Kaspersky Endpoint Security 12 for Windows

Trasmissione dei dati durante l'utilizzo di Kaspersky Security Network

8 luglio 2024

ID 165983

Il set di dati che Kaspersky Endpoint Security invia a Kaspersky dipende dal tipo di licenza e dalle impostazioni di utilizzo di Kaspersky Security Network.

Utilizzo di KSN con licenza su un massimo di 4 computer

Accettando l'Informativa di Kaspersky Security Network, si accetta di trasmettere automaticamente le seguenti informazioni:

  • informazioni sugli aggiornamenti di configurazione KSN: identificatore della configurazione attiva, identificatore della configurazione ricevuta, codice di errore dell'aggiornamento di configurazione;
  • informazioni sui file e sugli indirizzi URL da esaminare: checksum del file esaminato (MD5, SHA2-256, SHA1) e modelli di file (MD5), dimensioni del modello, tipo di minaccia rilevata e il relativo nome secondo la classificazione del Titolare dei diritti, identificatore dei database anti-virus, indirizzo URL per cui è richiesta la reputazione, nonché l'indirizzo URL di riferimento, identificatore del protocollo della connessione e il numero della porta utilizzata;
  • ID dell'attività di scansione che ha rilevato la minaccia;
  • informazioni sui certificati digitali utilizzati necessari per verificarne l'autenticità: checksum (SHA256) del certificato utilizzato per firmare l'oggetto esaminato e la chiave pubblica del certificato;
  • identificatore del componente Software che esegue l'analisi;
  • ID dei database anti-virus e dei record in questi database anti-virus;
  • Informazioni sull'attivazione del Software nel Computer: intestazione firmata del ticket del servizio di attivazione (identificatore del centro di attivazione dell'area di riferimento, checksum del codice di attivazione, checksum del ticket, data di creazione del ticket, identificatore univoco del ticket, versione del ticket, stato della licenza, data di inizio e fine e ora di validità del ticket, identificatore univoco della licenza, versione della licenza), identificatore del certificato utilizzato per firmare l'intestazione del ticket, checksum (MD5) del file chiave;
  • Informazioni sul Software del Titolare dei diritti: versione completa, tipo e versione del protocollo utilizzato per la connessione ai servizi Kaspersky.

Utilizzo di KSN con licenza su 5 o più computer

Accettando l'Informativa di Kaspersky Security Network, si accetta di trasmettere automaticamente le seguenti informazioni:

Se la casella di controllo Kaspersky Security Network è selezionata e la casella di controllo Abilita modalità KSN estesa è deselezionata, l'applicazione invia le seguenti informazioni:

  • informazioni sugli aggiornamenti di configurazione KSN: identificatore della configurazione attiva, identificatore della configurazione ricevuta, codice di errore dell'aggiornamento di configurazione;
  • informazioni sui file e sugli indirizzi URL da esaminare: checksum del file esaminato (MD5, SHA2-256, SHA1) e modelli di file (MD5), dimensioni del modello, tipo di minaccia rilevata e il relativo nome secondo la classificazione del Titolare dei diritti, identificatore dei database anti-virus, indirizzo URL per cui è richiesta la reputazione, nonché l'indirizzo URL di riferimento, identificatore del protocollo della connessione e il numero della porta utilizzata;
  • ID dell'attività di scansione che ha rilevato la minaccia;
  • informazioni sui certificati digitali utilizzati necessari per verificarne l'autenticità: checksum (SHA256) del certificato utilizzato per firmare l'oggetto esaminato e la chiave pubblica del certificato;
  • identificatore del componente Software che esegue l'analisi;
  • ID dei database anti-virus e dei record in questi database anti-virus;
  • Informazioni sull'attivazione del Software nel Computer: intestazione firmata del ticket del servizio di attivazione (identificatore del centro di attivazione dell'area di riferimento, checksum del codice di attivazione, checksum del ticket, data di creazione del ticket, identificatore univoco del ticket, versione del ticket, stato della licenza, data di inizio e fine e ora di validità del ticket, identificatore univoco della licenza, versione della licenza), identificatore del certificato utilizzato per firmare l'intestazione del ticket, checksum (MD5) del file chiave;
  • Informazioni sul Software del Titolare dei diritti: versione completa, tipo e versione del protocollo utilizzato per la connessione ai servizi Kaspersky.

