home *** CD-ROM | disk | FTP | other *** search

---

/ Chip 2001 May / W2KPRK.iso / apps / loganalyst / data1.cab / Configuration_Files / policy.def

< prev

next >

Wrap

Text File  |  1999-09-07  |  60KB  |  4,417 lines

---

1. #################################################################
2. # Signature Definitions
3. # Copyright (c) 1998 Centrax Corporation. All rights reserved.
4. # $Id: policy.def,v 1.32 1998/07/06 16:27:51 snapp Exp $
5. #################################################################
6. #
7. #Number of signatures
8. 81
9. #================================================================
10. BEGIN SIGNATURE
11. #ID
12. 1001
13. #Input Event ID
14. 560
15. #Output Signature ID
16. 2001
17. #Name
18. General Virus and Trojan Horse Activity
19. #Description
20. Detects the modification or attempted modification of any audited executable (Files that end with *.exe, *.bat, and *.com).
21. #Number of fields
22. 7
23. #----------
24. #Field Type
25. Object Type
26. #Mask
27. File
28. #Export Flag
29. 0
30. #----------
31. #Field Type
32. Access Types
33. #Mask
34. 4417,4418
35. #Export Flag
36. 0
37. #----------
38. #Field Type
39. Object Name
40. #Mask
41. *:\*.exe,*:\*.bat,*:\*.com
42. #Export Flag
43. 1
44. #----------
45. #Field Type
46. Username
47. #Mask
48.  
49. #Export Flag
50. 1
51. #----------
52. #Field Type
53. User Domain
54. #Mask
55.  
56. #Export Flag
57. 1
58. #----------
59. #Field Type
60. Computer
61. #Mask
62.  
63. #Export Flag
64. 1
65. #----------
66. #Field Type
67. Time
68. #Mask
69.  
70. #Export Flag
71. 1
72. #---------
73. #Key field for reporting
74. KEY FIELD
75. Object Name
76. #================================================================
77. BEGIN SIGNATURE
78. #ID
79. 1002
80. #Input Event ID
81. 560
82. #Output Signature ID
83. 2002
84. #Name
85. General Object Browsing Activity
86. #Description
87. Detects the reading or attempted reading of any audited object on the system.
88. #Number of fields
89. 7
90. #----------
91. #Field Type
92. Object Type
93. #Mask
94. File
95. #Export Flag
96. 0
97. #----------
98. #Field Type
99. Access Types
100. #Mask
101. 4416
102. #Export Flag
103. 0
104. #----------
105. #Field Type
106. Object Name
107. #Mask
108. *:\*
109. #Export Flag
110. 1
111. #----------
112. #Field Type
113. Username
114. #Mask
115.  
116. #Export Flag
117. 1
118. #----------
119. #Field Type
120. User Domain
121. #Mask
122.  
123. #Export Flag
124. 1
125. #----------
126. #Field Type
127. Computer
128. #Mask
129.  
130. #Export Flag
131. 1
132. #----------
133. #Field Type
134. Time
135. #Mask
136.  
137. #Export Flag
138. 1
139. #---------
140. #Key field for reporting
141. KEY FIELD
142. Object Name
143. #================================================================
144. #BEGIN SIGNATURE
145. #ID
146. #1003
147. #Input Event ID
148. #560
149. #Output Signature ID
150. #2003
151. #Name
152. #Critical System Data File (Read)
153. #Description
154. #The reading of this critical system File or registry key has been designated as a security risk by the security officer.
155. #Number of fields
156. #7
157. #----------
158. #Field Type
159. #Object Type
160. #Mask
161. #File
162. #Export Flag
163. #0
164. #----------
165. #Field Type
166. #Access Types
167. #Mask
168. #4416
169. #Export Flag
170. #0
171. #----------
172. #Field Type
173. #Object Name
174. #Mask
175. #
176. #Export Flag
177. #1
178. #----------
179. #Field Type
180. #Username
181. #Mask
182. #
183. #Export Flag
184. #1
185. #----------
186. #Field Type
187. #User Domain
188. #Mask
189. #
190. #Export Flag
191. #1
192. #----------
193. #Field Type
194. #Computer
195. #Mask
196. #
197. #Export Flag
198. #1
199. #----------
200. #Field Type
201. #Time
202. #Mask
203. #
204. #Export Flag
205. #1
206. #---------
207. #Key field for reporting
208. #KEY FIELD
209. #Object Name
210. #================================================================
211. #BEGIN SIGNATURE
212. #ID
213. #1004
214. #Input Event ID
215. #560
216. #Output Signature ID
217. #2004
218. #Name
219. #Critical System Data File (Modification)
220. #Description
221. #The modification of this critical system File or registry key has been designated as a security risk by the security officer.
222. #Number of fields
223. #7
224. #----------
225. #Field Type
226. #Object Type
227. #Mask
228. #File
229. #Export Flag
230. #0
231. #----------
232. #Field Type
233. #Access Types
234. #Mask
235. #4417,4418,1537
236. #Export Flag
237. #0
238. #----------
239. #Field Type
240. #Object Name
241. #Mask
242. #*:\winnt\system.ini,*:\winnt\win.ini,*:\winnt\system32\ntdos.sys,*:\winnt\system32\drivers\ntfs.sys,*:\config.sys,*:\io.sys,*:\msdos.sys
243. #Export Flag
244. #1
245. #----------
246. #Field Type
247. #Username
248. #Mask
249. #
250. #Export Flag
251. #1
252. #----------
253. #Field Type
254. #User Domain
255. #Mask
256. #
257. #Export Flag
258. #1
259. #----------
260. #Field Type
261. #Computer
262. #Mask
263. #
264. #Export Flag
265. #1
266. #----------
267. #Field Type
268. #Time
269. #Mask
270. #
271. #Export Flag
272. #1
273. #---------
274. #Key field for reporting
275. #KEY FIELD
276. #Object Name
277. #================================================================
278. #BEGIN SIGNATURE
279. #ID
280. #1005
281. #Input Event ID
282. #560
283. #Output Signature ID
284. #2005
285. #Name
286. #Critical System Data File (Any Access)
287. #Description
288. #The accessing of this critical system File or registry key has been designated as a security risk by the security officer.
289. #Number of fields
290. #6
291. #----------
292. #Field Type
293. #Object Type
294. #Mask
295. #File
296. #Export Flag
297. #0
298. #----------
299. #Field Type
300. Object Name
301. #Mask
302. #*:\boot.ini,*:\ntldr
303. #Export Flag
304. #1
305. #----------
306. #Field Type
307. #Username
308. #Mask
309. #
310. #Export Flag
311. #1
312. #----------
313. #Field Type
314. #User Domain
315. #Mask
316. #
317. #Export Flag
318. #1
319. #----------
320. #Field Type
321. #Computer
322. #Mask
323. #
324. #Export Flag
325. #1
326. #----------
327. #Field Type
328. #Time
329. #Mask
330. #
331. #Export Flag
332. #1
333. #---------
334. #Key field for reporting
335. #KEY FIELD
336. #Object Name
337. #================================================================
338. #BEGIN SIGNATURE
339. #ID
340. #1006
341. #Input Event ID
342. #560
343. #Output Signature ID
344. #2006
345. #Name
346. #Critical System Executable Access (Read)
347. #Description
348. #The reading of this critical system executable has been designated as a security risk by the security officer.
349. #Number of fields
350. #7
351. #----------
352. #Field Type
353. #Object Type
354. #Mask
355. #File
356. #Export Flag
357. #0
358. #----------
359. #Field Type
360. #Access Types
361. #Mask
362. #4416
363. #Export Flag
364. #0
365. #----------
366. #Field Type
367. #Object Name
368. #Mask
369. #
370. #Export Flag
371. #1
372. #----------
373. #Field Type
374. #Username
375. #Mask
376. #
377. #Export Flag
378. #1
379. #----------
380. #Field Type
381. #User Domain
382. #Mask
383. #
384. #Export Flag
385. #1
386. #----------
387. #Field Type
388. #Computer
389. #Mask
390. #
391. #Export Flag
392. #1
393. #----------
394. #Field Type
395. #Time
396. #Mask
397. #
398. #Export Flag
399. #1
400. #---------
401. #Key field for reporting
402. #KEY FIELD
403. #Object Name
404. #================================================================
405. #BEGIN SIGNATURE
406. #ID
407. #1007
408. #Input Event ID
409. #560
410. #Output Signature ID
411. #2007
412. #Name
413. #Critical System Executable Access (Modification)
414. #Description
415. #The modification of this critical system executable has been designated as a security risk by the security officer.
416. #Number of fields
417. #7
418. #----------
419. #Field Type
420. #Object Type
421. #Mask
422. #File
423. #Export Flag
424. #0
425. #----------
426. #Field Type
427. #Access Types
428. #Mask
429. #4417,4418,1537
430. #Export Flag
431. #0
432. #----------
433. #Field Type
434. Object Name
435. #Mask
436. #*:\winnt\system32\smss.exe,*:\winnt\system32\csrss.exe,*:\winnt\system32\winlogon.exe,*:\winnt\system32\services.exe,*:\winnt\system32\lsass.exe,*:\winnt\system32\explorer.exe,*:\winnt\system32\spoolss.exe,*:\winnt\system32\taskmgr.exe,*:\winnt\system32\rpcss.exe,*:\winnt\system32\nddeagnt.exe,*:\winnt\system32\ntvdm.exe,*:\winnt\system32\inetsrv\inetinfo.exe,*:\winnt\system32\ntoskrnl.exe,*:\winnt\system32\ntdll.dll,*:\winnt\system32\wsock32.dll
437. #Export Flag
438. #1
439. #----------
440. #Field Type
441. #Username
442. #Mask
443. #
444. #Export Flag
445. #1
446. #----------
447. #Field Type
448. #User Domain
449. #Mask
450. #
451. #Export Flag
452. #1
453. #----------
454. #Field Type
455. #Computer
456. #Mask
457. #
458. #Export Flag
459. #1
460. #----------
461. #Field Type
462. #Time
463. #Mask
464. #
465. #Export Flag
466. #1
467. #---------
468. #Key field for reporting
469. #KEY FIELD
470. #Object Name
471. #================================================================
472. #BEGIN SIGNATURE
473. #ID
474. #1008
475. #Input Event ID
476. #560
477. #Output Signature ID
478. #2008
479. #Name
480. #Critical System Executable Access (Any Access)
481. #Description
482. #The accessing of this critical system executable has been designated as a security risk by the security officer.
483. #Number of fields
484. #6
485. #----------
486. #Field Type
487. #Object Type
488. #Mask
489. #File
490. #Export Flag
491. #0
492. #----------
493. #Field Type
494. #Object Name
495. #Mask
496. #*:\autoexec.bat,*:\ntdetect.com
497. #Export Flag
498. #1
499. #----------
500. #Field Type
501. #Username
502. #Mask
503. #
504. #Export Flag
505. #1
506. #----------
507. #Field Type
508. #User Domain
509. #Mask
510. #
511. #Export Flag
512. #1
513. #----------
514. #Field Type
515. #Computer
516. #Mask
517. #
518. #Export Flag
519. #1
520. #----------
521. #Field Type
522. #Time
523. #Mask
524. #
525. #Export Flag
526. #1
527. #---------
528. #Key field for reporting
529. #KEY FIELD
530. Object Name
531. #================================================================
532. #BEGIN SIGNATURE
533. #ID
534. #1009
535. #Input Event ID
536. #560
537. #Output Signature ID
538. #2009
539. #Name
540. #Critical Project Data File (Read)
541. #Description
542. #The reading of this critical project File or registry key has been designated as a security risk by the security officer.
