4950 Windows ファイアウォール設定の変更
Windows ファイアウォールの設定(プロファイルの動作など)が変更されたときに記録される。個別ルールではなく、ファイアウォール全体の設定変更を捉える。
概要
サブカテゴリは Audit MPSSVC Rule-Level Policy Change。ファイアウォールのプロファイル設定(有効/無効、既定の受信/送信動作、通知設定など)が変更されると生成される。ルールの追加/変更/削除(4946〜4948)とは別に、設定全体の変更を示す。
発生契機・方法
- プロファイル(ドメイン/プライベート/パブリック)の有効化・無効化、既定動作の変更など。
セキュリティ上の確認事項
- ファイアウォールの無効化(プロファイルを Off にする)は、防御回避の典型。攻撃者が通信制限を一括で外す目的で設定を変える場合があり、無効化方向の変更は最優先で調査する。
- 既定の受信動作を「許可」に変える、ログ設定を変えるといった変更も、防御・可視性の低下につながる。どのプロファイルの何が変わったかを確認する。
ログレビュー時の注意観点
- 正規の構成変更(GPO 適用等)でも発生する。変更されたプロファイル・設定項目・方向(有効化/無効化)を確認する。
- ファイアウォール無効化や既定動作の緩和に絞ってアラートにすると有効。
主なフィールド
| フィールド | 意味 |
|---|---|
Profile | 変更されたプロファイル |
| 変更された設定 | 有効/無効・既定動作など |
Modifying Application | 変更を行ったプロセス |