Se oltre alla casella di controllo Kaspersky Security Network è selezionata anche la casella di controllo Abilita modalità KSN estesa, l'applicazione invia anche le seguenti informazioni, oltre a quelle elencate precedentemente:

  • informazioni sui risultati della categorizzazione delle risorse Web richieste che contengono l'URL elaborata e l'indirizzo IP dell'host, versione del componente del Software che ha eseguito la categorizzazione, metodo di categorizzazione e set di categorie determinato per la risorsa Web;
  • informazioni sul software installato nel Computer: nomi delle applicazioni software e dei produttori software, chiavi del Registro di sistema e relativi valori, informazioni sui file dei componenti software installati (checksum (MD5, SHA2-256, SHA1), nome, percorso del file nel Computer, dimensioni, versione e la firma digitale);
  • informazioni sullo stato della protezione anti-virus del Computer: le versioni e i timestamp di rilascio dei database anti-virus utilizzati, l'ID dell'attività e l'ID del Software che esegue la scansione;
  • informazioni sui file scaricati dall'utente finale: gli indirizzi URL e IP del download e pagine di download, identificatore del protocollo di download e numero di porta della connessione, stato dannoso o non dannoso delle URL, attributi del file, dimensioni e checksum (MD5, SHA2-256, SHA1), informazioni sul processo che ha scaricato il file (checksum (MD5, SHA2-256, SHA1), data e ora di creazione/build, stato di riproduzione automatica, attributi, nomi delle utilità di compressione, informazioni sulle firme, contrassegno del file eseguibile, identificatore del formato ed entropia), nome del file e relativo percorso nel Computer, firma digitale del file e marca timestamp della relativa generazione, indirizzo dell'URL in cui si è verificato il rilevamento, numero dello script nella pagina che viene considerata sospetta o dannosa, informazioni relative alle richieste HTTP generate e risposta a tali richieste;
  • informazioni sulle applicazioni in esecuzione e sui relativi moduli: dati sui processi in esecuzione nel sistema (ID processo (PID), nome del processo, informazioni sull'account da cui è stato avviato il processo, l'applicazione e il comando che ha avviato il processo, identificatore del processo o del programma attendibile, percorso completo dei file del processo e relativi checksum (MD5, SHA2-256, SHA1), la riga di comando iniziale, livello di integrità del processo, una descrizione del prodotto a cui appartiene il processo (il nome del prodotto e le informazioni sull'editore), nonché i certificati digitali in uso e le informazioni necessarie per verificarne l'autenticità o informazioni sull'assenza della firma digitale di un file) e informazioni sui moduli caricati nei processi (relativi nomi, dimensioni, tipi, date di creazione, attributi, checksum (MD5, SHA2-256, SHA1), relativi percorsi nel computer), informazioni sull'intestazione dei file PE, nomi delle utilità di compressione (se il file è stato compresso);
  • informazioni su tutte le attività e gli oggetti potenzialmente dannosi: nome dell'oggetto rilevato e percorso completo dell'oggetto nel computer, checksum dei file elaborati (MD5, SHA2-256, SHA1), data e ora di rilevamento, nomi e dimensioni dei file infetti e relativi percorsi, codice del modello di percorso, contrassegno del file eseguibile, indicatore che stabilisce se l'oggetto è un contenitore, nomi del programma di compressione (se il file è compresso), codice del tipo di file, ID formato file, elenco delle azioni eseguite dal malware e decisione del software e dell'utente in risposta a tali azioni, ID dei database anti-virus e dei record presenti in questi database anti-virus utilizzati per la decisione, indicatore di un oggetto potenzialmente dannoso, nome della minaccia rilevata secondo la classificazione del Titolare dei diritti, livello di pericolosità, stato di rilevamento e metodo di rilevamento, motivo dell'inclusione nel contesto analizzato