6408 登録製品の失敗とファイアウォールへの制御移行

ファイアウォール制御を登録した製品が失敗し、Windows ファイアウォールが制御を引き継いだときに記録される。サードパーティ製品の機能不全を捉える。

概要

サブカテゴリは Audit Other System Events。フィルタリング制御を担っていた製品（6406 で登録）が失敗し、Windows ファイアウォールがフィルタリングを引き継ぐと生成される。

発生契機・方法

• ファイアウォール制御を担う製品の異常・停止により、制御が Windows ファイアウォールへ戻ったとき。

セキュリティ上の確認事項

• 制御を担う製品の失敗は、その製品によるフィルタリングが一時的に機能しなかったことを意味する。Windows ファイアウォールが引き継ぐとはいえ、製品固有の防御（高度な検査等）が抜ける可能性がある。製品の停止理由を確認する。
• 攻撃者がセキュリティ製品を無効化した結果として出る可能性も一応考え、製品プロセスの状態と併せて見る。

ログレビュー時の注意観点

• 製品の不具合・更新で発生しうる。失敗した製品と、その間の防御状態を確認する。
• セキュリティ製品の予期せぬ失敗が続く場合は、製品停止を狙った操作も視野に調べる。

主なフィールド

参考

• Microsoft Learn: 6408(-) Registered product %1 failed and Windows Firewall is now controlling the filtering for %2.