Skip to main content
Skip table of contents

NCA OTCC – Investigations

AI Engine Rule Name

Rule ID

Description

Subdomain Controls SupportSub-Control SupportData Source

Classifications

Log Sources

CCF: Account Modification Inv

703

This investigation provides details around modifications made to privileged accounts within the environment.  This investigation requires the CCF: Privileged Accounts (user list) to be established and updated periodically.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15,  2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Applications Accessed By User Inv

689

This investigation provides information about user accessed applications.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Audit Log Inv

701

This investigation provides details around potential control failures around auditing systems.  This requires the configuration and enablement of the CCF: Audit Logging Stopped Alarm, CCF: Audit Log Cleared Alarm, CCF: Failed Audit Log Write Alarms.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Backup Activity Inv

688

This investigation provides detail around activity from backup events.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.8.1, 2.8.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 2.6.1, 2.6.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Operations

All Available Log Sources

CCF: Compromises Detected Inv

690

This investigation provides a summary of detected compromises of security by Entity and Impacted Host.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

LogMart(s)

Security

All Available Log Sources

CCF: Config/Policy Change Inv

675

This investigation provides a summary of the occurrence of configuration or policy changes across critical and production environments (entity structure).

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2, 2.7.1, 2.7.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.5.1.5, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Critical Environment Error Inv

676

This investigation provides summary details around critical or error messages received from critical servers or systems (entity structure) to support change management procedures.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.5.1, 2.8.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s

Operations

All Available Log Sources

CCF: Deleted Account Inv

706

This investigation provides detailed information when any new accounts are deleted across any logged environments (entity structure).

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Denial of Service Inv

707

This investigation provides details of detected denial of service attempts.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4 

Data Processor(s)

Audit

All Available Log Sources

CCF: Disabled Account Inv

705

This investigation provides detailed information when any new accounts are revoked (disabled) across any logged environments (entity structure).

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2, 2.12.1.2, 2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Enabled Account Inv

704

This investigation provides detailed information when any new accounts are granted (enabled) across any logged environments (entity structure).

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Excessive Authentication Failure Inv708This investigation provides detailed information around excessive user account authentication failures  (>10 authentication failures in 30 minutes) across any logged environments (entity structure).1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 2.13.2, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: GeoIP Inv696This report summarizes GeoIP activity that is associated with AI Engine GeoIP rules, in the CCF compliance automation suite.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: Host Access Granted And Revoked Inv691This investigation details all access granted and revoked for production systems.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: LogRhythm Data Loss Defender Log Inv692This investigation provides information on data generated by the LogRhythm Data Loss Defender.  Data is grouped by Entity, Impacted Host, Common Event, and Object with a count of how many times that condition has been experienced within the investigation period.1.3.1 1.4.2 1.5.1 1.5.2 1.5.3 1.5.4 1.6.1 1.6.2 2.1.1 2.1.2 2.2.1 2.3.1 2.3.2 2.4.1 2.5.1 2.6.1 2.6.2 2.7.1 2.7.2 2.8.2 2.9.1 2.11.1 2.11.2 2.12.1 3.1.1 3.1.2 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

 

CCF: Malware Detected Inv

677

This investigation provides a summary of malware activity by entity and impacted host within the organization's critical and production environments (entity structure).


1.3.1,   1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2, 

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: Object Access Inv693This investigation summarizes object access by Impacted Host.1.3.1, 1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.1, 2.6.1, 2.6.2, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.1, 1.3.1.2, 1.3.1.2, 1.3.1.3, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Password Modification Inv

702

This investigation provides detail around password modification to accounts within the environment.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1 2.5.1.2, 2.5.1.3 2.5.1.5, 2.6.1.1, 2.6.1.2 2.9.1.1 2.9.1.2 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Patch Activity Inv

678

This investigation provides a summary of applied patches grouped by Origin Host. It can demonstrate that all system components have the latest security patches installed.

1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Security

All Available Log Sources

CCF: Physical Access Inv

679

This investigation summarizes physical door access/authentication success and failures within the organization's physical security perimeter.


1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.2.2, 2.3.1, 2.3.2, 2.6.1, 2.8.2, 2.9.1, 2.12.1, 2.13.2, 3.1.2, 4.1.2

1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.3, 2.3.1.4, 2.3.1.7, 2.3.1.9, 2.3.1.10, 2.3.1.12, 2.3.1.13, 2.4.1.15, 2.4.1.16, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.7, 2.11.1.8, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.13.1.2, 2.13.1.3, 2.13.1.5, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Audit

All Available Log Sources

CCF: Privileged Account Escalation Inv

700

This investigation provides detail around privileged access escalation within a Linux and Windows OS.  This requires configuration and enablement of CCF: Windows RunAs Privilege Escalation & CCF: Linux sudo Privilege Escalation AIE rules.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: Privileged Account Modification Inv

703

This investigation provides details around modifications made to privileged accounts within the environment. This investigation requires the CCF: Privileged Accounts (user list) to be established and updated periodically.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.6, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.4, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Rogue Access Point Inv

680

This investigation provides a summary of all detected rogue wireless access points by Impacted Host across critical, production, and online banking environments (entity structure).


