UAE-NESA – AI Engine Rules
| AIE Rules & Alerts | Alarm | Rule ID | Augment Requirements | Alarming | Classification | Log Source |
|---|---|---|---|---|---|---|
| CCF: Abnormal Amount of Data Transferred | No | 1230 | This rule alerts whenever a significant change (400% increase or 75% decrease) in Bytes In or Bytes Out from a specific host. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Operations : Warning | 1. Include All Log Sources 2. Include All Log Sources |
| CCF: Admin Password Modified | No | 1326 | User changes the password of a different privileged user account. Augment: T5.2.3, T5.2.3.3, T5.2.3.3, T5.5.3, T5.5.3.1 | No | Security: Suspicious | Include All Log Sources |
| CCF: Audit Log Cleared Alarm | Yes | 1331 | This AIE Rule provides details on audit log clearing. Augment: M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, T3.6.2, T3.6.2.1, T3.6.2.3, T3.6.2.4, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T5.4.6, T5.4.6.7, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit : Access Success | Include All Log Sources |
| CCF: Audit Logging Stopped Alarm | Yes | 1328 | This AIE Rule provides details on audit logging being stopped. Augment: M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, T3.6.2, T3.6.2.1, T3.6.2.3, T3.6.2.4, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T5.4.6, T5.4.6.7, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit : Configuration | Include All Log Sources |
| CCF: Backup Failure Alarm | Yes | 1236 | More than 10 backup failure events are detected. Augment: M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.2.4, T2.2.4.2, T3.5.1, T3.5.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations : Error | Include All Log Sources |
| CCF: Backup Information | No | 1237 | This AIE Rule creates events for information from backup software. Augment: M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.2.4, T2.2.4.2, T3.5.1, T3.5.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Operations : Information | Include All Log Sources |
| CCF: Blacklist Location Auth | No | 1204 | Authentication success from a blacklisted location. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.3.6, M1.3.6.2, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Compromise | Include All Log Sources |
| CCF: Blacklisted Account Alarm | Yes | 1334 | This AIE creates an alarm when a blacklisted account activity occurs within the environment. This requires the CCF: User Blacklist to be populated and updated regularly. Augment: T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit : Other Audit Success | Include All Log Sources |
| CCF: Compromise Detected Alarm | Yes | 1335 | This AIE rule creates an event and alerts on potential compromises across the environment. Augment: M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security : Compromise | Include All Log Sources |
| CCF: Concurrent VPN from Multiple Locations | No | 1205 | Multiple VPN authentication successes from the same origin login are observed from different regions within a given time period (default 3 hours). Augment: T5.4.2, T5.4.2.2, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2 | No | Security : Compromise | Include All Log Sources |
| CCF: Config Change After Attack | No | 1214 | Attack event on a host followed by a configuration change made to that host within 3 minutes. Augment: M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.4.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Compromise | 1. Include All Log Sources 2. Include All Log Sources |
| CCF: Critical/PRD Envir Config/Policy Change Alarm | Yes | 1210 | This AIE rule creates an alert any time a configuration or policy modification logs are received from a critical or production environment (entity structure). Augment: M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.4.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit : Policy | CCF: Production Servers |
| CCF: Critical/PRD Envir Patch Failure Alarm | Yes | 1212 | This AIE rule creates an alert any time a patch fails to apply to the critical or production environments (entity structure). Augment: M5.2.2, M5.2.2.3, M5.2.2.4, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.2.4, T2.2.4.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.4.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations : Error | Include All Log Sources |
| CCF: Critical/PRD Envir Signature Failure Alarm | Yes | 1213 | This AIE Rule creates an alert on signature update failures on critical or production environments (entity structure). Augment: M5.2.2, M5.2.2.3, M5.2.2.4, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.2.4, T2.2.4.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.4.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations : Error | Include All Log Sources |
| CCF: Data Loss Prevention | No | 1232 | This AIE Rule provides details of data generated by the LogRhythm Data Loss Defender or other data loss prevention solutions, when configured. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T1.4.1, T1.4.1.2, T1.4.1.3, T1.4.1.4, T2.3.3, T2.3.3.3, T3.4.1.5, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Operations : Information | Include All Log Sources |
