5152 WFP がパケットをドロップ

Windows フィルタリングプラットフォーム(WFP)がパケットをドロップ（破棄）したときに記録される。パケットドロップ監査の中心イベント。

概要

サブカテゴリは Audit Filtering Platform Packet Drop。WFP がフィルタに基づきパケットを破棄すると生成される。接続監査の 5150 と似るが、こちらはパケットドロップ専用サブカテゴリ。

発生契機・方法

• フィルタ条件に合致したパケットが破棄されたとき。

セキュリティ上の確認事項

• 個々のドロップは通常のフィルタ動作。送信元 IP・宛先ポートで集計し、ポートスキャン（多数のポート/ホストへの試行）や、ブロックされた C2 通信の試みを捉える文脈で使う。
• 特定の外部 IP から大量のドロップが出ていれば、スキャンや攻撃の偵察を疑う。

ログレビュー時の注意観点

• 極めて大量に出る。常時全量は非現実的で、送信元・宛先・件数の集計や、特定の宛先ポートへの試行に絞る。
• 接続系 5150/5151 と役割が重なる。

主なフィールド

参考

• Microsoft Learn: 5152(F) The Windows Filtering Platform blocked a packet.