5447 WFP フィルタの変更
Windows フィルタリングプラットフォーム(WFP)のフィルタが変更されたときに記録される。カーネルレベルのフィルタ構成の変更を捉える。
概要
サブカテゴリは Audit Other Policy Change Events。WFP のフィルタ(パケットの許可/ブロックを定める規則)が追加・変更・削除されると生成される。ファイアウォールルール(4946 等)より低レベルの、WFP 層の変更を示す。
発生契機・方法
- ファイアウォールやサードパーティのセキュリティ製品、API による WFP フィルタの変更。
セキュリティ上の確認事項
- WFP フィルタの変更は、防御(フィルタリング)の挙動を直接左右する。攻撃者が WFP フィルタを操作してブロックを無効化する、独自の許可を差し込む、といった防御回避の可能性がある。想定外のフィルタ変更に注目する。
- ファイアウォール設定変更 4950 と併せ、ネットワークフィルタリングの構成変更を多層で監視する。
ログレビュー時の注意観点
- 正規のセキュリティ製品・ファイアウォールも WFP フィルタを変更するため、件数が多い。既知の正規コンポーネントをベースライン化し、それ以外による変更に絞る。
主なフィールド
| フィールド | 意味 |
|---|---|
Filter 情報 | 変更されたフィルタ |
Process Name | 変更を行ったプロセス |