5149 DoS 攻撃の収束と通常処理の再開

DoS 攻撃が収まり、WFP が通常処理を再開したときに記録される。検出 5148 と対で、DoS の終息を捉える。

概要

サブカテゴリは Audit Other Object Access Events。WFP が DoS の防御モードを解除し、通常のパケット処理に戻ると生成される。

発生契機・方法

• DoS として検出されたトラフィックが収束し、防御モードが解除されたとき。

セキュリティ上の確認事項

• 検出 5148 との対応で、DoS が続いた期間を把握する。その間の可用性影響を確認する。
• DoS が繰り返す場合は、攻撃元や狙われたサービスの恒久対策（レート制限・上位での遮断）を検討する。

ログレビュー時の注意観点

• 検出 5148 とペアで読み、攻撃区間と頻度を評価する。
• 可用性インシデントの記録として扱う。

主なフィールド

参考

• Microsoft Learn: 5149(F) The DoS attack has subsided and normal processing is being resumed.