5154 WFP がアプリの待ち受けを許可
Windows フィルタリングプラットフォーム(WFP)が、アプリ/サービスにポートでの受信待ち受けを許可したときに記録される。どのプログラムがどのポートを開いたかを捉える。
概要
サブカテゴリは Audit Filtering Platform Connection。アプリケーションやサービスが、受信接続のためにポートで待ち受け(リッスン)することを WFP が許可すると生成される。ブロックの 5031 に対する「許可」側のイベント。
発生契機・方法
- プログラムが受信用ポートを開いて待ち受けを開始し、それが許可されたとき。
セキュリティ上の確認事項
- どのプログラムが・どのポートで待ち受けを始めたかを把握できる。見慣れないプログラムや、本来リッスンしないはずのプロセスがポートを開いていれば、バックドア/リスナーの設置を疑う。
- 一時フォルダや非標準パスのプログラムによる待ち受け許可に注目する。プロセス作成 4688 と相関し、そのプログラムの素性を追う。ブロックされた待ち受け 5031 と併せて、リッスン状況を把握する。
ログレビュー時の注意観点
- 正規のサーバーアプリ・サービスで日常的に発生する。許可された待ち受けのプログラム・ポートの正常パターンをベースライン化し、未知・不審なリスナーに絞る。
- 高ポートでの待ち受けや、見慣れない実行ファイルのリッスンを高優先で確認する。
主なフィールド
| フィールド | 意味 |
|---|---|
Application | 待ち受けを許可されたプログラム |
Source Port / Protocol | 開かれたポート |