543. #Number of fields
544. #7
545. #----------
546. #Field Type
547. #Object Type
548. #Mask
549. #File
550. #Export Flag
551. #0
552. #----------
553. #Field Type
554. #Access Types
555. #Mask
556. #4416
557. #Export Flag
558. #0
559. #----------
560. #Field Type
561. #Object Name
562. #Mask
563. #
564. #Export Flag
565. #1
566. #----------
567. #Field Type
568. #Username
569. #Mask
570. #
571. #Export Flag
572. #1
573. #----------
574. #Field Type
575. #User Domain
576. #Mask
577. #
578. #Export Flag
579. #1
580. #----------
581. #Field Type
582. #Computer
583. #Mask
584. #
585. #Export Flag
586. #1
587. #----------
588. #Field Type
589. #Time
590. #Mask
591. #
592. #Export Flag
593. #1
594. #---------
595. #Key field for reporting
596. #KEY FIELD
597. #Object Name
598. #================================================================
599. #BEGIN SIGNATURE
600. #ID
601. #1010
602. #Input Event ID
603. #560
604. #Output Signature ID
605. #2010
606. #Name
607. #Critical Project Data File (Modification)
608. #Description
609. #The modification of this critical project File or registry key has been designated as a security risk by the security officer.
610. #Number of fields
611. #7
612. #----------
613. #Field Type
614. #Object Type
615. #Mask
616. #File
617. #Export Flag
618. #0
619. #----------
620. #Field Type
621. #Access Types
622. #Mask
623. #4417,4418,1537
624. #Export Flag
625. #0
626. #----------
627. #Field Type
628. #Object Name
629. #Mask
630. #
631. #Export Flag
632. #1
633. #----------
634. #Field Type
635. #Username
636. #Mask
637. #
638. #Export Flag
639. #1
640. #----------
641. #Field Type
642. #User Domain
643. #Mask
644. #
645. #Export Flag
646. #1
647. #----------
648. #Field Type
649. #Computer
650. #Mask
651. #
652. #Export Flag
653. #1
654. #----------
655. #Field Type
656. #Time
657. #Mask
658. #
659. #Export Flag
660. #1
661. #---------
662. #Key field for reporting
663. #KEY FIELD
664. #Object Name
665. #================================================================
666. #BEGIN SIGNATURE
667. #ID
668. #1011
669. #Input Event ID
670. #560
671. #Output Signature ID
672. #2011
673. #Name
674. #Critical Project Data File (Any Access)
675. #Description
676. #The accessing of this critical project File or registry key has been designated as a security risk by the security officer.
677. #Number of fields
678. #6
679. #----------
680. #Field Type
681. #Object Type
682. #Mask
683. #File
684. #Export Flag
685. #0
686. #----------
687. #Field Type
688. #Object Name
689. #Mask
690. #
691. #Export Flag
692. #1
693. #----------
694. #Field Type
695. #Username
696. #Mask
697. #
698. #Export Flag
699. #1
700. #----------
701. #Field Type
702. #User Domain
703. #Mask
704. #
705. #Export Flag
706. #1
707. #----------
708. #Field Type
709. #Computer
710. #Mask
711. #
712. #Export Flag
713. #1
714. #----------
715. #Field Type
716. #Time
717. #Mask
718. #
719. #Export Flag
720. #1
721. #---------
722. #Key field for reporting
723. #KEY FIELD
724. #Object Name
725. #================================================================
726. #BEGIN SIGNATURE
727. #ID
728. #1012
729. #Input Event ID
730. #560
731. #Output Signature ID
732. #2012
733. #Name
734. #Critical Project Executable Access (Read)
735. #Description
736. #The reading of this critical project executable has been designated as a security risk by the security officer.
737. #Number of fields
738. #7
739. #----------
740. #Field Type
741. #Object Type
742. #Mask
743. #File
744. #Export Flag
745. #0
746. #----------
747. #Field Type
748. #Access Types
749. #Mask
750. #4416
751. #Export Flag
752. #0
753. #----------
754. #Field Type
755. #Object Name
756. #Mask
757. #
758. #Export Flag
759. #1
760. #----------
761. #Field Type
762. #Username
763. #Mask
764. #
765. #Export Flag
766. #1
767. #----------
768. #Field Type
769. #User Domain
770. #Mask
771. #
772. #Export Flag
773. #1
774. #----------
775. #Field Type
776. #Computer
777. #Mask
778. #
779. #Export Flag
780. #1
781. #----------
782. #Field Type
783. #Time
784. #Mask
785. #
786. #Export Flag
787. #1
788. #---------
789. #Key field for reporting
790. #KEY FIELD
791. #Object Name
792. #================================================================
793. #BEGIN SIGNATURE
794. #ID
795. #1013
796. #Input Event ID
797. #560
798. #Output Signature ID
799. #2013
800. #Name
801. #Critical Project Executable Access (Modification)
802. #Description
803. #The modification of this critical project executable has been designated as a security risk by the security officer.
804. #Number of fields
805. #7
806. #----------
807. #Field Type
808. #Object Type
809. #Mask
810. #File
811. #Export Flag
812. #0
813. #----------
814. #Field Type
815. #Access Types
816. #Mask
817. #4417,4418,1537
818. #Export Flag
819. #0
820. #----------
821. #Field Type
822. #Object Name
823. #Mask
824. #
825. #Export Flag
826. #1
827. #----------
828. #Field Type
829. #Username
830. #Mask
831. #
832. #Export Flag
833. #1
834. #----------
835. #Field Type
836. #User Domain
837. #Mask
838. #
839. #Export Flag
840. #1
841. #----------
842. #Field Type
843. #Computer
844. #Mask
845. #
846. #Export Flag
847. #1
848. #----------
849. #Field Type
850. #Time
851. #Mask
852. #
853. #Export Flag
854. #1
855. #---------
856. #Key field for reporting
857. #KEY FIELD
858. #Object Name
859. #================================================================
860. #BEGIN SIGNATURE
861. #ID
862. #1014
863. #Input Event ID
864. #560
865. #Output Signature ID
866. #2014
867. #Name
868. #Critical Project Executable Access (Any Access)
869. #Description
870. #The accessing of this critical project executable has been designated as a security risk by the security officer.
871. #Number of fields
872. #6
873. #----------
874. #Field Type
875. #Object Type
876. #Mask
877. #File
878. #Export Flag
879. #0
880. #----------
881. #Field Type
882. #Object Name
883. #Mask
884. #
885. #Export Flag
886. #1
887. #----------
888. #Field Type
889. #Username
890. #Mask
891. #
892. #Export Flag
893. #1
894. #----------
895. #Field Type
896. #User Domain
897. #Mask
898. #
899. #Export Flag
900. #1
901. #----------
902. #Field Type
903. #Computer
904. #Mask
905. #
906. #Export Flag
907. #1
908. #----------
909. #Field Type
910. #Time
911. #Mask
912. #
913. #Export Flag
914. #1
915. #---------
916. #Key field for reporting
917. #KEY FIELD
918. #Object Name
919. #================================================================
920. #BEGIN SIGNATURE
921. #ID
922. #1015
923. #Input Event ID
924. #560
925. #Output Signature ID
926. #2015
927. #Name
928. #Decoy Data File (Read)
929. #Description
930. #This data File or registry key has been designated as a decoy by the security officer. The reading of this File or key indicates a browsing user.
931. #Number of fields
932. #7
933. #----------
934. #Field Type
935. #Object Type
936. #Mask
937. #File
938. #Export Flag
939. #0
940. #----------
941. #Field Type
942. #Access Types
943. #Mask
944. #4416
945. #Export Flag
946. #0
947. #----------
948. #Field Type
949. #Object Name
950. #Mask
951. #
952. #Export Flag
953. #1
954. #----------
955. #Field Type
956. #Username
957. #Mask
958. #
959. #Export Flag
960. #1
961. #----------
962. #Field Type
963. #User Domain
964. #Mask
965. #
966. #Export Flag
967. #1
968. #----------
969. #Field Type
970. #Computer
971. #Mask
972. #
973. #Export Flag
974. #1
975. #----------
976. #Field Type
977. #Time
978. #Mask
979. #
980. #Export Flag
981. #1
982. #---------
983. #Key field for reporting
984. #KEY FIELD
985. #Object Name
986. #================================================================
987. #BEGIN SIGNATURE
988. #ID
989. #1016
990. #Input Event ID
991. #560
992. #Output Signature ID
993. #2016
994. #Name
995. #Decoy Data File (Modification)
996. #Description
997. #This date File or registry key has been designated as a decoy by the security officer. Modification of this File or key may indicate the activity of a less knowledgeable user.
998. #Number of fields
999. #7
1000. #----------
1001. #Field Type
1002. #Object Type
1003. #Mask
1004. #File
1005. #Export Flag
1006. #0
1007. #----------
1008. #Field Type
1009. #Access Types
1010. #Mask
1011. #4417,4418,1537
1012. #Export Flag
1013. #0
1014. #----------
1015. #Field Type
1016. #Object Name
1017. #Mask
1018. #
1019. #Export Flag
1020. #1
1021. #----------
1022. #Field Type
1023. #Username
1024. #Mask
1025. #
1026. #Export Flag
1027. #1
1028. #----------
1029. #Field Type
1030. #User Domain
1031. #Mask
1032. #
1033. #Export Flag
1034. #1
1035. #----------
1036. #Field Type
1037. #Computer
1038. #Mask
1039. #
1040. #Export Flag
1041. #1
1042. #----------
1043. #Field Type
1044. #Time
1045. #Mask
1046. #
1047. #Export Flag
1048. #1
1049. #---------
1050. #Key field for reporting
1051. #KEY FIELD
1052. #Object Name
1053. #================================================================
1054. #BEGIN SIGNATURE
1055. #ID
1056. #1017
1057. #Input Event ID
1058. #560
1059. #Output Signature ID
1060. #2017
1061. #Name
1062. #Decoy Data File (Any Access)
1063. #Description
1064. #This date File or registry key has been designated as a decoy by the security officer. Accessing of this File or key may indicate the activity of a less knowledgeable user.
1065. #Number of fields
1066. #6
1067. #----------
1068. #Field Type
1069. #Object Type
1070. #Mask
1071. #File
1072. #Export Flag
1073. #0
1074. #----------
1075. #Field Type
1076. #Object Name
1077. #Mask
1078. #
1079. #Export Flag
1080. #1
1081. #----------
1082. #Field Type
1083. #Username
1084. #Mask
1085. #
1086. #Export Flag
1087. #1
1088. #----------
1089. #Field Type
1090. #User Domain
1091. #Mask
1092. #
1093. #Export Flag
1094. #1
1095. #----------
1096. #Field Type
1097. #Computer
1098. #Mask
1099. #
1100. #Export Flag
1101. #1
1102. #----------
1103. #Field Type
1104. #Time
1105. #Mask
1106. #
1107. #Export Flag
1108. #1
1109. #---------
1110. #Key field for reporting
1111. #KEY FIELD
1112. #Object Name
1113. #================================================================
1114. #BEGIN SIGNATURE
1115. #ID
1116. #1018
1117. #Input Event ID
1118. #560
1119. #Output Signature ID
1120. #2018
1121. #Name
1122. #Decoy Executable Access (Read)
1123. #Description
1124. #This executable has been designated as a decoy by the security officer. The reading of this executable indicates a browsing user.