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: Signature Activity Inv

681

This investigation provides summary information on signature update activity across critical and production environments (entity structure).


1.3.1, 1.4.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.5.2, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.1, 1.4.1.2, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.4, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.6.1.3, 2.6.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

LogMart(s)

Operations

All Available Log Sources

CCF: Social Media Inv

695

Summarizes the top URLs related to Social Media activity.


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4,

Platform Manager(s)

Audit

All Available Log Sources

CCF: Suspected Wireless Attack Inv

682

This investigation provides information on suspected wireless attacks at the internal boundary including the type of attack and impacted (targeted) host and application (if applicable).  This is based on Critical and Production environments (can be defined with entity structure).


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: Suspicious Users Inv

685

This investigation lists all users generating suspicious activity ordered by the number of events detected highest to lowest.

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.3, 2.3.1.4, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Security

All Available Log Sources

CCF: Time Sync Error Inv

683

This investigation provides a summary of time sync errors occurring within critical and production environments (can be defined with entity structure).


1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.5.1, 2.8.1, 2.8.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.2

1.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.2, 1.5.3.3, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.8.1.1, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Operations

All Available Log Sources

CCF: Unknown User Account Inv697This investigation provides detail of activity from unknown user accounts, based off of CCF user lists.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.1, 2.4.1.2, 2.4.1.2, 2.4.1.3, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.8, 2.4.1.9, 2.4.1.9, 2.4.1.10, 2.4.1.10, 2.4.1.11, 2.4.1.11, 2.4.1.12,  2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Security

All Available Log Sources

CCF: Use Of Non-Encrypted Protocols Inv686This investigation lists any use of non-encrypted protocols.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.3.1, 2.5.1, 2.3.2, 2.4.1, 2.5.1, 2.6.1, 2.6.2, 2.7.1, 2.7.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.7, 2.2.1.10, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

LogMart(s)

Audit

All Available Log Sources

CCF: User Misuse Inv687This investigation summarizes detected misuse by user.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.5.1, 2.6.1, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.4, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

CCF: User Object Access Inv694This investigation summarizes successful object access activity by user.1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.1.1, 2.1.2, 2.2.1, 2.2.2, 2.3.1, 2.3.2, 2.4.1, 2.5.1, 2.6.2, 2.9.1, 2.11.1, 2.8.2, 2.9.1, 2.11.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.2, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.1.1.1, 2.1.1.2, 2.1.1.3, 2.1.1.5, 2.2.1.1, 2.2.1.2, 2.2.1.4, 2.2.1.5, 2.2.1.6, 2.2.1.7, 2.2.1.10, 2.2.1.11, 2.3.1.1, 2.3.1.2, 2.3.1.3, 2.3.1.4, 2.3.1.5, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.10, 2.3.1.11, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.6, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.2, 2.5.1.3, 2.5.1.5, 2.6.1.1, 2.6.1.2, 2.8.1.2, 2.8.1.3, 2.8.1.4, 2.9.1.1, 2.9.1.2, 2.11.1.1, 2.11.1.2, 2.11.1.3, 2.11.1.4, 2.11.1.5, 2.11.1.6, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Data Processor(s)

Audit

All Available Log Sources

CCF: Vulnerability Detected Inv

684

This investigation provides a summary of potential vulnerabilities detected across the critical and production environments (can be defined with entity structure).

1.3.1, 1.4.2, 1.5.1, 1.5.2, 1.5.3, 1.5.4, 1.6.1, 1.6.2, 2.3.1, 2.3.2, 2.4.1, 2.6.2, 2.9.1, 2.11.2, 2.12.1, 3.1.1, 3.1.2, 4.1.21.3.1.1, 1.3.1.2, 1.3.1.3, 1.4.1.4, 1.5.3.1, 1.5.3.4, 1.5.3.5, 2.2.1.10, 2.3.1.1, 2.3.1.3, 2.3.1.7, 2.3.1.8, 2.3.1.9, 2.3.1.12, 2.3.1.13, 2.4.1.1, 2.4.1.2, 2.4.1.3, 2.4.1.8, 2.4.1.9, 2.4.1.10, 2.4.1.11, 2.4.1.12, 2.4.1.15, 2.4.1.16, 2.5.1.1, 2.5.1.3, 2.6.1.2, 2.9.1.1, 2.9.1.2, 2.11.1.3, 2.11.1.5, 2.11.1.7, 2.11.1.8, 2.11.1.9, 2.11.1.10, 2.12.1.2,  2.12.1.3, 2.12.1.8, 3.1.1.1, 3.1.1.2, 3.1.1.3, 3.1.1.4, 3.1.1.5, 3.1.1.6, 4.1.1.4

Platform Manager(s)

Security

All Available Log Sources

JavaScript errors detected

Please note, these errors can depend on your browser setup.

If this problem persists, please contact our support.