA1), identificatorul formatului de fișier, numele furnizorului fișierului, numele produsului căruia îi aparține fișierul, calea completă către fișier de pe computer, codul șablonului căii, informații despre data și ora creării și modificării fișierului;
  • data/ora începerii și terminării perioadei de valabilitate a certificatului (dacă fișierul are semnătură digitală), data și ora semnăturii, numele emitentului certificatului, informații despre deținătorul certificatului, amprenta, cheia publică a certificatului și algoritmii aferenți și numărul de serie al certificatului;
  • numele contului din care este executat procesul;
  • sumele de verificare (MD5, SHA2-256, SHA1) ale numelui computerului pe care este executat procesul;
  • denumirile ferestrelor procesului;
  • identificatorul bazelor de date antivirus, numele amenințării detectate conform clasificării Deținătorului drepturilor;
  • date despre licența instalată, inclusiv ID-ul, tipul și data expirării acesteia;
  • ora locală a computerului în momentul furnizării informațiilor;
  • numele și căile fișierelor care au fost accesate de către proces;
  • numele cheilor de registru care au fost accesate de către proces și valorile acestora;
  • adresele URL și IP care au fost accesate de către proces;
  • adresele URL și IP de la care a fost descărcat fișierul aflat în execuție.