1125. #Number of fields
1126. #7
1127. #----------
1128. #Field Type
1129. #Object Type
1130. #Mask
1131. #File
1132. #Export Flag
1133. #0
1134. #----------
1135. #Field Type
1136. #Access Types
1137. #Mask
1138. #4416
1139. #Export Flag
1140. #0
1141. #----------
1142. #Field Type
1143. #Object Name
1144. #Mask
1145. #
1146. #Export Flag
1147. #1
1148. #----------
1149. #Field Type
1150. #Username
1151. #Mask
1152. #
1153. #Export Flag
1154. #1
1155. #----------
1156. #Field Type
1157. #User Domain
1158. #Mask
1159. #
1160. #Export Flag
1161. #1
1162. #----------
1163. #Field Type
1164. #Computer
1165. #Mask
1166. #
1167. #Export Flag
1168. #1
1169. #----------
1170. #Field Type
1171. #Time
1172. #Mask
1173. #
1174. #Export Flag
1175. #1
1176. #---------
1177. #Key field for reporting
1178. #KEY FIELD
1179. #Object Name
1180. #================================================================
1181. #BEGIN SIGNATURE
1182. #ID
1183. #1019
1184. #Input Event ID
1185. #560
1186. #Output Signature ID
1187. #2019
1188. #Name
1189. #Decoy Executable Access (Modification)
1190. #Description
1191. #This executable has been designated as a decoy by the security officer. The modification of this decoy executable may indicate the activity of a less knowledgeable user.
1192. #Number of fields
1193. #7
1194. #----------
1195. #Field Type
1196. #Object Type
1197. #Mask
1198. #File
1199. #Export Flag
1200. #0
1201. #----------
1202. #Field Type
1203. #Access Types
1204. #Mask
1205. #4417,4418,1537
1206. #Export Flag
1207. #0
1208. #----------
1209. #Field Type
1210. #Object Name
1211. #Mask
1212. #
1213. #Export Flag
1214. #1
1215. #----------
1216. #Field Type
1217. #Username
1218. #Mask
1219. #
1220. #Export Flag
1221. #1
1222. #----------
1223. #Field Type
1224. #User Domain
1225. #Mask
1226. #
1227. #Export Flag
1228. #1
1229. #----------
1230. #Field Type
1231. #Computer
1232. #Mask
1233. #
1234. #Export Flag
1235. #1
1236. #----------
1237. #Field Type
1238. #Time
1239. #Mask
1240. #
1241. #Export Flag
1242. #1
1243. #---------
1244. #Key field for reporting
1245. #KEY FIELD
1246. #Object Name
1247. #================================================================
1248. #BEGIN SIGNATURE
1249. #ID
1250. #1020
1251. #Input Event ID
1252. #560
1253. #Output Signature ID
1254. #2020
1255. #Name
1256. #Decoy Executable Access (Any Access)
1257. #Description
1258. #This executable has been designated as a decoy by the security officer. The accessing of this decoy executable may indicate the activity of a less knowledgeable user.
1259. #Number of fields
1260. #6
1261. #----------
1262. #Field Type
1263. #Object Type
1264. #Mask
1265. #File
1266. #Export Flag
1267. #0
1268. #----------
1269. #Field Type
1270. #Object Name
1271. #Mask
1272. #
1273. #Export Flag
1274. #1
1275. #----------
1276. #Field Type
1277. #Username
1278. #Mask
1279. #
1280. #Export Flag
1281. #1
1282. #----------
1283. #Field Type
1284. #User Domain
1285. #Mask
1286. #
1287. #Export Flag
1288. #1
1289. #----------
1290. #Field Type
1291. #Computer
1292. #Mask
1293. #
1294. #Export Flag
1295. #1
1296. #----------
1297. #Field Type
1298. #Time
1299. #Mask
1300. #
1301. #Export Flag
1302. #1
1303. #---------
1304. #Key field for reporting
1305. #KEY FIELD
1306. #Object Name
1307. #================================================================
1308. #BEGIN SIGNATURE
1309. #ID
1310. #1021
1311. #Input Event ID
1312. #560
1313. #Output Signature ID
1314. #2021
1315. #Name
1316. #Centrax Data File (Read)
1317. #Description
1318. #The reading of this Centrax File or registry key has been designated as a security risk by the security officer.
1319. #Number of fields
1320. #7
1321. #----------
1322. #Field Type
1323. #Object Type
1324. #Mask
1325. #File
1326. #Export Flag
1327. #0
1328. #----------
1329. #Field Type
1330. #Access Types
1331. #Mask
1332. #4416
1333. #Export Flag
1334. #0
1335. #----------
1336. #Field Type
1337. #Object Name
1338. #Mask
1339. #
1340. #Export Flag
1341. #1
1342. #----------
1343. #Field Type
1344. #Username
1345. #Mask
1346. #
1347. #Export Flag
1348. #1
1349. #----------
1350. #Field Type
1351. #User Domain
1352. #Mask
1353. #
1354. #Export Flag
1355. #1
1356. #----------
1357. #Field Type
1358. #Computer
1359. #Mask
1360. #
1361. #Export Flag
1362. #1
1363. #----------
1364. #Field Type
1365. #Time
1366. #Mask
1367. #
1368. #Export Flag
1369. #1
1370. #---------
1371. #Key field for reporting
1372. #KEY FIELD
1373. #Object Name
1374. #================================================================
1375. #BEGIN SIGNATURE
1376. #ID
1377. #1022
1378. #Input Event ID
1379. #560
1380. #Output Signature ID
1381. #2022
1382. #Name
1383. #Centrax Data File (Modification)
1384. #Description
1385. #The modification of this Centrax File or registry key has been designated as a security risk by the security officer.
1386. #Number of fields
1387. #7
1388. #----------
1389. #Field Type
1390. #Object Type
1391. #Mask
1392. #File
1393. #Export Flag
1394. #0
1395. #----------
1396. #Field Type
1397. #Access Types
1398. #Mask
1399. #4417,4418,1537
1400. #Export Flag
1401. #0
1402. #----------
1403. #Field Type
1404. #Object Name
1405. #Mask
1406. #
1407. #Export Flag
1408. #1
1409. #----------
1410. #Field Type
1411. #Username
1412. #Mask
1413. #
1414. #Export Flag
1415. #1
1416. #----------
1417. #Field Type
1418. #User Domain
1419. #Mask
1420. #
1421. #Export Flag
1422. #1
1423. #----------
1424. #Field Type
1425. #Computer
1426. #Mask
1427. #
1428. #Export Flag
1429. #1
1430. #----------
1431. #Field Type
1432. #Time
1433. #Mask
1434. #
1435. #Export Flag
1436. #1
1437. #---------
1438. #Key field for reporting
1439. #KEY FIELD
1440. #Object Name
1441. #================================================================
1442. #BEGIN SIGNATURE
1443. #ID
1444. #1023
1445. #Input Event ID
1446. #560
1447. #Output Signature ID
1448. #2023
1449. #Name
1450. #Centrax Data File (Any Access)
1451. #Description
1452. #The accessing of this Centrax File or registry key has been designated as a security risk by the security officer.
1453. #Number of fields
1454. #6
1455. #----------
1456. #Field Type
1457. #Object Type
1458. #Mask
1459. #File
1460. #Export Flag
1461. #0
1462. #----------
1463. #Field Type
1464. #Object Name
1465. #Mask
1466. #
1467. #Export Flag
1468. #1
1469. #----------
1470. #Field Type
1471. #Username
1472. #Mask
1473. #
1474. #Export Flag
1475. #1
1476. #----------
1477. #Field Type
1478. #User Domain
1479. #Mask
1480. #
1481. #Export Flag
1482. #1
1483. #----------
1484. #Field Type
1485. #Computer
1486. #Mask
1487. #
1488. #Export Flag
1489. #1
1490. #----------
1491. #Field Type
1492. #Time
1493. #Mask
1494. #
1495. #Export Flag
1496. #1
1497. #---------
1498. #Key field for reporting
1499. #KEY FIELD
1500. #Object Name
1501. #================================================================
1502. #BEGIN SIGNATURE
1503. #ID
1504. #1024
1505. #Input Event ID
1506. #560
1507. #Output Signature ID
1508. #2024
1509. #Name
1510. #Centrax Executable Access (Read)
1511. #Description
1512. #The reading of this Centrax executable has been designated as a security risk by the security officer.
1513. #Number of fields
1514. #7
1515. #----------
1516. #Field Type
1517. #Object Type
1518. #Mask
1519. #File
1520. #Export Flag
1521. #0
1522. #----------
1523. #Field Type
1524. Access Types
1525. #Mask
1526. 4416
1527. #Export Flag
1528. 0
1529. #----------
1530. #Field Type
1531. Object Name
1532. #Mask
1533.  
1534. #Export Flag
1535. 1
1536. #----------
1537. #Field Type
1538. Username
1539. #Mask
1540.  
1541. #Export Flag
1542. 1
1543. #----------
1544. #Field Type
1545. User Domain
1546. #Mask
1547.  
1548. #Export Flag
1549. 1
1550. #----------
1551. #Field Type
1552. Computer
1553. #Mask
1554.  
1555. #Export Flag
1556. 1
1557. #----------
1558. #Field Type
1559. Time
1560. #Mask
1561.  
1562. #Export Flag
1563. 1
1564. #---------
1565. #Key field for reporting
1566. KEY FIELD
1567. Object Name
1568. #================================================================
1569. #BEGIN SIGNATURE
1570. #ID
1571. #1025
1572. #Input Event ID
1573. #560
1574. #Output Signature ID
1575. #2025
1576. #Name
1577. #Centrax Executable Access (Modification)
1578. #Description
1579. The modification of this Centrax executable has been designated as a security risk by the security officer.
1580. #Number of fields
1581. 7
1582. #----------
1583. #Field Type
1584. Object Type
1585. #Mask
1586. File
1587. #Export Flag
1588. 0
1589. #----------
1590. #Field Type
1591. Access Types
1592. #Mask
1593. 4417,4418,1537
1594. #Export Flag
1595. 0
1596. #----------
1597. #Field Type
1598. Object Name
1599. #Mask
1600. *:\program Files\Centrax\bin\detect.exe,*:\program Files\Centrax\bin\Centrax.exe,*:\program Files\Centrax\bin\record.exe,*:\program Files\Centrax\bin\recvlog.exe,*:\program Files\Centrax\bin\setbrows.exe
1601. #Export Flag
1602. 1
1603. #----------
1604. #Field Type
1605. Username
1606. #Mask
1607.  
1608. #Export Flag
1609. 1
1610. #----------
1611. #Field Type
1612. User Domain
1613. #Mask
1614.  
1615. #Export Flag
1616. 1
1617. #----------
1618. #Field Type
1619. Computer
1620. #Mask
1621.  
1622. #Export Flag
1623. 1
1624. #----------
1625. #Field Type
1626. Time
1627. #Mask
1628.  
1629. #Export Flag
1630. 1
1631. #---------
1632. #Key field for reporting
1633. KEY FIELD
1634. Object Name
1635. #================================================================
1636. #BEGIN SIGNATURE
1637. #ID
1638. #1026
1639. #Input Event ID
1640. #560
1641. #Output Signature ID
1642. #2026
1643. #Name
1644. #eNTrax Executable Access (Any Access)
1645. #Description
1646. The accessing of this eNTrax executable has been designated as a security risk by the security officer.
1647. #Number of fields
1648. 6
1649. #----------
1650. #Field Type
1651. Object Type
1652. #Mask
1653. File
1654. #Export Flag
1655. 0
1656. #----------
1657. #Field Type
1658. Object Name
1659. #Mask
1660.  
