Skip to main content
Skip table of contents

NCA OTCC – AI Engine Rules

AI Engine Rule Name

Rule ID

Description

Subdomain Controls SupportSub-Control SupportAlarmingClassificationsLog Sources
CCF: Abnormal Amount of Data Transferred1230This rule alerts whenever a significant change (400% increase or 75% decrease) in Bytes In or Bytes Out is recorded from a specific host.

1.3.1 , 1.4.2, 1.5.1, 1.5.2, 1.5.3 , 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1 , 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoOperations: Warning1. Include All Log Sources


2. Include All Log Sources
CCF: Abnormal Origin Location1208First tracks geographic locations for VPN logins. Afterwards, triggers when a new origin location is seen for a user.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Attack1. Include All Log Sources


2. Include All Log Sources
CCF: Account Deleted Rule1367This rule provides details of accounts that have been deleted.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoAudit: Account DeletedInclude All Log Sources
CCF: Account Disabled Rule1369This AIE Rule alerts on the occurrence of any access revoking to accounts.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoAudit: Access RevokedInclude All Log Sources
CCF: Account Enabled Rule1368This AIE Rule alerts on the occurrence of any access granting to accounts.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3 2.5.1.5 2.6.1.1 2.6.1.2 2.9.1.1 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4 3.1.1.6, 4.1.1.4 YesAudit: Access GrantedInclude All Log Sources
CCF: Account Modification1377This AIE Rule creates a common event and provides detail around account modification activity.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4 3.1.1.6, 4.1.1.4 NoAudit: Account ModifiedInclude All Log Sources
CCF: Admin Password Modified1326User changes the password of a different privileged user account.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3 2.3.1.4, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4NoSecurity: SuspiciousInclude All Log Sources
CCF: Attack then External Connection1211An observed external attack or compromise followed by data leaving the system and going to the attacker.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: Audit Log Cleared Alarm

1331

This AIE Rule provides details on audit log clearing.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesAudit: Access SuccessInclude All Log Sources
CCF: Audit Logging Stopped Alarm

1328

This AIE Rule provides details on audit logging being stopped.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1,2.2.1.2, 2.2.1.4,2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesAudit: ConfigurationInclude All Log Sources
CCF: Auth After Numerous Failed Auths1199Multiple external unique login attempts are seen on the same impacted host within a short period of time, followed by a successful authentication.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Auth After Security Event1200An observed attack, compromise, or other security event followed by successful access or authentication from the attacking host.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Backup Failure Alarm

1236

More than 10 backup failure events are detected.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2,  2.3.1,  2.3.2, 2.5.1, 2.6.1, 2.8.1, 2.8.2, 2.9.1, 2.11.2,  2.12.1, 3.1.1, 3.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: ErrorInclude All Log Sources
CCF: Backup Information1237This AIE Rule creates events for information from backup software.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.8.1, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.11.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.8.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4NoOperations: InformationInclude All Log Sources
CCF: Blacklisted Account Alarm

1334

This AIE creates an alarm when a blacklisted account activity occurs within the environment.  This requires the CCF: User Blacklist to be populated and updated regularly.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2 , 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesAudit: Other Audit SuccessInclude All Log Sources
CCF: Blacklist Location Auth1204Authentication success from a blacklisted location.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources

CCF: Compromise Detected Alarm

1335

This AIE rule creates an event and alerts on potential compromises across the environment.

