5150 WFP がパケットをブロック

Windows フィルタリングプラットフォーム(WFP)がパケットをブロックしたときに記録される。カーネルレベルのパケットフィルタリングの動作を示す。

概要

サブカテゴリは Audit Filtering Platform Connection。WFP がフィルタに基づきパケットをブロックすると生成される。より制限的なフィルタによるブロックは 5151 で示される。

発生契機・方法

WFP のフィルタ条件に合致したパケットがブロックされたとき。

セキュリティ上の確認事項

個々のブロックは通常のフィルタ動作。攻撃検知としては、ブロックされた通信の送信元・宛先・ポートを集計し、スキャンや不正接続の試行を捉える文脈で使う。
大量のブロックが特定送信元から出ていれば、ポートスキャンや侵入試行の可能性を考える。

ログレビュー時の注意観点

極めて大量に出るため、常時全量は非現実的。送信元・宛先・ポートでの集計や、特定条件に絞った監視に使う。
パケットドロップ系 5152/5153 と役割が重なる。目的に応じて使い分ける。

主なフィールド

フィールド	意味
`Source/Destination Address` / `Port`	通信の送信元・宛先
`Direction`	通信方向
`Filter` 情報	適用されたフィルタ

参考

Microsoft Learn: 5150(-) The Windows Filtering Platform blocked a packet.