5158 WFP がローカルポートへのバインドを許可

Windows フィルタリングプラットフォーム(WFP)がローカルポートへのバインドを許可したときに記録される。プロセスがポートを確保した動作を捉える。

概要

サブカテゴリは Audit Filtering Platform Connection。プロセスがローカルポートにバインド（確保）することを WFP が許可すると生成される。待ち受けや送信に先立つポート確保の段階を示す。ブロックは 5159。

発生契機・方法

プロセスがソケットをローカルポートにバインドし、それが許可されたとき。

セキュリティ上の確認事項

どのプロセスがどのポートを確保したかを把握できる。見慣れないプロセスによるポートバインドは、リスナー設置や独自通信の準備の可能性がある。
待ち受け許可 5154・接続許可 5156 と併せ、ポート確保→待ち受け/接続の流れを追う。単体での優先度は中程度。

ログレビュー時の注意観点

大量に出る。常時全量は非現実的で、プロセス・ポートの集計や、不審なプロセスに絞る。

主なフィールド

フィールド	意味
`Application`	バインドしたプロセス
`Source Port` / `Protocol`	確保されたポート

参考

Microsoft Learn: 5158(S) The Windows Filtering Platform has permitted a bind to a local port.