| CCF: Early TLS/SSL Alarm | Yes | 1238 | This AIE Rule alerts on the occurrence of any identified TLS LogRhythm Network Monitor event. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.2.6, M5.2.6.2, M5.2.6.3, M5.2.6.4, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security : Activity | Include All Log Sources |
| CCF: Failed Audit Log Write Alarm | Yes | 1332 | This AIE Rule provides details on audit log write failures. Augment: M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, T3.6.2, T3.6.2.1, T3.6.2.3, T3.6.2.4, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T5.4.6, T5.4.6.7, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit : Other Audit Failure | Include All Log Sources |
| CCF: FIM Abnormal Activity | No | 1233 | This AIE Rule creates events for all abnormal file integrity monitoring activity. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Suspicious | 1. Include All Log Sources 2. Include All Log Sources |
| CCF: FIM Add Activity | No | 1234 | This AIE Rule creates events for all file integrity monitoring add activity. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Activity | Include All Log Sources |
| CCF: FIM Delete Activity Alarm | Yes | 1235 | This AIE Rule alarms on file integrity monitoring delete activity. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security : Activity | Include All Log Sources |
| CCF: FIM General Activity | No | 1239 | This rule creates an event for file integrity monitoring activity including adds, deletes, modifies, group changes, owner changes, and permissions. The FIM log source can be established from LogRhythm's FIM or other FIM solutions. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Operations : Information | Include All Log Sources |
| CCF: FIM Information | No | 1229 | This AIE Rule creates events for general file integrity monitoring information. Augment: M1.3.5, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Operations : Information | Include All Log Sources |
| CCF: GeoIP Blacklisted Region Activity | No | 1241 | This rule tracks activity associated with Blacklisted Regions (list). Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.3.6, M1.3.6.2, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Suspicious | Include All Log Sources |
| CCF: GeoIP General Activity | No | 1240 | This rule is designed to use with the Data Processor's GeoIP functionality, to represent general GeoIP activity. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.3.6, M1.3.6.2, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Suspicious | Include All Log Sources |
| CCF: Linux sudo Privilege Escalation | No | 1330 | User not in the LogRhythm list "CCF: Privileged Accounts" and not in the local 'sudoers' file tries to use sudo on a Linux host. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.2.2, T5.2.2.1, T5.2.2.2, T5.2.2.3, T5.2.2.5, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Suspicious | Include All Log Sources |
| CCF: Local Account Created and Used | No | 1196 | An account is created on a host and then used shortly thereafter on the same host. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.2.2, T5.2.2.1, T5.2.2.2, T5.2.2.3, T5.2.2.5, T5.2.3, T5.2.3.3, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.5.2, T5.5.2.3, T5.5.3, T5.5.3.1, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Compromise | 1. Include All Log Sources 2. Include All Log Sources |
| CCF: LogRhythm Silent Log Source Error Alarm | Yes | 1209 | This AIE Rule creates an alert and provides information when a LogRhythm Log Source has not received logs from a critical or production server-system during the defined error period. Augment: M1.3.6, M1.3.6.2, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.2.4, T2.2.4.2, T2.3.3, T2.3.3.3, T3.2.3, T3.2.3.2, T3.2.3.3, T3.4.1, T3.4.1.1, T3.4.1.2, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.5.1, T3.5.1.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations : Warning | Include All Log Sources |
| CCF: Malware Alarm | Yes | 1217 | This AIE Rule provides details on malware activity across the organization's environment where malware detection/prevention is applied. Augment: M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security : Malware | Include All Log Sources |
| CCF: Misuse | No | 1231 | This AIE Rule provides details on misuse activity. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.3.6, M1.3.6.2, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Misuse | Include All Log Sources |
| CCF: Multiple Account Passwords Modified by Admin | No | 1327 | An observed login by a user in the privileged user list followed by the change of two or more other account passwords. Augment: T5.2.3, T5.2.3.3, T5.5.3, T5.5.3.1 | No | Security: Suspicious | Include All Log Sources |
| CCF: Non-Encrypted Protocol Alarm | Yes | 1222 | This investigation provides details of unencrypted applications being utilized within the critical and production systems or environments (entity structure). Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M1.4.3, M1.4.3.5, M1.4.3.7, M1.4.3.8, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.2.6, M5.2.6.2, M5.2.6.3, M5.2.6.4, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations : Information | Include All Log Sources |
