5157 WFP が接続をブロック
Windows フィルタリングプラットフォーム(WFP)がネットワーク接続をブロックしたときに記録される。許可 5156 と対で、拒否された通信を捉える。
概要
サブカテゴリは Audit Filtering Platform Connection。WFP が接続(送信・受信)をブロックすると生成される。接続元/先の IP・ポート、関与プロセスが含まれる。
発生契機・方法
- フィルタ条件により接続が拒否されたとき。
セキュリティ上の確認事項
- ブロックされた外向き接続は、マルウェアが C2 へ接続しようとして阻止された兆候の可能性がある。ブロックされたプロセス・宛先 IP/ポートを確認する。
- 特定プロセスが繰り返し外部接続をブロックされている、見慣れない宛先への接続試行が多発している、といったパターンに注目する。許可 5156 と併せて通信の全体像を作る。
ログレビュー時の注意観点
- 大量に出る。プロセス・宛先・件数で集計し、不審なプロセスの外部接続試行や、既知悪性宛先への接続に絞る。
- 正規アプリのルール未整備によるブロックも多い(誤検知)。ベースライン化して未知のものを残す。
主なフィールド
| フィールド | 意味 |
|---|---|
Application | 接続を試みたプロセス |
Source/Destination Address / Port | 接続元・接続先 |
Direction | 送信/受信 |