5148 WFP が DoS 攻撃を検出し防御モードに移行

Windows フィルタリングプラットフォーム(WFP)が DoS 攻撃を検出し、防御モードに入ったときに記録される。関連パケットは破棄される。

概要

サブカテゴリは Audit Other Object Access Events。WFP（Windows Filtering Platform: ネットワークフィルタリングの基盤）が、サービス妨害(DoS)に該当するトラフィックを検出し、攻撃パケットを破棄する防御モードへ移行すると生成される。

発生契機・方法

• 大量・異常なトラフィックを WFP が DoS として検出したとき。

セキュリティ上の確認事項

• DoS 攻撃（サービスを過負荷で停止させる攻撃）の検出を示す。発生時刻・対象を確認し、攻撃元や狙われたサービスを調査する。終了 5149 と対で攻撃の継続時間を把握する。
• 可用性インシデントとして、ネットワーク機器のログや帯域監視と併せて対応する。

ログレビュー時の注意観点

• まれだが重要。発生したら DoS の規模・対象・送信元を確認する。
• 終了 5149 との対応で攻撃区間を確定する。

主なフィールド

用語メモ

• DoS (サービス妨害) — 大量の要求などでサービスを過負荷にし、正規利用を妨げる攻撃。

参考

• Microsoft Learn: 5148(F) The Windows Filtering Platform has detected a DoS attack and entered a defensive mode.