4946 ファイアウォール例外リストへのルール追加
Windows ファイアウォールの例外リストにルールが追加されたときに記録される。攻撃者による通信経路の確保(C2・横展開)を捉える重要イベント。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ファイアウォールの例外(許可)リストに新しいルールが追加されると生成される。追加されたルールのポート・プログラム・方向などが含まれる。
発生契機・方法
netsh advfirewall、New-NetFirewallRule、GUI、グループポリシー等によるルール追加。
セキュリティ上の確認事項
- 攻撃者は、C2 通信やリモートアクセス、横展開のために受信/送信を許可するルールを追加する(MITRE ATT&CK の Impair Defenses / 通信許可の文脈)。追加された許可ルールのポート(RDP 3389、SMB 445、独自ポート等)やプログラムを確認する。
- 想定外のプログラム(一時フォルダの実行ファイル等)への許可、外部への送信許可の追加は要注意。プロセス作成 4688 と相関し、誰が追加したかを追う。
ログレビュー時の注意観点
- ソフトのインストールでも正規にルールは追加される。追加ルールのポート・プログラム・追加主体の正常パターンと照合する。
- 受信許可(とくに管理系ポート)や、見慣れないプログラムへの許可に絞ってアラートにすると有効。変更 4947・削除 4948 と併せて追う。
主なフィールド
| フィールド | 意味 |
|---|---|
Rule Name | 追加されたルール名 |
Port / Protocol / Direction | 許可された通信 |
Application Path | 対象プログラム |
Modifying Application | ルールを追加したプロセス |