e numero progressivo del file nel contesto, checksum (MD5, SHA2-256, SHA1), nome e attributi del file eseguibile dell'applicazione tramite cui è stato trasmesso il messaggio o il collegamento infetto, indirizzi IP (IPv4 e IPv6) anonimi dell'host dell'oggetto bloccato, entropia file, indicatore di esecuzione automatica del file, ora del primo rilevamento del file nel sistema, numero di volte in cui il file è stato eseguito dall'ultimo invio delle statistiche, informazioni sul nome, checksum (MD5, SHA2-256, SHA1) e dimensioni del client di posta tramite il quale è stato ricevuto l'oggetto dannoso, lD dell'attività software che ha eseguito la scansione, indicatore di verifica della firma o della reputazione del file, risultato di elaborazione del file, checksum (MD5) del modello raccolto per l'oggetto, dimensioni del modello in byte e specifiche tecniche delle tecnologie di rilevamento applicate;
  • informazioni sugli oggetti esaminati: il gruppo di attendibilità assegnato in/da cui è stato inserito il file, il motivo per cui il file è stato inserito in tale categoria, identificatore di categoria, informazioni sull'origine delle categorie e versione del database di categorie, contrassegno del certificato attendibile del file, nome del produttore del file, versione del file, nome e versione dell'applicazione software che include il file;
  • informazioni sulle vulnerabilità rilevate: ID vulnerabilità nel database delle vulnerabilità, classe di pericolo della vulnerabilità;
  • informazioni sull'emulazione del file eseguibile: dimensioni del file e relativi checksum (MD5, SHA2-256, SHA1), versione del componente di emulazione, livello di emulazione, un array di proprietà dei blocchi logici e funzioni all'interno dei blocchi logici ottenuti durante l'emulazione, dati delle intestazioni PE del file eseguibile;
  • gli indirizzi IP del computer che ha originato l'attacco (IPv4 e IPv6), il numero della porta nel Computer a cui è diretto l'attacco di rete, identificatore del protocollo del pacchetto IP che contiene l'attacco, destinazione dell'attacco (nome dell'organizzazione, sito Web), contrassegno per la reazione all'attacco, peso dell'attacco, livello di attendibilità;
  • informazioni relative agli attacchi associati alle risorse di rete contraffatte e indirizzi DNS e IP (IPv4 o IPv6) dei siti Web visitati;
  • indirizzi IP e DNS (IPv4 or IPv6) della risorsa Web richiesta, informazioni sul file e sul Web client che accede alla risorsa Web, nome, dimensioni e checksum (MD5, SHA2-256, SHA1) del file, percorso completo del file e codice del modello di percorso, risultato della verifica della firma digitale e il relativo stato in KSN;
  • informazioni sul rollback delle azioni del malware: dati sul file per cui è stato eseguito il rollback delle attività (nome del file, percorso completo del file, dimensioni e checksum di riferimento (MD5, SHA2-256, SHA1)), dati sulle azioni andate e non andate a buon fine mirate a eliminare, rinominare e copiare i file e ripristinare i valori nel Registro di sistema (nomi delle chiavi di registro e relativi valori) e informazioni sui file di sistema modificati dal malware, prima e dopo il rollback;
  • informazioni sulle esclusioni impostate per il componente Controllo adattivo delle anomalie: l'ID e lo stato della regola che è stata attivata, l'azione eseguita dal Software durante l'attivazione della regola, il tipo di account utente con cui il processo o il thread esegue l'attività sospetta, informazioni sul processo che ha eseguito o subito l'attività sospetta (ID script o nome del file di processo, percorso completo del file di processo, codice del modello di percorso, checksum (MD5, SHA2-256, SHA1) del file del processo); informazioni sull'oggetto che ha eseguito le azioni sospette e sull'oggetto che ha subito le azioni sospette (nome della chiave del Registro di sistema o nome del file, percorso completo del file, codice del modello di percorso e checksum (MD5, SHA2-256, SHA1) del file).