1661. #Export Flag
1662. 1
1663. #----------
1664. #Field Type
1665. Username
1666. #Mask
1667.  
1668. #Export Flag
1669. 1
1670. #----------
1671. #Field Type
1672. User Domain
1673. #Mask
1674.  
1675. #Export Flag
1676. 1
1677. #----------
1678. #Field Type
1679. Computer
1680. #Mask
1681.  
1682. #Export Flag
1683. 1
1684. #----------
1685. #Field Type
1686. Time
1687. #Mask
1688.  
1689. #Export Flag
1690. 1
1691. #---------
1692. #Key field for reporting
1693. KEY FIELD
1694. Object Name
1695. #================================================================
1696. BEGIN SIGNATURE
1697. #ID
1698. 1037
1699. #Input Event ID
1700. 529
1701. #Output Signature ID
1702. 2037
1703. #Name
1704. Failed Logon: Unknown user name or bad password.
1705. #Description
1706. Logon failed due to an unknown user name or bad password.
1707. #Number of fields
1708. 4
1709. #----------
1710. #Field Type
1711. Username
1712. #Mask
1713.  
1714. #Export Flag
1715. 1
1716. #----------
1717. #Field Type
1718. User Domain
1719. #Mask
1720.  
1721. #Export Flag
1722. 1
1723. #----------
1724. #Field Type
1725. Computer
1726. #Mask
1727.  
1728. #Export Flag
1729. 1
1730. #----------
1731. #Field Type
1732. Time
1733. #Mask
1734.  
1735. #Export Flag
1736. 1
1737. #---------
1738. #Key field for reporting
1739. KEY FIELD
1740.  
1741. #================================================================
1742. BEGIN SIGNATURE
1743. #ID
1744. 1038
1745. #Input Event ID
1746. 530
1747. #Output Signature ID
1748. 2038
1749. #Name
1750. Failed Logon: Account logon time restriction violation.
1751. #Description
1752. Logon failed due to account logon time restrictions.
1753. #Number of fields
1754. 4
1755. #----------
1756. #Field Type
1757. Username
1758. #Mask
1759.  
1760. #Export Flag
1761. 1
1762. #----------
1763. #Field Type
1764. User Domain
1765. #Mask
1766.  
1767. #Export Flag
1768. 1
1769. #----------
1770. #Field Type
1771. Computer
1772. #Mask
1773.  
1774. #Export Flag
1775. 1
1776. #----------
1777. #Field Type
1778. Time
1779. #Mask
1780.  
1781. #Export Flag
1782. 1
1783. #---------
1784. #Key field for reporting
1785. KEY FIELD
1786.  
1787. #================================================================
1788. BEGIN SIGNATURE
1789. #ID
1790. 1039
1791. #Input Event ID
1792. 531
1793. #Output Signature ID
1794. 2039
1795. #Name
1796. Failed Logon: Account currently disabled.
1797. #Description
1798. Logon failed because the account is currently disabled.
1799. #Number of fields
1800. 4
1801. #----------
1802. #Field Type
1803. Username
1804. #Mask
1805.  
1806. #Export Flag
1807. 1
1808. #----------
1809. #Field Type
1810. User Domain
1811. #Mask
1812.  
1813. #Export Flag
1814. 1
1815. #----------
1816. #Field Type
1817. Computer
1818. #Mask
1819.  
1820. #Export Flag
1821. 1
1822. #----------
1823. #Field Type
1824. Time
1825. #Mask
1826.  
1827. #Export Flag
1828. 1
1829. #---------
1830. #Key field for reporting
1831. KEY FIELD
1832.  
1833. #================================================================
1834. BEGIN SIGNATURE
1835. #ID
1836. 1040
1837. #Input Event ID
1838. 532
1839. #Output Signature ID
1840. 2040
1841. #Name
1842. Failed Logon: Account has expired.
1843. #Description
1844. Logon failed because the account has expired.
1845. #Number of fields
1846. 4
1847. #----------
1848. #Field Type
1849. Username
1850. #Mask
1851.  
1852. #Export Flag
1853. 1
1854. #----------
1855. #Field Type
1856. User Domain
1857. #Mask
1858.  
1859. #Export Flag
1860. 1
1861. #----------
1862. #Field Type
1863. Computer
1864. #Mask
1865.  
1866. #Export Flag
1867. 1
1868. #----------
1869. #Field Type
1870. Time
1871. #Mask
1872.  
1873. #Export Flag
1874. 1
1875. #---------
1876. #Key field for reporting
1877. KEY FIELD
1878.  
1879. #================================================================
1880. BEGIN SIGNATURE
1881. #ID
1882. 1041
1883. #Input Event ID
1884. 533
1885. #Output Signature ID
1886. 2041
1887. #Name
1888. Failed Logon: User not allowed to logon at this computer.
1889. #Description
1890. Logon failed because the computer has restricted access.
1891. #Number of fields
1892. 4
1893. #----------
1894. #Field Type
1895. Username
1896. #Mask
1897.  
1898. #Export Flag
1899. 1
1900. #----------
1901. #Field Type
1902. User Domain
1903. #Mask
1904.  
1905. #Export Flag
1906. 1
1907. #----------
1908. #Field Type
1909. Computer
1910. #Mask
1911.  
1912. #Export Flag
1913. 1
1914. #----------
1915. #Field Type
1916. Time
1917. #Mask
1918.  
1919. #Export Flag
1920. 1
1921. #---------
1922. #Key field for reporting
1923. KEY FIELD
1924.  
1925. #================================================================
1926. BEGIN SIGNATURE
1927. #ID
1928. 1042
1929. #Input Event ID
1930. 534
1931. #Output Signature ID
1932. 2042
1933. #Name
1934. Failed Logon: Logon type not granted at this machine.
1935. #Description
1936. Logon failed because the user attempted to logon via a logon method (e.g., interactive, network (drive map), batch, service, etc.) currently not allowed.
1937. #Number of fields
1938. 4
1939. #----------
1940. #Field Type
1941. Username
1942. #Mask
1943.  
1944. #Export Flag
1945. 1
1946. #----------
1947. #Field Type
1948. User Domain
1949. #Mask
1950.  
1951. #Export Flag
1952. 1
1953. #----------
1954. #Field Type
1955. Computer
1956. #Mask
1957.  
1958. #Export Flag
1959. 1
1960. #----------
1961. #Field Type
1962. Time
1963. #Mask
1964.  
1965. #Export Flag
1966. 1
1967. #---------
1968. #Key field for reporting
1969. KEY FIELD
1970.  
1971. #================================================================
1972. BEGIN SIGNATURE
1973. #ID
1974. 1043
1975. #Input Event ID
1976. 535
1977. #Output Signature ID
1978. 2043
1979. #Name
1980. Failed Logon: Password has expired.
1981. #Description
1982. Logon failed because the account's password has expired.
1983. #Number of fields
1984. 4
1985. #----------
1986. #Field Type
1987. Username
1988. #Mask
1989.  
1990. #Export Flag
1991. 1
1992. #----------
1993. #Field Type
1994. User Domain
1995. #Mask
1996.  
1997. #Export Flag
1998. 1
1999. #----------
2000. #Field Type
2001. Computer
2002. #Mask
2003.  
2004. #Export Flag
2005. 1
2006. #----------
2007. #Field Type
2008. Time
2009. #Mask
2010.  
2011. #Export Flag
2012. 1
2013. #---------
2014. #Key field for reporting
2015. KEY FIELD
2016.  
2017. #================================================================
2018. BEGIN SIGNATURE
2019. #ID
2020. 1044
2021. #Input Event ID
2022. 536
2023. #Output Signature ID
2024. 2044
2025. #Name
2026. Failed Logon: Netlogon component not active.
2027. #Description
2028. Logon failed because Netlogon is not active.
2029. #Number of fields
2030. 4
2031. #----------
2032. #Field Type
2033. Username
2034. #Mask
2035.  
2036. #Export Flag
2037. 1
2038. #----------
2039. #Field Type
2040. User Domain
2041. #Mask
2042.  
2043. #Export Flag
2044. 1
2045. #----------
2046. #Field Type
2047. Computer
2048. #Mask
2049.  
2050. #Export Flag
2051. 1
2052. #----------
2053. #Field Type
2054. Time
2055. #Mask
2056.  
2057. #Export Flag
2058. 1
2059. #---------
2060. #Key field for reporting
2061. KEY FIELD
2062.  
2063. #================================================================
2064. BEGIN SIGNATURE
2065. #ID
2066. 1045
2067. #Input Event ID
2068. 537
2069. #Output Signature ID
2070. 2045
2071. #Name
2072. Failed Logon: An unexpected error occurred during logon.
2073. #Description
2074. Logon failed for an undetermined reason.
2075. #Number of fields
2076. 4
2077. #----------
2078. #Field Type
2079. Username
2080. #Mask
2081.  
2082. #Export Flag
2083. 1
2084. #----------
2085. #Field Type
2086. User Domain
2087. #Mask
2088.  
2089. #Export Flag
2090. 1
2091. #----------
2092. #Field Type
2093. Computer
2094. #Mask
2095.  
2096. #Export Flag
2097. 1
2098. #----------
2099. #Field Type
2100. Time
2101. #Mask
2102.  
2103. #Export Flag
2104. 1
2105. #---------
2106. #Key field for reporting
2107. KEY FIELD
2108.  
2109. #================================================================
2110. BEGIN SIGNATURE
2111. #ID
2112. 1046
2113. #Input Event ID
2114. 539
2115. #Output Signature ID
2116. 2046
2117. #Name
2118. Failed Logon: Account locked out.
2119. #Description
2120. Logon failed because the account is currently locked out.
2121. #Number of fields
2122. 4
2123. #----------
2124. #Field Type
2125. Username
2126. #Mask
2127.  
2128. #Export Flag
2129. 1
2130. #----------
2131. #Field Type
2132. User Domain
2133. #Mask
2134.  
2135. #Export Flag
2136. 1
2137. #----------
2138. #Field Type
2139. Computer
2140. #Mask
2141.  
2142. #Export Flag
2143. 1
2144. #----------
2145. #Field Type
2146. Time
2147. #Mask
2148.  
2149. #Export Flag
2150. 1
2151. #---------
2152. #Key field for reporting
2153. KEY FIELD
2154.  
2155. #================================================================
2156. #BEGIN SIGNATURE
2157. #ID
2158. #1047
2159. #Input Event ID
2160. #0
2161. #Output Signature ID
2162. #2047
2163. #Name
2164. #Successful Interactive Logon
2165. #Description
2166. #A user logged on through the console or other interactive program such as FTP, telnet, etc.
2167. #Number of fields
2168. #0
2169. #================================================================
2170. #BEGIN SIGNATURE
2171. #ID
2172. #1048
2173. #Input Event ID
2174. #0
2175. #Output Signature ID
2176. #2048
2177. #Name
2178. #Successful Network Logon (Network Drive Mapped)
2179. #Description
2180. #A user successfully mapped to a drive on the target.
2181. #Number of fields
2182. #0
2183. #================================================================
2184. #BEGIN SIGNATURE
2185. #ID
2186. #1049
2187. #Input Event ID
2188. #0
2189. #Output Signature ID
2190. #2049
2191. #Name
2192. #Successful Batch Logon (RAS)
2193. #Description
2194. #A user successfully logged onto the target via RAS or other batch mechanism.
2195. #Number of fields
2196. #0
2197. #================================================================
2198. #BEGIN SIGNATURE
2199. #ID
2200. #1050
2201. #Input Event ID
2202. #0
2203. #Output Signature ID
2204. #2050
2205. #Name
2206. #Successful Service Logon
2207. #Description
2208. #A service successfully logged onto the target.
