5156(S): платформа фильтрации Windows разрешила подключение.

  • Статья
Event 5156 illustration

Подкатегории:  Аудит подключения к платформе фильтрации

Описание события:

Это событие возникает, когда платформа фильтрации Windows разрешила подключение.

Примечание.  Рекомендации приведены в разделе Рекомендации по мониторингу безопасности для этого события.


XML события:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5156</EventID> 
 <Version>1</Version> 
 <Level>0</Level> 
 <Task>12810</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8020000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-22T05:24:22.622090200Z" /> 
 <EventRecordID>308129</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="4" ThreadID="3712" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="ProcessID">4556</Data> 
 <Data Name="Application">\\device\\harddiskvolume2\\documents\\listener.exe</Data> 
 <Data Name="Direction">%%14592</Data> 
 <Data Name="SourceAddress">10.0.0.10</Data> 
 <Data Name="SourcePort">3333</Data> 
 <Data Name="DestAddress">10.0.0.100</Data> 
 <Data Name="DestPort">49278</Data> 
 <Data Name="Protocol">6</Data> 
 <Data Name="FilterRTID">70201</Data> 
 <Data Name="LayerName">%%14610</Data> 
 <Data Name="LayerRTID">44</Data> 
 <Data Name="RemoteUserID">S-1-0-0</Data> 
 <Data Name="RemoteMachineID">S-1-0-0</Data> 
 </EventData>
 </Event>

Необходимые роли сервера: нет.

Минимальная версия ОС: Windows Server 2008, Windows Vista.

Версии события: 0.

Описания полей:

Сведения о приложении:

  • Идентификатор процесса [Type = Указатель]: шестнадцатеричный идентификатор процесса, который получил соединение. ИД процесса (PID) — это число, которое операционная система использует для идентификации активного процесса уникальным образом. Узнать значение PID для определенного процесса можно, например, в диспетчере задач (вкладка "Подробности", столбец "ИД процесса"):

    Task manager illustration

    Если преобразовать шестнадцатеричное значение в десятичное, можно сравнить его со значениями в диспетчере задач.

    Кроме того, можно сопоставить этот ИД процесса с ИД процесса в других событиях, например в событии "4688: создан процесс" Информация о процессе\ ИД нового процесса.

  • Имя приложения [Type = UnicodeString]: полный путь и имя исполняемого файла для процесса.

    Логический диск отображается в формате \device\harddiskvolume#. Вы можете получить все номера локальных томов с помощью служебной программы diskpart . Команда для получения номеров томов с помощью diskpart — "список томов":

DiskPart illustration

Сведения о сети:

  • Направление [Type = UnicodeString]: направление разрешенного соединения.

    • Входящие — для входящих подключений.

    • Исходящий трафик — для несвязанных подключений.

  • Исходный адрес [Type = UnicodeString]: IP-адрес, с которого было инициировано подключение.

    • IPv4-адрес

    • IPv6-адрес

    • :: — все IP-адреса в формате IPv6

    • 0.0.0.0 — все IP-адреса в формате IPv4

    • 127.0.0.1, ::1 - localhost

  • Исходный порт [Type = UnicodeString]: номер порта, с которого было инициировано подключение.

  • Адрес назначения [Type = UnicodeString]: IP-адрес, по которому было получено подключение.

    • IPv4-адрес

    • IPv6-адрес

    • :: — все IP-адреса в формате IPv6

    • 0.0.0.0 — все IP-адреса в формате IPv4

    • 127.0.0.1, ::1 - localhost

  • Порт назначения [Type = UnicodeString]: номер порта, в котором было получено подключение.

  • Protocol [Type = UInt32]: номер используемого протокола.

Обслуживание Номер протокола
Протокол ICMP 1
Протокол TCP 6
Протокол пользовательской диаграммы (UDP) 17
Общая инкапсуляция маршрутизации (данные PPTP через GRE) 47
Заголовок проверки подлинности (AH) IPSec 51
Полезные данные безопасности инкапсуляции (ESP) IPSec 50
Протокол EGP для внешнего шлюза 8
Протокол Gateway-Gateway (GGP) 3
Протокол мониторинга узла (HMP) 20
Протокол управления группами Интернета (IGMP) 88
Удаленный виртуальный диск MIT (RVD) 66
Сначала открыть самый короткий путь OSPF 89
Parc Universal Packet Protocol (PUP) 12
Надежный протокол datagram (RDP) 27
QoS по протоколу резервирования (RSVP) 46

Сведения о фильтре:

  • Идентификатор Run-Time фильтра [Type = UInt64]: уникальный идентификатор фильтра, разрешающий подключение.

    Чтобы найти определенный фильтр платформы фильтрации Windows по идентификатору, выполните следующую команду: netsh wfp show filters. В результате выполнения этой команды будет создан ** файлfilters.xml** . Откройте этот файл и найдите определенную подстроку с обязательным идентификатором фильтра (<filterId>****), например:

Filters.xml file illustration

  • Имя слоя [Type = UnicodeString]: имя слоя принудительного применения прикладного уровня .

  • Идентификатор Run-Time слоя [Type = UInt64]: идентификатор слоя платформы фильтрации Windows. Чтобы найти определенный идентификатор уровня платформы фильтрации Windows, выполните следующую команду: netsh wfp show state. В результате выполнения этой команды будет создан ** файлwfpstate.xml** . Откройте этот файл и найдите определенную подстроку с обязательным идентификатором слоя (<layerId>****), например:

Wfpstate xml illustration

Рекомендации по контролю безопасности

Для 5156(S): платформа фильтрации Windows разрешила подключение.

  • Если у вас есть предопределенное приложение, которое должно использоваться для выполнения операции, о которую сообщило это событие, отслеживайте события с параметром "Приложение", не равным определенному приложению.

  • Вы можете отслеживать, нет ли "Приложение" в стандартной папке (например, не в System32 или Program Files) или в папке с ограниченным доступом (например, Временные файлы Интернета).

  • Если у вас есть предопределенный список ограниченных подстрок или слов в именах приложений (например, "mimikatz" или "cain.exe"), проверьте наличие этих подстрок в разделе "Приложение".

  • Убедитесь, что "Исходный адрес" является одним из адресов, назначенных компьютеру.

  • Если компьютер или устройство не должно иметь доступа к Интернету или содержит только приложения, которые не подключаются к Интернету, отслеживайте события 5156 , где "Адрес назначения" — это IP-адрес из Интернета (а не из диапазонов частных IP-адресов).

  • Если вы знаете, что компьютер никогда не должен связываться с определенными IP-адресами сети, следите за этими адресами в разделе "Адрес назначения. "

  • Если у вас есть список разрешенных IP-адресов, с которыми должен связаться компьютер или устройство, отслеживайте IP-адреса в разделе "Целевой адрес" , которых нет в списке разрешений.

  • Если вам нужно отслеживать все входящие подключения к определенному локальному порту, отслеживайте события 5156 с помощью исходного порта. "

  • Отслеживайте все подключения с "номером протокола" , который не является типичным для этого устройства или компьютера, например для любых других подключений, кроме 1, 6 или 17.

  • Если для связи компьютера с "Адрес назначения" всегда должен использоваться определенный "Порт назначения**"**, отслеживайте любой другой "Порт назначения".