  • Informazioni sui moduli software caricati: nome, dimensioni e checksum (MD5, SHA2-256, SHA1) del file del modulo, percorso completo e codice del modello di percorso, impostazioni della firma digitale del file del modulo, data e ora di creazione della firma, nome del soggetto e dell'organizzazione che ha firmato il file del modulo, ID del processo in cui è stato caricato il modulo, nome del fornitore del modulo e numero di sequenza del modulo nella coda di caricamento;
  • informazioni sulla qualità dell'interazione del Software con i servizi KSN: ora e data di inizio e fine del periodo in cui sono state generate le statistiche, informazioni sulla qualità delle richieste e connessione a ciascun servizio KSN utilizzato (ID del servizio KSN, numero richieste andate e buon fine, numero di richieste con risposte dalla cache, numero di richieste non andate a buon fine (problemi di rete, KSN disabilitato nelle impostazioni del Software, routing errato), intervallo temporale delle richieste andate a buon fine, intervallo temporale delle richieste annullate, intervallo temporale delle richieste con limite di tempo superato, numero di connessioni a KSN provenienti dalla cache, numero di connessioni a KSN andate a buon fine, numero di connessioni a KSN non andate a buon fine, numero di transazioni andate a buon fine, numero di transazioni non andate a buon fine, intervallo temporale delle connessioni a KSN andate a buon fine, intervallo temporale delle connessioni a KSN non andate a buon fine, intervallo temporale delle transazioni andate a buon fine, intervallo temporale delle transazioni non andate a buon fine);
  • se viene rilevato un oggetto potenzialmente dannoso, vengono fornite informazioni sui dati nella memoria dei processi: gli elementi della gerarchia degli oggetti di sistema (ObjectManager), i dati nella memoria UEFI BIOS, i nomi delle chiavi del Registro di sistema e i relativi valori;
  • informazioni sugli eventi nei registri di sistema: timestamp dell'evento, nome del registro in cui è stato rilevato l'evento, tipo e categoria dell'evento, nome dell'origine dell'evento e descrizione dell'evento;
  • informazioni sulle connessioni di rete: versione e checksum (MD5, SHA2-256, SHA1) del file da cui è stato avviato il processo che ha aperto la porta, percorso del file del processo e relativa firma digitale, indirizzi IP locali e remoti, numeri delle porte di connessione locali e remote, stato della connessione e timestamp di apertura della porta;
  • informazioni sulla data di installazione e attivazione del Software nel Computer: l'ID del partner che ha venduto la licenza, il numero di serie della licenza, l'intestazione firmata del ticket del servizio di attivazione (l'ID di un centro di attivazione regionale, il checksum del codice di attivazione, il checksum del ticket, la data di creazione del ticket, l'ID univoco del ticket, la versione del ticket, lo stato della licenza, la data e ora di inizio/fine del ticket, l'ID univoco della licenza, la versione della licenza), l'ID del certificato utilizzato per firmare l'intestazione del ticket, il checksum (MD5) del file chiave, l'ID univoco dell'installazione del Software nel Computer, il tipo e l'ID dell'applicazione che viene aggiornata, l'ID dell'attività di aggiornamento;
  • informazioni sul set di tutti gli aggiornamenti installati e il set di aggiornamenti installati o rimossi più di recente, il tipo di evento che ha causato l'invio delle informazioni sull'aggiornamento, periodo trascorso dall'installazione dell'ultimo aggiornamento, informazioni su tutti i database anti-virus attualmente installati;
  • Informazioni sul funzionamento del software nel computer: dati sull'utilizzo della CPU, dati sull'utilizzo della memoria (byte privati, pool non di paging, pool di paging), numero di thread attivi nel processo del software e thread in sospeso, nonché durata dell'esecuzione del software prima dell'errore;
  • numero di dump del software e di dump del sistema (schermata blu di errore) dall'installazione del Software e dall'ultimo aggiornamento, identificatore e versione del modulo Software in cui si è verificato l'arresto anomalo, stack di memoria nel processo del Software e informazioni sui database anti-virus al momento dell'arresto anomalo;