2209. #Number of fields
2210. #0
2211. #================================================================
2212. BEGIN SIGNATURE
2213. #ID
2214. 1051
2215. #Input Event ID
2216. 528
2217. #Output Signature ID
2218. 2051
2219. #Name
2220. Successful Logon
2221. #Description
2222. A user or service successfully logged into the target.
2223. #Number of fields
2224. 4
2225. #----------
2226. #Field Type
2227. Username
2228. #Mask
2229.  
2230. #Export Flag
2231. 1
2232. #----------
2233. #Field Type
2234. User Domain
2235. #Mask
2236.  
2237. #Export Flag
2238. 1
2239. #----------
2240. #Field Type
2241. Computer
2242. #Mask
2243.  
2244. #Export Flag
2245. 1
2246. #----------
2247. #Field Type
2248. Time
2249. #Mask
2250.  
2251. #Export Flag
2252. 1
2253. #---------
2254. #Key field for reporting
2255. KEY FIELD
2256.  
2257. #================================================================
2258. #BEGIN SIGNATURE
2259. #ID
2260. #1052
2261. #Input Event ID
2262. #0
2263. #Output Signature ID
2264. #2052
2265. #Name
2266. #Successful Administrator Logon
2267. #Description
2268. #The Administrator logged into the target.
2269. #Number of fields
2270. #0
2271. #================================================================
2272. #BEGIN SIGNATURE
2273. #ID
2274. #1053
2275. #Input Event ID
2276. #0
2277. #Output Signature ID
2278. #2053
2279. #Name
2280. #Successful Logon of Account with Group Administrators
2281. #Description
2282. #An account with administrative power logged into the target.
2283. #Number of fields
2284. #0
2285. #================================================================
2286. #BEGIN SIGNATURE
2287. #ID
2288. #1054
2289. #Input Event ID
2290. #0
2291. #Output Signature ID
2292. #2054
2293. #Name
2294. #Successful non-Administrator Logon
2295. #Description
2296. #Someone other than the Administrator logged into the target.
2297. #Number of fields
2298. #0
2299. #================================================================
2300. #BEGIN SIGNATURE
2301. #ID
2302. #1055
2303. #Input Event ID
2304. #0
2305. #Output Signature ID
2306. #2055
2307. #Name
2308. #Successful Logon of Account without Group Administrators
2309. #Description
2310. #An account without administrative power logged into the target.
2311. #Number of fields
2312. #0
2313. #================================================================
2314. #BEGIN SIGNATURE
2315. #ID
2316. #1056
2317. #Input Event ID
2318. #0
2319. #Output Signature ID
2320. #2056
2321. #Name
2322. #Failed Administrator Logon
2323. #Description
2324. #An attempt to logon as the Administrator failed.
2325. #Number of fields
2326. #0
2327. #================================================================
2328. #BEGIN SIGNATURE
2329. #ID
2330. #1057
2331. #Input Event ID
2332. #0
2333. #Output Signature ID
2334. #2057
2335. #Name
2336. #Failed Logon of Account with Group Administrators
2337. #Description
2338. #An attempt to logon to an account with administrative power failed.
2339. #Number of fields
2340. #0
2341. #================================================================
2342. #BEGIN SIGNATURE
2343. #ID
2344. #1058
2345. #Input Event ID
2346. #0
2347. #Output Signature ID
2348. #2058
2349. #Name
2350. #Successful Guest Logon
2351. #Description
2352. #Guest logged into the target.
2353. #Number of fields
2354. #0
2355. #================================================================
2356. #BEGIN SIGNATURE
2357. #ID
2358. #1059
2359. #Input Event ID
2360. #0
2361. #Output Signature ID
2362. #2059
2363. #Name
2364. #Successful Logon of Account with Group Guests
2365. #Description
2366. #A user, that is only a member of group Guests, successfully logged onto the target.
2367. #Number of fields
2368. #0
2369. #================================================================
2370. #BEGIN SIGNATURE
2371. #ID
2372. #1060
2373. #Input Event ID
2374. #0
2375. #Output Signature ID
2376. #2060
2377. #Name
2378. #Failed Guest Logon
2379. #Description
2380. #Guest's attempt to logon failed.
2381. #Number of fields
2382. #0
2383. #================================================================
2384. #BEGIN SIGNATURE
2385. #ID
2386. #1061
2387. #Input Event ID
2388. #0
2389. #Output Signature ID
2390. #2061
2391. #Name
2392. #Failed Logon of Account with Group Guests
2393. #Description
2394. #A member of group Guests attempt to logon failed.
2395. #Number of fields
2396. #0
2397. #================================================================
2398. #BEGIN SIGNATURE
2399. #ID
2400. #1062
2401. #Input Event ID
2402. #0
2403. #Output Signature ID
2404. #2062
2405. #Name
2406. #Network Logoff (Network Drive Unmapped)
2407. #Description
2408. #A network drive originally mapped from this target was unmapped.
2409. #Number of fields
2410. #0
2411. #================================================================
2412. #BEGIN SIGNATURE
2413. #ID
2414. #1063
2415. #Input Event ID
2416. #0
2417. #Output Signature ID
2418. #2063
2419. #Name
2420. #Successful Date/Time Changed
2421. #Description
2422. #The date and/or time was modified.
2423. #Number of fields
2424. #0
2425. #================================================================
2426. #BEGIN SIGNATURE
2427. #ID
2428. #1064
2429. #Input Event ID
2430. #0
2431. #Output Signature ID
2432. #2064
2433. #Name
2434. #Failed Date/Time change
2435. #Description
2436. #An attempt to modify the date and/or time failed.
2437. #Number of fields
2438. #0
2439. #================================================================
2440. #BEGIN SIGNATURE
2441. #ID
2442. #1065
2443. #Input Event ID
2444. #608
2445. #Output Signature ID
2446. #2065
2447. #Name
2448. #User Admin Activity
2449. #Description
2450. #A user was created or modified, or creation or modification was attempted. (Do not select this if you've selected any of the other User Account and User Right activities.)
2451. #Number of fields
2452. #4
2453. #----------
2454. #Field Type
2455. #Username
2456. #Mask
2457. #
2458. #Export Flag
2459. 1
2460. #----------
2461. #Field Type
2462. User Domain
2463. #Mask
2464.  
2465. #Export Flag
2466. 1
2467. #----------
2468. #Field Type
2469. Computer
2470. #Mask
2471.  
2472. #Export Flag
2473. 1
2474. #----------
2475. #Field Type
2476. Time
2477. #Mask
2478.  
2479. #Export Flag
2480. 1
2481. #---------
2482. #Key field for reporting
2483. KEY FIELD
2484.  
2485. #================================================================
2486. BEGIN SIGNATURE
2487. #ID
2488. 1066
2489. #Input Event ID
2490. 624
2491. #Output Signature ID
2492. 2066
2493. #Name
2494. User Account Created
2495. #Description
2496. A new user account was created or creation was attempted.
2497. #Number of fields
2498. 6
2499. #----------
2500. #Field Type
2501. Username
2502. #Mask
2503.  
2504. #Export Flag
2505. 1
2506. #----------
2507. #Field Type
2508. User Domain
2509. #Mask
2510.  
2511. #Export Flag
2512. 1
2513. #----------
2514. #Field Type
2515. Computer
2516. #Mask
2517.  
2518. #Export Flag
2519. 1
2520. #----------
2521. #Field Type
2522. Time
2523. #Mask
2524.  
2525. #Export Flag
2526. 1
2527. #---------
2528. #Field Type
2529. Account Name
2530. #Mask
2531.  
2532. #Export Flag
2533. 1
2534. #---------
2535. #Field Type
2536. Account Domain
2537. #Mask
2538.  
2539. #Export Flag
2540. 1
2541. #---------
2542. #Key field for reporting
2543. KEY FIELD
2544.  
2545. #================================================================
2546. BEGIN SIGNATURE
2547. #ID
2548. 1067
2549. #Input Event ID
2550. 642
2551. #Output Signature ID
2552. 2067
2553. #Name
2554. User Account Changed
2555. #Description
2556. A user's account was changed or a change was attempted.
2557. #Number of fields
2558. 6
2559. #----------
2560. #Field Type
2561. Username
2562. #Mask
2563.  
2564. #Export Flag
2565. 1
2566. #----------
2567. #Field Type
2568. User Domain
2569. #Mask
2570.  
2571. #Export Flag
2572. 1
2573. #----------
2574. #Field Type
2575. Computer
2576. #Mask
2577.  
2578. #Export Flag
2579. 1
2580. #----------
2581. #Field Type
2582. Time
2583. #Mask
2584.  
2585. #Export Flag
2586. 1
2587. #---------
2588. #Field Type
2589. Account Name
2590. #Mask
2591.  
2592. #Export Flag
2593. 1
2594. #---------
2595. #Field Type
2596. Account Domain
2597. #Mask
2598.  
2599. #Export Flag
2600. 1
2601. #---------
2602. #Key field for reporting
2603. KEY FIELD
2604.  
2605. #================================================================
2606. #BEGIN SIGNATURE
2607. #ID
2608. #1068
2609. #Input Event ID
2610. #626
2611. #Output Signature ID
2612. #2068
2613. #Name
2614. #User Account Enabled
2615. #Description
2616. #A user's account was enabled or the enablement was attempted. (Most versions of NT do not produce the event required for this activity.)
2617. #Number of fields
2618. 4
2619. #----------
2620. #Field Type
2621. Username
2622. #Mask
2623.  
2624. #Export Flag
2625. 1
2626. #----------
2627. #Field Type
2628. User Domain
2629. #Mask
2630.  
2631. #Export Flag
2632. 1
2633. #----------
2634. #Field Type
2635. Computer
2636. #Mask
2637.  
2638. #Export Flag
2639. 1
2640. #----------
2641. #Field Type
2642. Time
2643. #Mask
2644.  
2645. #Export Flag
2646. 1
2647. #---------
2648. #Key field for reporting
2649. KEY FIELD
2650.  
2651. #================================================================
2652. #BEGIN SIGNATURE
2653. #ID
2654. #1069
2655. #Input Event ID
2656. #629
2657. #Output Signature ID
2658. #2069
2659. #Name
2660. #User Account Disabled
2661. #Description
2662. #A user's account was disabled or disablement was attempted. (Most versions of NT do not produce the event required for this activity.)
2663. #Number of fields
2664. 4
2665. #----------
2666. #Field Type
2667. Username
2668. #Mask
2669.  
2670. #Export Flag
2671. 1
2672. #----------
2673. #Field Type
2674. User Domain
2675. #Mask
2676.  
2677. #Export Flag
2678. 1
2679. #----------
2680. #Field Type
2681. Computer
2682. #Mask
2683.  
2684. #Export Flag
2685. 1
2686. #----------
2687. #Field Type
2688. Time
2689. #Mask
2690.  
2691. #Export Flag
2692. 1
2693. #---------
2694. #Key field for reporting
2695. KEY FIELD
2696.  
2697. #================================================================
2698. BEGIN SIGNATURE
2699. #ID
2700. 1070
2701. #Input Event ID
2702. 630
2703. #Output Signature ID
2704. 2070
2705. #Name
2706. User Account Deleted
2707. #Description
2708. A user's account was deleted or deletion was attempted.
2709. #Number of fields
2710. 6
2711. #----------
2712. #Field Type
2713. Username
2714. #Mask
2715.  
