5159 WFP がローカルポートへのバインドをブロック

Windows フィルタリングプラットフォーム(WFP)がローカルポートへのバインドをブロックしたときに記録される。許可 5158 と対で、拒否されたポート確保を捉える。

概要

サブカテゴリは Audit Filtering Platform Connection。プロセスがローカルポートにバインドしようとして WFP に拒否されると生成される。

発生契機・方法

フィルタ条件により、プロセスのポートバインドが拒否されたとき。

セキュリティ上の確認事項

ブロックされたポートバインドは、見慣れないプロセスがポートを確保しようとした（リスナー設置等）試みを示しうる。対象プロセス・ポートを確認する。
待ち受けブロック 5155・接続ブロック 5157 と併せて、ブロックされたネットワーク動作の文脈を読む。

ログレビュー時の注意観点

大量に出る。プロセス・ポートで集計し、不審なプロセスのバインド試行に絞る。
正規アプリのルール未整備でも出る。ベースライン化して未知のものを残す。

主なフィールド

フィールド	意味
`Application`	バインドを試みたプロセス
`Source Port` / `Protocol`	確保しようとしたポート

参考

Microsoft Learn: 5159(F) The Windows Filtering Platform has blocked a bind to a local port.