  • dati sul dump del sistema (schermata blu di errore): un contrassegno che indica la comparsa della schermata blu di errore nel computer, il nome del driver che ha causato la schermata blu di errore, l'indirizzo e lo stack di memoria nel driver, un contrassegno che indica la durata della sessione del sistema operativo prima della comparsa della schermata blu di errore, stack di memoria del driver in cui si è verificato l'arresto anomalo, tipo di dump della memoria archiviato, contrassegno relativo alla sessione del sistema operativo prima della schermata blu di errore con durata superiore ai 10 minuti, identificatore univoco del dump, timestamp della schermata blu di errore;
  • informazioni sugli errori o sui problemi di prestazioni che si sono verificati durante l'esecuzione dei componenti Software: ID dello stato del Software, tipo di errore, codice e causa e momento in cui si è verificato l'errore, ID del componente, modulo e processo del prodotto in cui si è verificato l'errore, l'ID della categoria di aggiornamento o attività in cui si è verificato l'errore, registri dei driver utilizzati dal Software (codice di errore, nome del modulo, nome del file di origine e riga in cui si è verificato l'errore);
  • informazioni sugli aggiornamenti dei database anti-virus e componenti Software: nome, data e ora dei file indice scaricati durante l'ultimo aggiornamento e scaricati durante l'aggiornamento corrente;
  • informazioni sull'arresto anomalo dell'esecuzione del Software: timestamp di creazione del dump, il tipo, il tipo di evento che ha causato l'arresto anomalo dell'esecuzione del Software (spegnimento improvviso, arresto anomalo dell'applicazione di terzi), data e ora dello spegnimento improvviso;
  • informazioni sulla compatibilità dei driver Software con i requisiti hardware e Software: le informazioni sulle proprietà del sistema operativo che limitano le funzionalità dei componenti Software (Secure Boot, KPTI, WHQL Enforce, BitLocker, Case Sensitivity), il tipo di software di download installato (UEFI, BIOS), l'identificatore TPM (Trusted Platform Module), la versione della specifica TPM, le informazioni sulla CPU installata nel Computer, la modalità operativa e i parametri di Code Integrity e Device Guard, la modalità operativa dei driver e il motivo dell'utilizzo della modalità corrente, la versione dei driver Software, lo stato di supporto della virtualizzazione hardware e software del Computer;
  • informazioni sulle applicazioni di terzi che hanno causato l'errore: nome, versione e localizzazione, codice di errore e informazioni sull'errore contenute nel registro di sistema delle applicazioni, indirizzo dell'errore e stack di memoria dell'applicazione di terzi, contrassegno che indica la presenza dell'errore nel componente software, periodo di esecuzione dell'applicazione di terzi prima dell'errore, checksum (MD5, SHA2-256, SHA1) dell'immagine del processo dell'applicazione in cui si è verificato l'errore, percorso dell'immagine del processo dell'applicazione e codice del modello di percorso, informazioni del registro di sistema con una descrizione dell'errore associato all'applicazione, informazioni sul modulo dell'applicazione in cui si è verificato l'errore (identificatore eccezione, indirizzo di memoria dell'arresto anomalo come offset nel modulo dell'applicazione, nome e versione del modulo, identificatore dell'arresto anomalo dell'applicazione nel plug-in del Titolare dei diritti e stack di memoria dell'arresto anomalo, durata della sessione dell'applicazione prima dell'arresto anomalo);
  • versione del componente di aggiornamento del Software, numero di arresti anomali del componente di aggiornamento durante l'esecuzione delle attività di aggiornamento per tutta la durata del componente, ID del tipo di attività di aggiornamento, numero di tentativi non andati a buon fine del componente di aggiornamento per il completamento delle attività di aggiornamento;