2716. #Export Flag
2717. 1
2718. #----------
2719. #Field Type
2720. User Domain
2721. #Mask
2722.  
2723. #Export Flag
2724. 1
2725. #----------
2726. #Field Type
2727. Computer
2728. #Mask
2729.  
2730. #Export Flag
2731. 1
2732. #----------
2733. #Field Type
2734. Time
2735. #Mask
2736.  
2737. #Export Flag
2738. 1
2739. #---------
2740. #Field Type
2741. Account Name
2742. #Mask
2743.  
2744. #Export Flag
2745. 1
2746. #---------
2747. #Field Type
2748. Account Domain
2749. #Mask
2750.  
2751. #Export Flag
2752. 1
2753. #---------
2754. #Key field for reporting
2755. KEY FIELD
2756.  
2757. #================================================================
2758. BEGIN SIGNATURE
2759. #ID
2760. 1071
2761. #Input Event ID
2762. 608
2763. #Output Signature ID
2764. 2071
2765. #Name
2766. User Right Assigned
2767. #Description
2768. New user rights were added to an account or an addition was attempted.
2769. #Number of fields
2770. 5
2771. #----------
2772. #Field Type
2773. Username
2774. #Mask
2775.  
2776. #Export Flag
2777. 1
2778. #----------
2779. #Field Type
2780. User Domain
2781. #Mask
2782.  
2783. #Export Flag
2784. 1
2785. #----------
2786. #Field Type
2787. Computer
2788. #Mask
2789.  
2790. #Export Flag
2791. 1
2792. #----------
2793. #Field Type
2794. Time
2795. #Mask
2796.  
2797. #Export Flag
2798. 1
2799. #---------
2800. #Field Type
2801. Affected Username
2802. #Mask
2803.  
2804. #Export Flag
2805. 1
2806. #---------
2807. #Key field for reporting
2808. KEY FIELD
2809.  
2810. #================================================================
2811. BEGIN SIGNATURE
2812. #ID
2813. 1072
2814. #Input Event ID
2815. 609
2816. #Output Signature ID
2817. 2072
2818. #Name
2819. User Right Removed
2820. #Description
2821. User rights were deleted from an account or a deletion was attempted.
2822. #Number of fields
2823. 5
2824. #----------
2825. #Field Type
2826. Username
2827. #Mask
2828.  
2829. #Export Flag
2830. 1
2831. #----------
2832. #Field Type
2833. User Domain
2834. #Mask
2835.  
2836. #Export Flag
2837. 1
2838. #----------
2839. #Field Type
2840. Computer
2841. #Mask
2842.  
2843. #Export Flag
2844. 1
2845. #----------
2846. #Field Type
2847. Time
2848. #Mask
2849.  
2850. #Export Flag
2851. 1
2852. #---------
2853. #Field Type
2854. Affected Username
2855. #Mask
2856.  
2857. #Export Flag
2858. 1
2859. #---------
2860. #Key field for reporting
2861. KEY FIELD
2862.  
2863. #================================================================
2864. BEGIN SIGNATURE
2865. #ID
2866. 1073
2867. #Input Event ID
2868. 627
2869. #Output Signature ID
2870. 2073
2871. #Name
2872. Password Change Failed
2873. #Description
2874. An attempt to change an account's password failed.
2875. #Number of fields
2876. 7
2877. #----------
2878. #Field Type
2879. SuccessFailure
2880. #Mask
2881. 0
2882. #Export Flag
2883. 0
2884. #----------
2885. #Field Type
2886. Username
2887. #Mask
2888.  
2889. #Export Flag
2890. 1
2891. #----------
2892. #Field Type
2893. User Domain
2894. #Mask
2895.  
2896. #Export Flag
2897. 1
2898. #----------
2899. #Field Type
2900. Computer
2901. #Mask
2902.  
2903. #Export Flag
2904. 1
2905. #----------
2906. #Field Type
2907. Time
2908. #Mask
2909.  
2910. #Export Flag
2911. 1
2912. #---------
2913. #Field Type
2914. Account Name
2915. #Mask
2916.  
2917. #Export Flag
2918. 1
2919. #---------
2920. #Field Type
2921. Account Domain
2922. #Mask
2923.  
2924. #Export Flag
2925. 1
2926. #---------
2927. #Key field for reporting
2928. KEY FIELD
2929.  
2930. #================================================================
2931. BEGIN SIGNATURE
2932. #ID
2933. 1074
2934. #Input Event ID
2935. 627
2936. #Output Signature ID
2937. 2047
2938. #Name
2939. Password Change Succeeded
2940. #Description
2941. The password on an account was modified.
2942. #Number of fields
2943. 7
2944. #----------
2945. #Field Type
2946. SuccessFailure
2947. #Mask
2948. 1
2949. #Export Flag
2950. 0
2951. #----------
2952. #Field Type
2953. Username
2954. #Mask
2955.  
2956. #Export Flag
2957. 1
2958. #----------
2959. #Field Type
2960. User Domain
2961. #Mask
2962.  
2963. #Export Flag
2964. 1
2965. #----------
2966. #Field Type
2967. Computer
2968. #Mask
2969.  
2970. #Export Flag
2971. 1
2972. #----------
2973. #Field Type
2974. Time
2975. #Mask
2976.  
2977. #Export Flag
2978. 1
2979. #---------
2980. #Field Type
2981. Account Name
2982. #Mask
2983.  
2984. #Export Flag
2985. 1
2986. #---------
2987. #Field Type
2988. Account Domain
2989. #Mask
2990.  
2991. #Export Flag
2992. 1
2993. #---------
2994. #Key field for reporting
2995. KEY FIELD
2996.  
2997. #================================================================
2998. #BEGIN SIGNATURE
2999. #ID
3000. #1075
3001. #Input Event ID
3002. #0
3003. #Output Signature ID
3004. #2075
3005. #Name
3006. #Three Consecutive Failed Password Changes
3007. #Description
3008. #An attempt to change an account's password failed 3 times consecutively.
3009. #Number of fields
3010. #0
3011. #================================================================
3012. #BEGIN SIGNATURE
3013. #ID
3014. #1076
3015. #Input Event ID
3016. #631
3017. #Output Signature ID
3018. #2076
3019. #Name
3020. #Global Group Admin Activity
3021. #Description
3022. #A global group was created or modified, or creation or modification was attempted. (Do not select this if you've selected any of the other Global Group activities.)
3023. #Number of fields
3024. 4
3025. #----------
3026. #Field Type
3027. Username
3028. #Mask
3029.  
3030. #Export Flag
3031. 1
3032. #----------
3033. #Field Type
3034. User Domain
3035. #Mask
3036.  
3037. #Export Flag
3038. 1
3039. #----------
3040. #Field Type
3041. Computer
3042. #Mask
3043.  
3044. #Export Flag
3045. 1
3046. #----------
3047. #Field Type
3048. Time
3049. #Mask
3050.  
3051. #Export Flag
3052. 1
3053. #---------
3054. #Key field for reporting
3055. KEY FIELD
3056.  
3057. #================================================================
3058. BEGIN SIGNATURE
3059. #ID
3060. 1077
3061. #Input Event ID
3062. 631
3063. #Output Signature ID
3064. 2077
3065. #Name
3066. Global Group Created
3067. #Description
3068. A new global group was created or creation was attempted.
3069. #Number of fields
3070. 6
3071. #----------
3072. #Field Type
3073. Username
3074. #Mask
3075.  
3076. #Export Flag
3077. 1
3078. #----------
3079. #Field Type
3080. User Domain
3081. #Mask
3082.  
3083. #Export Flag
3084. 1
3085. #----------
3086. #Field Type
3087. Computer
3088. #Mask
3089.  
3090. #Export Flag
3091. 1
3092. #----------
3093. #Field Type
3094. Time
3095. #Mask
3096.  
3097. #Export Flag
3098. 1
3099. #---------
3100. #Field Type
3101. Account Name
3102. #Mask
3103.  
3104. #Export Flag
3105. 1
3106. #---------
3107. #Field Type
3108. Account Domain
3109. #Mask
3110.  
3111. #Export Flag
3112. 1
3113. #---------
3114. #Key field for reporting
3115. KEY FIELD
3116.  
3117. #================================================================
3118. BEGIN SIGNATURE
3119. #ID
3120. 1078
3121. #Input Event ID
3122. 632
3123. #Output Signature ID
3124. 2078
3125. #Name
3126. Global Group Member Added
3127. #Description
3128. A user was added to a global group or an addition was attempted.
3129. #Number of fields
3130. 7
3131. #----------
3132. #Field Type
3133. Username
3134. #Mask
3135.  
3136. #Export Flag
3137. 1
3138. #----------
3139. #Field Type
3140. User Domain
3141. #Mask
3142.  
3143. #Export Flag
3144. 1
3145. #----------
3146. #Field Type
3147. Computer
3148. #Mask
3149.  
3150. #Export Flag
3151. 1
3152. #----------
3153. #Field Type
3154. Time
3155. #Mask
3156.  
3157. #Export Flag
3158. 1
3159. #---------
3160. #Field Type
3161. Account Name
3162. #Mask
3163.  
3164. #Export Flag
3165. 1
3166. #---------
3167. #Field Type
3168. Account Domain
3169. #Mask
3170.  
3171. #Export Flag
3172. 1
3173. #---------
3174. #Field Type
3175. Member SID
3176. #Mask
3177.  
3178. #Export Flag
3179. 1
3180. #---------
3181. #Key field for reporting
3182. KEY FIELD
3183.  
3184. #================================================================
3185. BEGIN SIGNATURE
3186. #ID
3187. 1079
3188. #Input Event ID
3189. 633
3190. #Output Signature ID
3191. 2079
3192. #Name
3193. Global Group Member Removed
3194. #Description
3195. A user was deleted from a global group or a deletion was attempted.
3196. #Number of fields
3197. 7
3198. #----------
3199. #Field Type
3200. Username
3201. #Mask
3202.  
3203. #Export Flag
3204. 1
3205. #----------
3206. #Field Type
3207. User Domain
3208. #Mask
3209.  
3210. #Export Flag
3211. 1
3212. #----------
3213. #Field Type
3214. Computer
3215. #Mask
3216.  
3217. #Export Flag
3218. 1
3219. #----------
3220. #Field Type
3221. Time
3222. #Mask
3223.  
3224. #Export Flag
3225. 1
3226. #---------
3227. #Field Type
3228. Account Name
3229. #Mask
3230.  
3231. #Export Flag
3232. 1
3233. #---------
3234. #Field Type
3235. Account Domain
3236. #Mask
3237.  
3238. #Export Flag
3239. 1
3240. #---------
3241. #Field Type
3242. Member SID
3243. #Mask
3244.  
3245. #Export Flag
3246. 1
3247. #---------
3248. #Key field for reporting
3249. KEY FIELD
3250.  
3251. #================================================================
3252. BEGIN SIGNATURE
3253. #ID
3254. 1080
3255. #Input Event ID
3256. 634
3257. #Output Signature ID
3258. 2080
3259. #Name
3260. Global Group Deleted
3261. #Description
3262. A global group was deleted or a deletion was attempted.
3263. #Number of fields
3264. 6
3265. #----------
3266. #Field Type
3267. Username
3268. #Mask
3269.  
3270. #Export Flag
3271. 1
3272. #----------
3273. #Field Type
3274. User Domain
3275. #Mask
3276.  
3277. #Export Flag
3278. 1
3279. #----------
3280. #Field Type
3281. Computer
3282. #Mask
3283.  
3284. #Export Flag
3285. 1
3286. #----------
3287. #Field Type
3288. Time
3289. #Mask
3290.  
