4947 ファイアウォール例外リストのルール変更
Windows ファイアウォールの例外リストのルールが変更されたときに記録される。既存ルールの書き換えによる防御の緩和を捉える。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。例外リストの既存ルールが変更されると生成される。追加 4946・削除 4948 と並ぶルール変更イベント。
発生契機・方法
- 既存ファイアウォールルールの編集(ポート・プログラム・許可範囲の変更など)。
セキュリティ上の確認事項
- 攻撃者が、既存の正規ルールを書き換えて許可範囲を広げる(特定 IP 限定を全許可にする等)ことで、新規追加より目立たず防御を緩める場合がある。変更後の内容(許可ポート・スコープ)を確認する。
- 受信許可の拡大、スコープ(
RemoteAddress)の緩和に注目する。追加 4946・削除 4948 と併せてルールの履歴を読む。
ログレビュー時の注意観点
- 正規の構成変更でも発生する。変更されたルールの差分(許可範囲が広がったか)を軸に評価する。
- 重要ルールの緩和方向の変更に絞ってアラートにする。
主なフィールド
| フィールド | 意味 |
|---|---|
Rule Name | 変更されたルール |
| 変更後のポート/プログラム/スコープ | 変更内容 |
Modifying Application | 変更を行ったプロセス |