  • informazioni sul funzionamento dei componenti di monitoraggio del sistema Software: versioni complete dei componenti, data e ora di avvio dei componenti, codice dell'evento che ha causato l'overflow della coda di eventi e il numero di tali eventi, il numero totale degli eventi di overflow della coda, informazioni sul file del processo dell'iniziatore dell'evento (nome del file e relativo percorso nel Computer, codice del modello del percorso del file, checksum (MD5, SHA2-256, SHA1) del processo associato al file, versione del file), identificatore dell'intercettazione di eventi che si è verificata, la versione completa del filtro di intercettazione, identificatore del tipo di evento intercettato, dimensioni della coda di eventi e il numero di eventi tra il primo evento nella coda e l'evento corrente, numero di eventi scaduti nella coda, informazioni sul file del processo dell'iniziatore dell'evento corrente (nome del file e relativo percorso nel Computer, codice del modello del percorso del file, checksum (MD5, SHA2-256, SHA1) del processo associato al file), durata dell'elaborazione degli eventi, durata massima dell'elaborazione degli eventi, probabilità di invio delle statistiche, informazioni sugli eventi del sistema operativo per cui è stato superato il limite di tempo per l'elaborazione (data e ora dell'evento, numero di inizializzazioni ripetute dei database anti-virus, data e ora dell'ultima inizializzazione ripetuta dei database anti-virus dopo il relativo aggiornamento, ritardo di elaborazione degli eventi per ogni componente di monitoraggio del sistema, numero di eventi in coda, numero di eventi elaborati, numero di eventi posticipati del tipo corrente, ritardo totale per gli eventi del tipo corrente, ritardo totale per tutti gli eventi);
  • informazioni provenienti dallo strumento di tracciamento degli eventi di Windows (ETW, Event Tracing for Windows) in caso di problemi di prestazioni del Software, fornitori di eventi SysConfig / SysConfigEx / WinSATAssessment di Microsoft: informazioni sul Computer (modello, produttore, fattori di forma dell'alloggiamento, versione), informazioni sulle metriche delle prestazioni Windows (valutazioni WinSAT, indice prestazioni di Windows), nome di dominio, informazioni sui processori logici e fisici (numero di processori logici e fisici, produttore, modello, livello di stepping, numero di core, frequenza di clock, CPUID, caratteristiche della cache, caratteristiche del processore logico, indicatori delle modalità supportate e istruzioni), informazioni sui moduli RAM (tipo, fattore di forma, produttore, modello, capacità, granularità di allocazione della memoria), informazioni sulle interfacce di rete (indirizzi IP e MAC, nome, descrizione, configurazione delle interfacce di rete, suddivisione del numero e dimensioni dei pacchetti di rete in base al tipo, velocità dello scambio di rete, suddivisione del numero degli errori di rete in base al tipo), configurazione del controller IDE, indirizzi IP dei server DNS, informazioni sulla scheda video (modello, descrizione, produttore, compatibilità, capacità della memoria video, autorizzazione dello schermo, numero di bit per pixel, versione BIOS), informazioni sui dispositivi plug-and-play (nome, descrizione, identificatore dispositivo [PnP, ACPI], informazioni sui dischi e sui dispositivi archiviazione (numero di dischi o unità flash, produttore, modello, capacità del disco, numero di cilindri, numero di tracce per cilindro, numero di settori per traccia, capacità settore, caratteristiche della cache, numero progressivo, numero di partizioni, configurazione del controller SCSI), informazioni sui dischi logici (numero sequenziale, capacità partizione, capacità volume, lettera volume, tipo di partizione, tipo di file system, numero di cluster, dimensioni cluster, numero di settori per cluster, numero di cluster vuoti e occupati, lettera del volume avviabile, indirizzo di offset della partizione in relazione all'avvio del disco), informazioni sulla scheda madre BIOS (produttore, data di rilascio, versione), informazioni sulla scheda madre (produttore, modello, tipo), informazioni sulla memoria fisica (capacità condivisa e disponibile), informazioni sui servizi del sistema operativo (nome, descrizione, stato, tag, informazioni sui processi [nome e PID]), parametri di consumo energetico per il Computer, configurazione del controller di interrupt, percorso delle cartelle di sistema Windows (Windows e System32), informazioni sul sistema operativo (versione, build, data di rilascio, nome, tipo, data di installazione), dimensioni del file di paging, informazioni sui monitor (numero, produttore, autorizzazione dello schermo, capacità di risoluzione, tipo), informazioni sul driver della scheda video (produttore, data di rilascio, versione);