3291. #Export Flag
3292. 1
3293. #---------
3294. #Field Type
3295. Account Name
3296. #Mask
3297.  
3298. #Export Flag
3299. 1
3300. #---------
3301. #Field Type
3302. Account Domain
3303. #Mask
3304.  
3305. #Export Flag
3306. 1
3307. #---------
3308. #Key field for reporting
3309. KEY FIELD
3310.  
3311. #================================================================
3312. BEGIN SIGNATURE
3313. #ID
3314. 1081
3315. #Input Event ID
3316. 641
3317. #Output Signature ID
3318. 2081
3319. #Name
3320. Global Group Changed
3321. #Description
3322. A global group was modified or a modification was attempted.
3323. #Number of fields
3324. 6
3325. #----------
3326. #Field Type
3327. Username
3328. #Mask
3329.  
3330. #Export Flag
3331. 1
3332. #----------
3333. #Field Type
3334. User Domain
3335. #Mask
3336.  
3337. #Export Flag
3338. 1
3339. #----------
3340. #Field Type
3341. Computer
3342. #Mask
3343.  
3344. #Export Flag
3345. 1
3346. #----------
3347. #Field Type
3348. Time
3349. #Mask
3350.  
3351. #Export Flag
3352. 1
3353. #---------
3354. #Field Type
3355. Account Name
3356. #Mask
3357.  
3358. #Export Flag
3359. 1
3360. #---------
3361. #Field Type
3362. Account Domain
3363. #Mask
3364.  
3365. #Export Flag
3366. 1
3367. #---------
3368. #Key field for reporting
3369. KEY FIELD
3370.  
3371. #================================================================
3372. #================================================================
3373. #BEGIN SIGNATURE
3374. #ID
3375. #1082
3376. #Input Event ID
3377. #635
3378. #Output Signature ID
3379. #2082
3380. #Name
3381. #Local Group Administrative Activity
3382. #Description
3383. #A local group was created or modified, or creation or modification was attempted. (Do not select this if you've selected any of the other Local Group activities.)
3384. #Number of fields
3385. #6
3386. #----------
3387. #Field Type
3388. #Username
3389. #Mask
3390.  
3391. #Export Flag
3392. #1
3393. #----------
3394. #Field Type
3395. #User Domain
3396. #Mask
3397.  
3398. #Export Flag
3399. #1
3400. #----------
3401. #Field Type
3402. Computer
3403. #Mask
3404.  
3405. #Export Flag
3406. #1
3407. #----------
3408. #Field Type
3409. #Time
3410. #Mask
3411.  
3412. #Export Flag
3413. #1
3414. #---------
3415. #Field Type
3416. #Account Name
3417. #Mask
3418.  
3419. #Export Flag
3420. #1
3421. #---------
3422. #Field Type
3423. #Account Domain
3424. #Mask
3425.  
3426. #Export Flag
3427. #1
3428. #---------
3429. #Key field for reporting
3430. #KEY FIELD
3431.  
3432. #================================================================
3433. BEGIN SIGNATURE
3434. #ID
3435. 1083
3436. #Input Event ID
3437. 635
3438. #Output Signature ID
3439. 2083
3440. #Name
3441. Local Group Created
3442. #Description
3443. A new local group was created or creation was attempted.
3444. #Number of fields
3445. 6
3446. #----------
3447. #Field Type
3448. Username
3449. #Mask
3450.  
3451. #Export Flag
3452. 1
3453. #----------
3454. #Field Type
3455. User Domain
3456. #Mask
3457.  
3458. #Export Flag
3459. 1
3460. #----------
3461. #Field Type
3462. Computer
3463. #Mask
3464.  
3465. #Export Flag
3466. 1
3467. #----------
3468. #Field Type
3469. Time
3470. #Mask
3471.  
3472. #Export Flag
3473. 1
3474. #---------
3475. #Field Type
3476. Account Name
3477. #Mask
3478.  
3479. #Export Flag
3480. 1
3481. #---------
3482. #Field Type
3483. Account Domain
3484. #Mask
3485.  
3486. #Export Flag
3487. 1
3488. #---------
3489. #Key field for reporting
3490. KEY FIELD
3491.  
3492. #================================================================
3493. BEGIN SIGNATURE
3494. #ID
3495. 1084
3496. #Input Event ID
3497. 636
3498. #Output Signature ID
3499. 2084
3500. #Name
3501. Local Group Member Added
3502. #Description
3503. A user was added to a local group or an addition was attempted.
3504. #Number of fields
3505. 7
3506. #----------
3507. #Field Type
3508. Username
3509. #Mask
3510.  
3511. #Export Flag
3512. 1
3513. #----------
3514. #Field Type
3515. User Domain
3516. #Mask
3517.  
3518. #Export Flag
3519. 1
3520. #----------
3521. #Field Type
3522. Computer
3523. #Mask
3524.  
3525. #Export Flag
3526. 1
3527. #----------
3528. #Field Type
3529. Time
3530. #Mask
3531.  
3532. #Export Flag
3533. 1
3534. #---------
3535. #Field Type
3536. Account Name
3537. #Mask
3538.  
3539. #Export Flag
3540. 1
3541. #---------
3542. #Field Type
3543. Account Domain
3544. #Mask
3545.  
3546. #Export Flag
3547. 1
3548. #---------
3549. #Field Type
3550. Member SID
3551. #Mask
3552.  
3553. #Export Flag
3554. 1
3555. #---------
3556. #Key field for reporting
3557. KEY FIELD
3558.  
3559. #================================================================
3560. #BEGIN SIGNATURE
3561. #ID
3562. #1085
3563. #Input Event ID
3564. #0
3565. #Output Signature ID
3566. #2085
3567. #Name
3568. #Member Added to Local Administrators Group
3569. #Description
3570. #A user was added to the group Administrators or an addition was attempted.
3571. #Number of fields
3572. #0
3573. #================================================================
3574. BEGIN SIGNATURE
3575. #ID
3576. 1086
3577. #Input Event ID
3578. 637
3579. #Output Signature ID
3580. 2086
3581. #Name
3582. Local Group Member Removed
3583. #Description
3584. A user was deleted from a local group or a deletion was attempted.
3585. #Number of fields
3586. 7
3587. #----------
3588. #Field Type
3589. Username
3590. #Mask
3591.  
3592. #Export Flag
3593. 1
3594. #----------
3595. #Field Type
3596. User Domain
3597. #Mask
3598.  
3599. #Export Flag
3600. 1
3601. #----------
3602. #Field Type
3603. Computer
3604. #Mask
3605.  
3606. #Export Flag
3607. 1
3608. #----------
3609. #Field Type
3610. Time
3611. #Mask
3612.  
3613. #Export Flag
3614. 1
3615. #---------
3616. #Field Type
3617. Account Name
3618. #Mask
3619.  
3620. #Export Flag
3621. 1
3622. #---------
3623. #Field Type
3624. Account Domain
3625. #Mask
3626.  
3627. #Export Flag
3628. 1
3629. #---------
3630. #Field Type
3631. Member SID
3632. #Mask
3633.  
3634. #Export Flag
3635. 1
3636. #---------
3637. #Key field for reporting
3638. KEY FIELD
3639.  
3640. #================================================================
3641. #BEGIN SIGNATURE
3642. #ID
3643. #1087
3644. #Input Event ID
3645. #0
3646. #Output Signature ID
3647. #2087
3648. #Name
3649. #Member Removed from Local Administrators Group
3650. #Description
3651. #A user was deleted from the group Administrators or a deletion was attempted.
3652. #Number of fields
3653. #0
3654. #================================================================
3655. BEGIN SIGNATURE
3656. #ID
3657. 1088
3658. #Input Event ID
3659. 638
3660. #Output Signature ID
3661. 2088
3662. #Name
3663. Local Group Deleted
3664. #Description
3665. A local group was deleted or a deletion was attempted.
3666. #Number of fields
3667. 6
3668. #----------
3669. #Field Type
3670. Username
3671. #Mask
3672.  
3673. #Export Flag
3674. 1
3675. #----------
3676. #Field Type
3677. User Domain
3678. #Mask
3679.  
3680. #Export Flag
3681. 1
3682. #----------
3683. #Field Type
3684. Computer
3685. #Mask
3686.  
3687. #Export Flag
3688. 1
3689. #----------
3690. #Field Type
3691. Time
3692. #Mask
3693.  
3694. #Export Flag
3695. 1
3696. #---------
3697. #Field Type
3698. Account Name
3699. #Mask
3700.  
3701. #Export Flag
3702. 1
3703. #---------
3704. #Field Type
3705. Account Domain
3706. #Mask
3707.  
3708. #Export Flag
3709. 1
3710. #---------
3711. #Key field for reporting
3712. KEY FIELD
3713.  
3714. #================================================================
3715. BEGIN SIGNATURE
3716. #ID
3717. 1089
3718. #Input Event ID
3719. 639
3720. #Output Signature ID
3721. 2089
3722. #Name
3723. Local Group Changed
3724. #Description
3725. A local group was modified or a modification was attempted.
3726. #Number of fields
3727. 6
3728. #----------
3729. #Field Type
3730. Username
3731. #Mask
3732.  
3733. #Export Flag
3734. 1
3735. #----------
3736. #Field Type
3737. User Domain
3738. #Mask
3739.  
3740. #Export Flag
3741. 1
3742. #----------
3743. #Field Type
3744. Computer
3745. #Mask
3746.  
3747. #Export Flag
3748. 1
3749. #----------
3750. #Field Type
3751. Time
3752. #Mask
3753.  
3754. #Export Flag
3755. 1
3756. #---------
3757. #Field Type
3758. Account Name
3759. #Mask
3760.  
3761. #Export Flag
3762. 1
3763. #---------
3764. #Field Type
3765. Account Domain
3766. #Mask
3767.  
3768. #Export Flag
3769. 1
3770. #---------
3771. #Key field for reporting
3772. KEY FIELD
3773.  
3774. #================================================================
3775. #BEGIN SIGNATURE
3776. #ID
3777. #1090
3778. #Input Event ID
3779. #0
3780. #Output Signature ID
3781. #2090
3782. #Name
3783. #Audit Admin Activity
3784. #Description
3785. #The audit policy or audit data was modified. (Do not select this if you've selected any of the other Global Group activities.)
3786. #Number of fields
3787. #0
3788. #================================================================
3789. BEGIN SIGNATURE
3790. #ID
3791. 1091
3792. #Input Event ID
3793. 516
3794. #Output Signature ID
3795. 2091
3796. #Name
3797. Audit Data Lost
3798. #Description
3799. NT could not save all audit events into the security log.
3800. #Number of fields
3801. 4
3802. #----------
3803. #Field Type
3804. Username
3805. #Mask
3806.  
3807. #Export Flag
3808. 1
3809. #----------
3810. #Field Type
3811. User Domain
3812. #Mask
3813.  
3814. #Export Flag
3815. 1
3816. #----------
3817. #Field Type
3818. Computer
3819. #Mask
3820.  
3821. #Export Flag
3822. 1
3823. #----------
3824. #Field Type
3825. Time
3826. #Mask
3827.  
3828. #Export Flag
3829. 1
3830. #---------
3831. #Key field for reporting
3832. KEY FIELD
3833.  
3834. #================================================================
3835. BEGIN SIGNATURE
3836. #ID
3837. 1092
3838. #Input Event ID
3839. 517
3840. #Output Signature ID
3841. 2092
3842. #Name
3843. Audit Log Cleared
3844. #Description
3845. The NT security event log has been cleared.
3846. #Number of fields
3847. 4
3848. #----------
3849. #Field Type
3850. Username
3851. #Mask
3852.  