1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: CompromiseInclude All Log Sources
CCF: Concurrent VPN from Multiple Locations1205Multiple VPN authentication successes from the same origin login are observed from different regions within a given time period (default three hours).1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources
CCF: Concurrent VPN from Same User1373This AIE Rule alerts on the occurrence of concurrent VPN from the same user.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 4.1.1.4 NoSecurity: SuspiciousInclude All Log Sources
CCF: Config Change After Attack1214Attack event on a host followed by a configuration change made to that host within three minutes. 1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2 1.3.1.3 1.4.1.1 1.4.1.2 1.4.1.3 1.4.1.4 1.5.3.1 1.5.3.2 1.5.3.3 1.5.3.4 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Config Change then Critical Error1216Configuration change followed by a critical error on the same host indicating an erroneous configuration, malicious intent or otherwise.1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Config Deleted/Disabled1219Configuration deleted or disabled within the organization infrastructure.   1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.1, 2.6.1.2 2.6.1.3, 2.6.1.4, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseCCF: Production Servers
CCF: Config Modified1221Configuration modified within the organization infrastructure. 1.4.1, 1.4.2, 2.1.1, 2.1.2, 2.2.1, 2.4.1, 2.5.2, 2.6.2, 2.11.1, 3.1.11.4.1.1, 1.4.1.2, 1.4.1.3, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.3.1.2, 2.3.1.5, 2.3.1.11, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.11.1.1, 2.11.1.2, 2.11.1.4, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.5NoSecurity: CompromiseInclude All Log Sources
CCF: Corroborated Account Anomalies1207Three or more unique behavioral anomalies for a given user within a three hour period. This rule requires Rule IDs 285 - 289 be turned on.





Use Case: An account has been compromised.
1.3.1, 1.4.2, 1.5.1, 1.5.1, 1.5.2, 1.5.2, 1.5.3, 1.5.3, 1.5.4, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.1, 1.5.3.4, 1.5.3.4, 1.5.3.5, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources
CCF: Corroborated Data Access Anomalies1201Two or more unique behavioral anomalies for data within a three hour period. Requires rule IDs 300-302 be turned on for this alarm to trigger.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources
CCF: Critical Event After Attack1206An external attack or compromise followed by a critical event on the same host.





Action: This alarm can identify when an error message is generated as the result of a successful attack. This can be unexpected process termination or a hardware fail.
1.3.1 1.4.2 1.4.2 1.5.1 1.5.2 1.5.3 1.5.4 1.6.1 1.6.2 2.3.1 2.3.2 2.4.1 2.5.1 2.6.1 2.6.2 2.7.1 2.7.2 2.8.2 2.9.1 2.11.2 2.12.1 3.1.1 3.1.2 4.1.1 4.1.2 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: Critical/PRD Envir Patch Failure Alarm

1212

This AIE rule creates an alert any time a patch fails to apply to the critical or production environments (entity structure).

1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4 , 2.8.1.2, 2.8.1.3, 2.8.1.4 , 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: ErrorInclude All Log Sources
CCF: Data Destruction1202Attack event followed by a FIM delete/modify event on the same host.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.8.2, 2.9.1 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.3, 2.8.1.4, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources
CCF: Data Exfiltration Observed1193External attack or compromise followed by data leaving the same system.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10 ,2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.3, 2.8.1.4, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2 3.1.1.3 3.1.1.4 3.1.1.5 3.1.1.6 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Data Loss Prevention1232This AIE Rule provides details of data generated by the LogRhythm Data Loss Defender or other data loss prevention solutions, when configured.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.1, 2.4.1.2, 2.4.1.2, 2.4.1.3, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.6.1.2, 2.8.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.3, 2.8.1.4, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoOperations: InformationInclude All Log Sources
CCF: Disabled Account Auth Success1194Recently disabled or deleted account authenticates or accesses resources on the network.1.3.1, 1.4.2, 1.4.2, 1.5.1, 1.5.1, 1.5.2, 1.5.2 ,1.5.3, 1.5.3, 1.5.4, 1.5.4, 1.6.1, 2.2.2, 2.3.2, 2.5.1, 2.9.1, 2.11.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.1, 1.5.3.4, 1.5.3.4, 1.5.3.5, 2.2.1.5, 2.2.1.6, 2.2.1.11, 2.3.1.3, 2.3.1.4, 2.3.1.7, 2.3.1.8, 2.3.1.10, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.5.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.9, 2.11.1.10, 2.12.1.3, 2.12.1.8 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources
CCF: Distributed Brute Force1203A successful brute force authentication - multiple failed authentication attempts from different external hosts to the same host using the same origin login, followed by an authentication success.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: Denial of Service Alarm

1376

This AIE Rule alerts on the occurrence of any identified Denial of Service event.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.5,  3.1.1.6, 4.1.1.4