  • informazioni provenienti da ETW, fornitori di eventi EventTrace / EventMetadata di Microsoft: informazioni sulla sequenza degli eventi di sistema (tipo, ora, data, fuso orario), metadati relativi al file con i risultati del tracciamento (nome struttura, parametri di tracciamento, suddivisione del numero di operazioni di tracciamento in base al tipo), informazioni sul sistema operativo (nome, tipo, versione, build, data di rilascio, ora di inizio);
  • informazioni provenienti da ETW, fornitori di eventi Process / Microsoft Windows Kernel Process / Microsoft Windows Kernel Processor Power di Microsoft: informazioni sui processi avviati e completati (nome, PID, parametri di avvio, riga di comando, codice di reso, parametri di risparmio energia, ora di avvio e completamento, tipo di token di accesso, SID, SessionID, numero di descrittori installati), informazioni sulle modifiche apportate alle priorità del thread (TID, priorità, ora), informazioni sulle operazioni disco del processo (tipo, ora, capacità, numero), cronologia delle modifiche alla struttura e capacità dei processi di memoria utilizzabili;
  • informazioni provenienti da ETW, fornitori di eventi StackWalk / Perfinfo di Microsoft: informazioni sui contatori delle prestazioni (prestazioni delle singole sezioni di codice, sequenza delle chiamate di funzione, PID, TID, indirizzi e attributi di ISR e DPC);
  • informazioni provenienti da ETW, fornitore di eventi KernelTraceControl-ImageID di Microsoft: informazioni sui file eseguibili e sulle librerie dinamiche (nome, dimensioni immagine, percorso completo), informazioni sui file PDB (nome, identificatore), dati risorse VERSIONINFO per i file eseguibili (nome, descrizione, creatore, localizzazione, versione applicazione e identificatore, versione del file e identificatore);
  • informazioni provenienti da ETW, fornitori di eventi FileIo / DiskIo / Image / Windows Kernel Disk di Microsoft: informazioni sulle operazioni file e disco (tipo, capacità, ora di inizio, ora di completamento, durata, stato di completamento, PID, TID, indirizzi chiamate di funzione driver, IRP (I/O Request Packet), attributi dell'oggetto file Windows), informazioni sui file coinvolti nelle operazioni file e disco (nome, versione, dimensioni, percorso completo, attributi, offset, checksum immagine, opzioni di apertura e accesso);
  • informazioni provenienti da ETW, fornitore di eventi PageFault di Microsoft: informazioni sugli errori di accesso alla pagina di memoria (indirizzo, ora, capacità, PID, TID, attributi dell'oggetto file Windows, parametri di allocazione della memoria);
  • informazioni provenienti da ETW, fornitore degli eventi Thread di Microsoft: informazioni su creazione/completamento thread, informazioni sui thread avviati (PID, TID, dimensioni stack, priorità e allocazione delle risorse della CPU, risorse I/O, pagine di memoria fra i thread, indirizzo stack, indirizzo della funzione init, indirizzo di TEB (Thread Environment Block), tag di servizio Windows);
  • informazioni provenienti da ETW, fornitore degli eventi Microsoft Windows Kernel Memory di Microsoft: informazioni sulle operazioni di gestione della memoria (stato di completamento, ora, quantità, PID), struttura di allocazione della memoria (tipo, capacità, SessionID, PID);
  • informazioni sul funzionamento del software in caso di problemi di prestazioni: identificatore di installazione del Software, tipo e valore del calo delle prestazioni, informazioni sulla sequenza di eventi all'interno del Software (ora, fuso orario, tipo, stato di completamento, identificatore componente Software, identificatore dello scenario operativo del Software, TID, PID, indirizzi chiamate di funzione), informazioni sulle connessioni di rete da verificare (URL, direzione della connessione, dimensioni del pacchetto di rete), informazioni sui file PDB (nome, identificatore, dimensioni immagine del file eseguibile), informazioni sui file da verificare (nome, percorso completo, checksum), parametri di monitoraggio delle prestazioni del Software;
  • informazioni sull'ultimo riavvio non riuscito del sistema operativo: numero di riavvii non andati a buon fine dall'installazione del sistema operativo, dati sul dump del sistema (codice e parametri di un errore, nome, versione e checksum (CRC32) del modulo che ha causato un errore nell'esecuzione del sistema operativo, indirizzo dell'errore come offset nel modulo, checksum (MD5, SHA2-256, SHA1) del dump di sistema);