| CCF: Password Modified by Admin | No | 1325 | Privileged user changes the password of another account. Augment: T5.2.3, T5.2.3.3, T5.5.3, T5.5.3.1 | No | Security: Suspicious | Include All Log Sources |
| CCF: Password Modified by Another User | No | 1333 | User changes the password of another account (not their own). Augment: T5.2.3, T5.2.3.3, T5.5.3, T5.5.3.1 | No | Audit: Account Modified | Include All Log Sources |
| CCF: Priv Group Access Granted Alarm | Yes | 1324 | This AIE Rule provides details on access granted to privileged groups (administrators, dnsadmins, domain admins, enterprise admins, schema admins) within the organization infrastructure. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.2.2, T5.2.2.1, T5.2.2.2, T5.2.2.3, T5.2.2.5, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Audit: Access Granted | Include All Log Sources |
| CCF: Privilege Escalation After Attack Alarm | Yes | 1329 | Compromised host event followed by a new account created or account modified on the same host. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.2.2, T5.2.2.1, T5.2.2.2, T5.2.2.3, T5.2.2.5, T5.4.1, T5.4.1.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security : Suspicious | Include All Log Sources |
| CCF: Rogue Access Point Alarm | Yes | 1220 | This AIE Rule alerts on the occurrence of any rogue access point detection events against the organization's environment. Augment: M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.3.3, T2.3.3.3, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security: Suspicious | Include All Log Sources |
| CCF: Social Media Event | No | 1242 | This rule tracks social media activity, to help identify if private or personal data that should not be in transmission is present within the environment's traffic. Augment: M1.4.3.8, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.3, M5.2.3.2, M5.2.3.3, M5.2.3.4, M5.2.4, M5.2.4.2, M5.2.4.3, M5.2.4.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.4.6, T5.4.6.7, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security: Suspicious | Include All Log Sources |
| CCF: Suspected Wireless Attack Alarm | Yes | 1223 | This AIE Rule creates an event and alerts on suspected wireless attacks (success/failure) against the boundary monitoring devices. Augment: M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T2.3.3, T2.3.3.3, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T5.4.7, T5.4.7.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security: Attack | CCF: Wireless IDC |
| CCF: Time Sync Error Alarm | Yes | 1215 | This AIE Rule creates an event and alerts for any time sync errors occurring on any Log Source. Augment: M5.2.2, M5.2.2.3, M5.2.2.4, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.6, T3.6.6.1, T3.6.6.2, T3.6.6.3, T3.6.6.5, T3.6.7, T3.6.7.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Operations: Warning | Include All Log Sources |
| CCF: Unknown User Account Alarm | Yes | 1243 | This rule identifies activity originating from unknown user accounts, based off of the CCF user lists. Augment: M1.3.5.4, M1.3.6, M1.3.6.2, M2.4.1, M2.4.1.2, M4.4.3, M4.4.3.1, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1, T5.2.1.2, T5.2.1.3, T5.2.1.4, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security: Suspicious | Include All Log Sources |
| CCF: Vulnerability Detected Alarm | Yes | 1218 | This AIE Rule alerts on the occurrence of vulnerabilities or suspicious events across the organization's environment. Augment: M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.4.1, T3.4.1.1, T3.4.1.3, T3.4.1.5, T3.4.1.7, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.4.6, T5.4.6.7, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | Yes | Security: Vulnerability | Include All Log Sources |
| CCF: Windows RunAs Privilege Escalation | No | 1321 | User not in the LogRhythm List "Privileged Users" chooses to Run a Windows program as an administrator using the "Run as administrator" option. Augment: M1.3.5, M1.3.5.1, M1.3.5.3, M1.3.5.4, M2.4.1, M2.4.1.2, M5.2.2, M5.2.2.3, M5.2.2.4, M5.2.5, M5.2.5.2, M5.2.5.3, M5.3.1, M5.3.1.2, M5.3.1.3, M5.4.1, M5.4.1.2, M5.4.1.3, M5.5.1, M5.5.1.1, M5.5.1.2, M5.5.1.3, M5.5.1.4, M5.5.2, M5.5.2.1, M5.5.2.2, M5.5.2.3, M6.2.1, M6.2.1.1, M6.2.1.2, M6.2.2, M6.3.1, M6.3.1.1, T1.3.3, T1.3.3.1, T1.3.3.2, T3.2.3, T3.2.3.2, T3.2.3.3, T3.6.2, T3.6.2.1, T3.6.2.2, T3.6.2.3, T3.6.2.4, T3.6.2.5, T3.6.3, T3.6.3.1, T3.6.3.2, T3.6.3.3, T3.6.3.4, T3.6.3.5, T3.6.4, T3.6.4.1, T3.6.4.2, T3.6.5, T3.6.5.1, T3.6.5.2, T3.6.5.3, T3.6.5.4, T3.6.5.5, T4.2.1, T4.2.1.3, T4.2.1.4, T4.2.2, T4.2.2.4, T4.2.4, T4.2.4.3, T4.2.4.4, T4.3.1, T4.3.1.2, T4.3.1.4, T4.3.3, T4.3.3.3, T4.4.1, T4.4.1.3, T4.5.1, T4.5.1.4, T4.5.1.5, T4.5.4, T4.5.4.3, T4.5.4.4, T5.1.1, T5.1.1.5, T5.2.1.4, T5.2.2, T5.2.2.1, T5.2.2.2, T5.2.2.3, T5.2.2.5, T5.4.1, T5.4.1.2, T5.4.2, T5.4.2.2, T5.4.2.3, T5.4.4, T5.4.4.3, T5.4.4.4, T5.5.2, T5.5.2.3, T5.5.4, T5.5.4.3, T5.5.4.4, T5.6.1, T5.6.1.1, T5.7.2, T5.7.2.2, T6.2.2, T6.2.2.3, T7.2.1, T7.2.1.1, T7.2.1.3, T7.2.1.4, T7.3.3, T7.3.3.1, T7.3.3.2, T7.5.1, T7.5.1.4, T7.5.1.5, T7.5.3, T7.5.3.3, T7.6.1, T7.6.1.2, T7.6.2, T7.6.2.2, T7.6.4, T7.6.4.1, T7.6.4.2, T8.2.1, T8.2.1.4, T8.2.3, T8.2.3.1, T8.2.3.2, T8.2.7, T8.2.7.1, T8.2.7.2, T8.2.7.3, T8.2.9, T8.2.9.2, T8.3.2, T8.3.2.3, T9.2.2, T9.2.2.1 | No | Security : Suspicious | Include All Log Sources |