YesSecurity: Denial Of ServiceInclude All Log Sources

CCF: Early TLS/SSL Alarm

1238

This AIE Rule alerts on the occurrence of any identified TLS LogRhythm Network Monitor event.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: ActivityInclude All Log Sources
CCF: Excessive Authentication Failure Rule1370This AIE Rule supports alerting on >10 authentication failures in 30 minutes (login failures). Match this threshold to your organization's specific authentication failure policies.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2 2.1.1.3 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.4, 3.1.1.6, 4.1.1.4YesAudit: Authentication FailureInclude All Log Sources
CCF: External Brute Force Auths1197Successful authentication after multiple failed attempts from different external origin hosts to the same impacted host.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: Failed Audit Log Write Alarm

1332

This AIE Rule provides details on audit log write failures.

1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5 , 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesAudit: Other Audit FailureInclude All Log Sources
CCF: FIM Abnormal Activity1233This AIE Rule creates events for all abnormal file integrity monitoring activity.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: Suspicious1. Include All Log Sources
2. Include All Log Sources
CCF: FIM Add Activity1234This AIE Rule creates events for all file integrity monitoring add activity.1.3.1 1.4.2 1.5.1 1.5.2 1.5.3 1.5.4 1.6.1 1.6.2 2.1.1 2.1.2 2.2.1 2.3.1 2.3.2 2.4.1 2.5.1 2.6.1 2.6.2 2.7.1 2.7.2 2.8.2 2.9.1 2.11.1 2.11.2 2.12.1 3.1.2 4.1.1 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: ActivityInclude All Log Sources

CCF: FIM Delete Activity Alarm

1235

This AIE Rule alarms on file integrity monitoring delete activity.

1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

YesSecurity: ActivityInclude All Log Sources
CCF: FIM General Activity1239This rule creates an event fir file integrity monitoring activity including adds, deletes, modifies, group changes, owner changes, and permissions. The FIM log source can be established from LogRhythm's FIM or other FIM solutions.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoOperations: InformationInclude All Log Sources
CCF: FIM Information1229This AIE Rule creates events for general file integrity monitoring information.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoOperations: InformationInclude All Log Sources
CCF: GeoIP Blacklisted Region Activity1241This rule tracks activity associated with Blacklisted Regions (list).1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: SuspiciousInclude All Log Sources
CCF: GeoIP General Activity1240This rule is designed to use with the Data Processor's GeoIP functionality, to represent general GeoIP activity.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Suspicious

New: Operations: Information
Include All Log Sources
CCF: Large Outbound Transfer1195Single host is seen sending over 1GB of data within 30 minutes out of the network.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: CompromiseInclude All Log Sources
CCF: Linux sudo Privilege Escalation1330User not in the LogRhythm list "CCF: Privileged Accounts" and not in the local 'sudoers' file tries to use sudo on a Linux host. 1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: SuspiciousInclude All Log Sources
CCF: Local Account Created and Used1196An account is created on a host and then used shortly thereafter on the same host.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: LogRhythm Silent Log Source Error Alarm

1209

This AIE Rule creates an alert and provides information when a LogRhythm Log Source has not received logs from a critical or production server-system during the defined error period.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5 , 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: WarningInclude All Log Sources

 

CCF: Malware Alarm

1217

This AIE Rule provides details on malware activity across the organization's environment where malware detection/prevention is applied.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: MalwareInclude All Log Sources
CCF: Misuse1231This AIE Rule provides details on misuse activity.1.3.1 1.4.2 1.5.1 1.5.2 1.5.3 1.5.4 1.6.1 1.6.2 2.3.1 2.3.2 2.5.1 2.6.1 2.9.1 2.11.2 2.12.1 3.1.1 3.1.2 4.1.1 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.4, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10,  2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 NoSecurity: MisuseInclude All Log Sources
CCF: Multiple Account Passwords Modified by Admin1327An observed login by a user in the privileged user list followed by the change of two or more other account passwords.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: SuspiciousInclude All Log Sources

CCF: Non-Encrypted Protocol Alarm

1222

This investigation provides details of unencrypted applications being utilized within the critical and production systems or environments (entity structure).