  • informazioni per verificare l'autenticità dei certificati digitali utilizzati per firmare i file: impronta digitale del certificato, algoritmo checksum, chiave pubblica del certificato e numero di serie, nome dell'emittente del certificato, risultato della convalida del certificato e identificatore di database del certificato;
  • informazioni sul processo che esegue l'attacco contro l'auto-difesa del Software: nome e dimensioni del file del processo, relativi checksum (MD5, SHA2-256, SHA1), percorso completo del file del processo e codice del modello di percorso file, timestamp di creazione/build, contrassegno del file eseguibile, attributi del file di processo, informazioni sul certificato utilizzato per firmare il file di processo, codice dell'account utilizzato per avviare il processo, ID delle operazioni eseguite per l'accesso al processo, tipo di risorsa con cui viene eseguita l'operazione (processo, file, oggetto del Registro di sistema, funzione di ricerca FindWindow), nome della risorsa con cui viene eseguita l'operazione, contrassegno di completamento dell'operazione, stato del file del processo e la relativa firma in base a KSN;
  • informazioni sul Software del Titolare dei diritti: versione completa, tipo, localizzazione e stato operativo del Software utilizzato, versioni dei componenti Software installati e relativo stato operativo, informazioni sugli aggiornamenti Software installati, valore del filtro TARGET, versione del protocollo utilizzato per connettersi ai servizi del Titolare dei diritti;
  • informazioni relative all'hardware installato nel Computer: tipo, nome, nome del modello, versione firmware, parametri dei dispositivi integrati e collegati, identificatore univoco del Computer in cui è installato il Software;
  • informazioni sulle versioni del sistema operativo e sugli aggiornamenti installati, dimensioni parola, edizione e parametri della modalità di esecuzione del sistema operativo, versione e checksum (MD5, SHA2-256, SHA1) del file kernel del sistema operativo e data e ora di avvio del sistema operativo;
  • file eseguibili e non eseguibili, interamente o parzialmente;
  • porzioni di RAM del computer;
  • settori coinvolti nel processo di avvio del sistema operativo;
  • pacchetti di dati relativi al traffico di rete;
  • e-mail e pagine Web contenenti oggetti sospetti e dannosi;
  • descrizione delle classi e delle istanze delle classi del repository WMI;
  • rapporti sull'attività dell'applicazione:
    • il nome, la dimensione e la versione del file inviato, la relativa descrizione e i checksum (MD5, SHA2-256, SHA1), l'identificatore del formato del file, il nome del fornitore del file, il nome del prodotto a cui appartiene il file, il percorso completo del file nel Computer, il codice modello del percorso, i timestamp di creazione e modifica del file;
    • data/ora di inizio e fine del periodo di validità del certificato (se il file dispone di una firma digitale), la data e l'ora della firma, il nome dell'emittente del certificato, informazioni sul titolare del certificato, l'impronta digitale, la chiave pubblica del certificato e gli algoritmi appropriati, nonché il numero di serie del certificato;
    • il nome dell'account dal quale è in esecuzione il processo;
    • checksum (MD5, SHA2-256, SHA1) del nome del Computer in cui è in esecuzione il processo;
    • titoli delle finestre dei processi;
    • identificativo per i database anti-virus, nome della minaccia rilevata secondo la classificazione del Titolare dei diritti;
    • dati sulla licenza installata, il relativo ID, il tipo e la data di scadenza;
    • ora locale del Computer al momento della fornitura delle informazioni;
    • nomi e percorsi dei file a cui ha avuto accesso il processo;
    • nomi delle chiavi del Registro di sistema e relativi valori a cui ha avuto accesso il processo;
    • URL e indirizzi IP a cui ha avuto accesso il processo;
    • URL e indirizzi IP da cui è stato scaricato il file in esecuzione.

Hai trovato utile questo articolo?
Cosa pensi che potremmo migliorare?
Grazie per il feedback! Ci stai aiutando a migliorare.
Grazie per il feedback! Ci stai aiutando a migliorare.