3853. #Export Flag
3854. 1
3855. #----------
3856. #Field Type
3857. User Domain
3858. #Mask
3859.  
3860. #Export Flag
3861. 1
3862. #----------
3863. #Field Type
3864. Computer
3865. #Mask
3866.  
3867. #Export Flag
3868. 1
3869. #----------
3870. #Field Type
3871. Time
3872. #Mask
3873.  
3874. #Export Flag
3875. 1
3876. #---------
3877. #Key field for reporting
3878. KEY FIELD
3879.  
3880. #================================================================
3881. BEGIN SIGNATURE
3882. #ID
3883. 1093
3884. #Input Event ID
3885. 612
3886. #Output Signature ID
3887. 2093
3888. #Name
3889. Audit Policy Changed
3890. #Description
3891. The system level audit policy has been modified.
3892. #Number of fields
3893. 4
3894. #----------
3895. #Field Type
3896. Username
3897. #Mask
3898.  
3899. #Export Flag
3900. 1
3901. #----------
3902. #Field Type
3903. User Domain
3904. #Mask
3905.  
3906. #Export Flag
3907. 1
3908. #----------
3909. #Field Type
3910. Computer
3911. #Mask
3912.  
3913. #Export Flag
3914. 1
3915. #----------
3916. #Field Type
3917. Time
3918. #Mask
3919.  
3920. #Export Flag
3921. 1
3922. #---------
3923. #Key field for reporting
3924. KEY FIELD
3925.  
3926. #================================================================
3927. #BEGIN SIGNATURE
3928. #ID
3929. #1094
3930. #Input Event ID
3931. #612
3932. #Output Signature ID
3933. #2094
3934. #Name
3935. #Audit Policy Disabled
3936. #Description
3937. #Auditing has been turned off.
3938. #Number of fields
3939. #5
3940. #----------
3941. #Field Type
3942. #SuccessFailure
3943. #Mask
3944. #1
3945. #Export Flag
3946. #0
3947. #----------
3948. #Field Type
3949. #Username
3950. #Mask
3951.  
3952. #Export Flag
3953. #1
3954. #----------
3955. #Field Type
3956. #User Domain
3957. #Mask
3958.  
3959. #Export Flag
3960. #1
3961. #----------
3962. #Field Type
3963. #Computer
3964. #Mask
3965.  
3966. #Export Flag
3967. #1
3968. #----------
3969. #Field Type
3970. #Time
3971. #Mask
3972.  
3973. #Export Flag
3974. #1
3975. #---------
3976. #Key field for reporting
3977. #KEY FIELD
3978.  
3979. #================================================================
3980. BEGIN SIGNATURE
3981. #ID
3982. 1095
3983. #Input Event ID
3984. 512
3985. #Output Signature ID
3986. 2095
3987. #Name
3988. NT Starting
3989. #Description
3990. The NT system is booting.
3991. #Number of fields
3992. 4
3993. #----------
3994. #Field Type
3995. Username
3996. #Mask
3997.  
3998. #Export Flag
3999. 1
4000. #----------
4001. #Field Type
4002. User Domain
4003. #Mask
4004.  
4005. #Export Flag
4006. 1
4007. #----------
4008. #Field Type
4009. Computer
4010. #Mask
4011.  
4012. #Export Flag
4013. 1
4014. #----------
4015. #Field Type
4016. Time
4017. #Mask
4018.  
4019. #Export Flag
4020. 1
4021. #---------
4022. #Key field for reporting
4023. KEY FIELD
4024.  
4025. #================================================================
4026. #BEGIN SIGNATURE
4027. #ID
4028. #1096
4029. #Input Event ID
4030. #513
4031. #Output Signature ID
4032. #2096
4033. #Name
4034. #NT Shutting Down
4035. #Description
4036. #The NT system is shutting down.
4037. #Number of fields
4038. 4
4039. #----------
4040. #Field Type
4041. Username
4042. #Mask
4043.  
4044. #Export Flag
4045. 1
4046. #----------
4047. #Field Type
4048. User Domain
4049. #Mask
4050.  
4051. #Export Flag
4052. 1
4053. #----------
4054. #Field Type
4055. Computer
4056. #Mask
4057.  
4058. #Export Flag
4059. 1
4060. #----------
4061. #Field Type
4062. Time
4063. #Mask
4064.  
4065. #Export Flag
4066. 1
4067. #---------
4068. #Key field for reporting
4069. KEY FIELD
4070.  
4071. #================================================================
4072. BEGIN SIGNATURE
4073. #ID
4074. 1097
4075. #Input Event ID
4076. 514
4077. #Output Signature ID
4078. 2097
4079. #Name
4080. Authentication Package Added
4081. #Description
4082. A new authentication package was added to the system.
4083. #Number of fields
4084. 5
4085. #----------
4086. #Field Type
4087. Username
4088. #Mask
4089.  
4090. #Export Flag
4091. 1
4092. #----------
4093. #Field Type
4094. User Domain
4095. #Mask
4096.  
4097. #Export Flag
4098. 1
4099. #----------
4100. #Field Type
4101. Computer
4102. #Mask
4103.  
4104. #Export Flag
4105. 1
4106. #----------
4107. #Field Type
4108. Time
4109. #Mask
4110.  
4111. #Export Flag
4112. 1
4113. #---------
4114. #Field Type
4115. Authentication Package
4116. #Mask
4117.  
4118. #Export Flag
4119. 1
4120. #---------
4121. #Key field for reporting
4122. KEY FIELD
4123.  
4124. #================================================================
4125. BEGIN SIGNATURE
4126. #ID
4127. 1098
4128. #Input Event ID
4129. 518
4130. #Output Signature ID
4131. 2098
4132. #Name
4133. Notification Package Added
4134. #Description
4135. A new notification package was added or addition attempted. The package will be notified of any account or password changes.
4136. #Number of fields
4137. 5
4138. #----------
4139. #Field Type
4140. Username
4141. #Mask
4142.  
4143. #Export Flag
4144. 1
4145. #----------
4146. #Field Type
4147. User Domain
4148. #Mask
4149.  
4150. #Export Flag
4151. 1
4152. #----------
4153. #Field Type
4154. Computer
4155. #Mask
4156.  
4157. #Export Flag
4158. 1
4159. #----------
4160. #Field Type
4161. Time
4162. #Mask
4163.  
4164. #Export Flag
4165. 1
4166. #---------
4167. #Field Type
4168. Notification Package
4169. #Mask
4170.  
4171. #Export Flag
4172. 1
4173. #---------
4174. #Key field for reporting
4175. KEY FIELD
4176.  
4177. #================================================================
4178. BEGIN SIGNATURE
4179. #ID
4180. 1099
4181. #Input Event ID
4182. 610
4183. #Output Signature ID
4184. 2099
4185. #Name
4186. Trusted Domain Added
4187. #Description
4188. A new trusted domain was added or addition was attempted.
4189. #Number of fields
4190. 6
4191. #----------
4192. #Field Type
4193. Username
4194. #Mask
4195.  
4196. #Export Flag
4197. 1
4198. #----------
4199. #Field Type
4200. User Domain
4201. #Mask
4202.  
4203. #Export Flag
4204. 1
4205. #----------
4206. #Field Type
4207. Computer
4208. #Mask
4209.  
4210. #Export Flag
4211. 1
4212. #----------
4213. #Field Type
4214. Time
4215. #Mask
4216.  
4217. #Export Flag
4218. 1
4219. #---------
4220. #Field Type
4221. Account Name
4222. #Mask
4223.  
4224. #Export Flag
4225. 1
4226. #---------
4227. #Field Type
4228. Account Domain
4229. #Mask
4230.  
4231. #Export Flag
4232. 1
4233. #---------
4234. #Key field for reporting
4235. KEY FIELD
4236.  
4237. #================================================================
4238. BEGIN SIGNATURE
4239. #ID
4240. 1100
4241. #Input Event ID
4242. 611
4243. #Output Signature ID
4244. 2100
4245. #Name
4246. Trusted Domain Removed
4247. #Description
4248. A trusted domain was deleted or deletion was attempted.
4249. #Number of fields
4250. 6
4251. #----------
4252. #Field Type
4253. Username
4254. #Mask
4255.  
4256. #Export Flag
4257. 1
4258. #----------
4259. #Field Type
4260. User Domain
4261. #Mask
4262.  
4263. #Export Flag
4264. 1
4265. #----------
4266. #Field Type
4267. Computer
4268. #Mask
4269.  
4270. #Export Flag
4271. 1
4272. #----------
4273. #Field Type
4274. Time
4275. #Mask
4276.  
4277. #Export Flag
4278. 1
4279. #---------
4280. #Field Type
4281. Account Name
4282. #Mask
4283.  
4284. #Export Flag
4285. 1
4286. #---------
4287. #Field Type
4288. Account Domain
4289. #Mask
4290.  
4291. #Export Flag
4292. 1
4293. #---------
4294. #Key field for reporting
4295. KEY FIELD
4296.  
4297. #================================================================
4298. BEGIN SIGNATURE
4299. #ID
4300. 1101
4301. #Input Event ID
4302. 643
4303. #Output Signature ID
4304. 2101
4305. #Name
4306. Domain Policy Changed
4307. #Description
4308. The domain's security policy was modified or modification was attempted.
4309. #Number of fields
4310. 6
4311. #----------
4312. #Field Type
4313. Username
4314. #Mask
4315.  
4316. #Export Flag
4317. 1
4318. #----------
4319. #Field Type
4320. User Domain
4321. #Mask
4322.  
4323. #Export Flag
4324. 1
4325. #----------
4326. #Field Type
4327. Computer
4328. #Mask
4329.  
4330. #Export Flag
4331. 1
4332. #----------
4333. #Field Type
4334. Time
4335. #Mask
4336.  
4337. #Export Flag
4338. 1
4339. #---------
4340. #Field Type
4341. Account Name
4342. #Mask
4343.  
4344. #Export Flag
4345. 1
4346. #---------
4347. #Field Type
4348. Account Domain
4349. #Mask
4350.  
4351. #Export Flag
4352. 1
4353. #---------
4354. #Key field for reporting
4355. KEY FIELD
4356.  
4357. #================================================================
4358. BEGIN SIGNATURE
4359. #ID
4360. 1102
4361. #Input Event ID
4362. 0
4363. #Output Signature ID
4364. 2102
4365. #Name
4366. Back Orifice 2000 Execution
4367. #Description
4368. The Back Orifice 2000 program was run on this machine.
4369. #Number of fields
4370. 6
4371. #----------
4372. #Field Type
4373. Username
4374. #Mask
4375.  
4376. #Export Flag
4377. 1
4378. #----------
4379. #Field Type
4380. User Domain
4381. #Mask
4382.  
4383. #Export Flag
4384. 1
4385. #----------
4386. #Field Type
4387. Computer
4388. #Mask
4389.  
4390. #Export Flag
4391. 1
4392. #----------
4393. #Field Type
4394. Time
4395. #Mask
4396.  
4397. #Export Flag
4398. 1
4399. #---------
4400. #Field Type
4401. Account Name
4402. #Mask
4403.  
4404. #Export Flag
4405. 1
4406. #---------
4407. #Field Type
4408. Account Domain
4409. #Mask
4410.  
4411. #Export Flag
4412. 1
4413. #---------
4414. #Key field for reporting
4415. KEY FIELD
4416.  
4417. #END OF POLICY DEFINITION