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: InformationInclude All Log Sources
CCF: Password Modified by Admin1325Privileged user changes the password of another account.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: SuspiciousInclude All Log Sources
CCF: Password Modified by Another User1333User changes the password of another account (not their own).1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.1, 4.1.21.3.1.1, 1.3.1.1, 1.3.1.2, 1.3.1.2, 1.3.1.3, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5,  2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoAudit: Account ModifiedInclude All Log Sources

CCF: PRD Envir Config/Policy Change Alarm

1210

This AIE rule creates an alert any time a configuration or policy modification logs are received from a critical or production environment (entity structure).


1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2, 2.7.1, 2.7.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5 , 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4 , 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

YesAudit: PolicyCCF: Production Servers

CCF: PRD Envir Signature Failure Alarm

1213

This AIE Rule creates an alert on signature update failures on critical or production environments (entity structure). 


1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: ErrorInclude All Log Sources

CCF: Priv Group Access Granted Alarm

1324

This AIE Rule provides details on access granted to privileged groups (administrators, dnsadmins, domain admins, enterprise admins, schema admins) within the organization infrastructure.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

YesAudit: Access GrantedInclude All Log Sources

CCF: Privilege Escalation After Attack Alarm

1329

Compromised host event followed by a new account created or account modified on the same host. 


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: Compromise1. Include All Log Sources
2. Include All Log Sources

CCF: Rogue Access Point Alarm

1220

This AIE Rule alerts on the occurrence of any rogue access point detection events against the organization's environment.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10 , 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: SuspiciousInclude All Log Sources
CCF: Social Media Event1242This rule tracks social media activity, to help identify if private or personal data that should not be in transmission is present within the environment's traffic.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.11.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4NoSecurity: SuspiciousInclude All Log Sources
CCF: Software Install1371This alerts on failed and incomplete updates attempts to update or install in the organization.1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.4.1, 2.5.2, 2.6.2, 2.11.1, 2.11.21.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.5, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.8, 2.11.1.9, 2.12.1.2, 2.12.1.3, 2.12.1.8YesAudit: ConfigurationInclude All Log Sources

CCF: Software Install Fail Alarm

1375

This AIE rule creates an event and alerts on any software installation activity across the environment. 


1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.6.2, 2.11.1, 2.11.2

1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.5, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.5.1.3, 2.6.1.2, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.8, 2.11.1.9, 2.12.1.2, 2.12.1.3, 2.12.1.8

NoAudit: ConfigurationInclude All Log Sources
CCF: Software Uninstall1372This alerts on failed or interrupted software uninstallations.1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.4.1, 2.5.2, 2.6.2, 2.11.1, 2.11.21.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.5, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.8, 2.11.1.9, 2.12.1.2, 2.12.1.3, 2.12.1.8YesAudit : ConfigurationInclude All Log Sources

CCF: Software Uninstall Fail Alarm

1374

This AIE rule creates an event and alerts on any software uninstallation activity across the environment.


1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.6.2, 2.11.1, 2.11.2

1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.5, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.5.1.3, 2.6.1.2, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.8, 2.11.1.9, 2.12.1.2, 2.12.1.3, 2.12.1.8

NoAudit: ConfigurationInclude All Log Sources

CCF: Suspected Wireless Attack Alarm

1223

This AIE Rule creates an event and alerts on suspected wireless attacks (success/failure) against the boundary monitoring devices.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: AttackCCF: Wireless IDS

CCF: Time Sync Error Alarm

1215

This AIE Rule creates an event and alerts for any time sync errors occurring on any log source.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.5.1, 2.8.1, 2.8.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesOperations: WarningInclude All Log Sources

CCF: Unknown User Account Alarm

1243

This rule identifies activity originating from unknown user accounts, based off of the CCF user lists.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: SuspiciousInclude All Log Sources

CCF: Vulnerability Detected Alarm

1218

This AIE Rule alerts on the occurrence of vulnerabilities or suspicious events across the organization's environment.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

YesSecurity: VulnerabilityInclude All Log Sources
CCF: Windows RunAs Privilege Escalation1321User not in the LogRhythm List "Privileged Users" chooses to Run a Windows program as an administrator using the "Run as administrator" option.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2 4.1.1, 4.1.2,1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4 NoSecurity: Suspicious1. Include All Log Sources
2. Include All Log Sources
JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.