5153 より制限的な WFP フィルタがパケットをドロップ

より制限的な Windows フィルタリングプラットフォーム(WFP)フィルタがパケットをドロップしたときに記録される。複数フィルタのうち、より厳しいものが破棄を行った場合を示す。

概要

サブカテゴリは Audit Filtering Platform Packet Drop。同一パケットに複数フィルタが該当する場合に、より制限的なフィルタが破棄したときに生成される。基本ドロップ 5152 の派生。

発生契機・方法

複数フィルタが競合し、より制限的なフィルタによってパケットが破棄されたとき。

セキュリティ上の確認事項

5152 と同様、通常のフィルタ動作。送信元・宛先・件数の集計でスキャンや不正接続の文脈に使う。
適用された制限的フィルタの情報は、フィルタ構成の確認に役立つ。

ログレビュー時の注意観点

大量に出る。集計・絞り込みで使う。5152 と併せてドロップの動作を把握する。

主なフィールド

フィールド	意味
`Source/Destination Address` / `Port`	ドロップされた通信
`Filter` 情報	適用された制限的フィルタ

参考

Microsoft Learn: 5153(S) A more restrictive Windows Filtering Platform filter has blocked a packet.