5151 より制限的な WFP フィルタがパケットをブロック
より制限的な Windows フィルタリングプラットフォーム(WFP)フィルタがパケットをブロックしたときに記録される。複数フィルタのうち、より厳しいものが適用された場合を示す。
概要
サブカテゴリは Audit Filtering Platform Connection。同じパケットに複数のフィルタが該当する場合に、より制限的なフィルタがブロックを行ったときに生成される。基本ブロックの 5150 の派生。
発生契機・方法
- 複数フィルタが競合し、より制限的なフィルタによってパケットがブロックされたとき。
セキュリティ上の確認事項
- 基本的に 5150 と同様、通常のフィルタ動作。送信元・宛先・ポートの集計で、不正接続やスキャンの文脈に使う。
- どのフィルタが適用されたかは、フィルタ構成(WFP ルール)の確認に役立つ。
ログレビュー時の注意観点
- 大量に出る。集計・絞り込みで使う。5150 と併せてフィルタリングの動作を把握する。
主なフィールド
| フィールド | 意味 |
|---|---|
Source/Destination Address / Port | 通信の送信元・宛先 |
Filter 情報 | 適用された制限的フィルタ |