5155 WFP がアプリの待ち受けをブロック
Windows フィルタリングプラットフォーム(WFP)が、アプリ/サービスのポート待ち受けをブロックしたときに記録される。許可されていないリスナーの起動を捉える。
概要
サブカテゴリは Audit Filtering Platform Connection。アプリが受信用ポートで待ち受けようとして WFP に拒否されると生成される。許可側の 5154 に対するブロックイベント。ファイアウォールサービス由来の 5031 と趣旨は近い。
発生契機・方法
- 許可ルールの無いプログラムがポートで待ち受けようとし、WFP にブロックされたとき。
セキュリティ上の確認事項
- 見慣れないプログラムや、本来リッスンしないプロセスのブロックは、バックドアのリスナー起動の兆候となりうる。対象プログラムのパス・名前を確認する。
- 一時フォルダ・非標準パスのプログラムの待ち受けブロックに注目し、プロセス作成 4688 と相関する。許可された待ち受け 5154 と併せて読む。
ログレビュー時の注意観点
- 許可ルール未設定の正規アプリでも出る。正規アプリをベースライン化し、未知・不審なプログラムのブロックに絞る。
主なフィールド
| フィールド | 意味 |
|---|---|
Application | ブロックされたプログラム |
Source Port / Protocol | 待ち受けようとしたポート |