5156 WFP が接続を許可
Windows フィルタリングプラットフォーム(WFP)がネットワーク接続を許可したときに記録される。許可された全接続を捉え、外向き C2 通信や不審な通信の検知に使える。
概要
サブカテゴリは Audit Filtering Platform Connection。WFP が接続(送信・受信)を許可するたびに生成される。接続元/先の IP・ポート、関与プロセスが含まれる。ブロックの 5157 に対する「許可」イベント。
発生契機・方法
- アプリが外部へ接続、または外部からの接続を受け入れ、WFP がそれを許可したとき。
- 成功した通信すべてに相当するため、極めて大量に出る。
セキュリティ上の確認事項
- 外向き C2 通信の検知: どのプロセスが・どの宛先 IP/ポートへ接続したかを把握できる。見慣れないプロセスの外部接続、非標準ポート、既知の悪性 IP/ドメインへの接続に注目する。
- LOLBins(
powershell、rundll32等)が外部へ接続している、一時フォルダの実行ファイルが通信している、といったパターンを、プロセス作成 4688 と相関して追う。
ログレビュー時の注意観点
- 全許可接続が出るため膨大。常時全量は非現実的で、プロセス・宛先・ポートでの集計や、特定プロセス(PowerShell 等)の外部接続に絞る。
- EDR やプロキシログと組み合わせ、通信先の評価(脅威インテリジェンス照合)を行う。
主なフィールド
| フィールド | 意味 |
|---|---|
Application | 接続を行ったプロセス |
Source/Destination Address / Port | 接続元・接続先 |
Direction | 送信/受信 |
用語メモ
- C2 (Command and Control) — 侵害したマシンを外部から遠隔操作するための通信。検知されにくい通常ポート/サービスを装うことが多い。