IBM Support

WinCollect: Windows イベント ID 5156 の EPS への影響をフィルターで軽減する方法

How To


Summary

Windows イベント ID 5156 'The Windows Filtering Platform permitted a connection' は、TCP または UDP ポートでアプリケーションまたはプロセス間の接続が許可されるたびにイベントが生成されるため、一部のユーザーにとって不要な EPS を生成する可能性があります。生成されるイベントの数は、エージェントの構成によって異なり、一部の管理者は、WinCollect アクティビティーによって引き起こされる不要なインシデントを減らすため、場合によりイベント ID 5156 をフィルタリングすることができます。

Objective

この技術書では、アプリケーション・パスに含まれる、 \wincollect.exe  が接続に成功し多数の 5156 イベントを発生させた場合に、そのイベントをフィルタリングする方法についてご案内します。

Steps

監査ポリシーによる接続成功イベントの無効化

推奨される方法は、ローカルマシンの管理用コマンド・プロンプトから以下のコマンドを発行して、接続成功のイベント ID( 5156 )を無効にすることです。 :

auditpol /set /subcategory:”Filtering Platform Connection” /success:disable /failure:enable


WinCollect 7 でのイベント ID 5156 のフィルタリング

WinCollect 7 では、管理者は、すべてのアプリケーションからすべてのイベント ID 5156 をフィルターするか、wincollect.exe によって生成されたイベント ID 5156 のみをフィルター処理することができます。

オプション 1. すべてのイベント ID 5156 をフィルタリングする
管理者は、イベント ID 5156 のログ・ ソースに除外フィルターを追加できます。

注: グローバル・フィルターを追加すると、Windows ホスト上の他のアプリケーションによって生成された接続を含め、すべての 5156 イベント ID が QRadar によるモニターから除外されます。 すべてのイベントをフィルター処理できない場合は、「オプション 2. XPath 照会を使用して、wincollect.exe イベントを選択的にフィルタリングする」を参照してください。

  1. Windows ホストの監視に使用されるログ・ソースを編集します。
  2. 「セキュリティー・ログ・フィルター・タイプ」 フィールドで、「除外フィルター」 を選択します。
  3. 「セキュリティー・ログ・フィルター」 フィールドに、5156 と入力します。
  4. 「保存」をクリックします。
  5. 「管理」タブから、「変更のデプロイ」をクリックします。

    結果
    デプロイが完了したら変更は完了です。 管理対象 WinCollect エージェントの場合、ログ・ソースは次のポーリング間隔で更新されます。 スタンドアローン・エージェントの場合、agentconfig.xml ファイルが更新され、フィルタリングが適用されます。

オプション 2. XPath 照会を使用して、wincollect.exe イベントを選択的にフィルタリングする
WinCollect 7.x では、カスタム XPath 照会を作成して、アプリケーションが wincollect.exe の場合にイベント ID 5156 が収集されないようにすることができます。 XPath 照会を使用すると、管理者は、セキュリティー目的で監視する必要があるアプリケーションからイベント ID 5156 を収集し、WinCollect エージェントのアクティビティーを除外できます。

: 高 EPS 環境では、XPath 照会がホストのパフォーマンスを低下させる可能性があります。Windows ホストは、照会を完了し、WinCollect エージェントにデータを返すために、ソースでイベントをフィルタリングする必要があります。

  1. イベント・ビューアーで、イベント ID 5156 の wincollect.exe へのパスを確認します。
    image-20230124221436-4
    : 複数のディスクまたは特別なパーティションが構成されている場合、アプリケーション名のパスは、この技術書の例とは異なる場合があります。
  2. エージェントが Windows ホストの監視に使用するログ・ ソースを編集します。
  3. XPath 照会フィールドに、次の照会を追加します。 
    <QueryList>
  <Query Id="0" Path="Security">
    <Select Path="Security">*</Select>
    <Suppress Path="Security">*[EventData[Data[@Name='Application'] and (Data='\device\harddiskvolume2\program files\ibm\wincollect\bin\wincollect.exe') ]]</Suppress>
  </Query>
</QueryList>
    : WinCollect エージェントのパスは、WinCollect エージェントのインストール先によって異なる場合があります。XPath 照会 の データ・フィールドは、イベント ID 5156 のアプリケーション名フィールドで定義された wincollect.exe のパスと一致させる必要があります。
  4. 「保存」をクリックします。
  5. 「管理」タブから、「変更のデプロイ」をクリックします。

    結果
    デプロイが完了したら変更は完了です。 管理対象 WinCollect エージェントの場合、ログ・ソースは次のポーリング間隔で更新されます。 スタンドアローン・エージェントの場合、agentconfig.xml ファイルが更新され、フィルタリングが適用されます。


 

    WinColct 10 でのイベント ID 5156 のフィルタリング

    WinCollect 10 エージェントでイベント ID 5156 をフィルタリングしたい管理者は、セキュリティー・ログ・ソースを編集し、フィルターを有効にして、ソース・アプリケーションが wincollect.exe の場合にイベントを除外できます。

    1. IBM WinCollect 10 コンソールを起動します。
    2. セキュリティー・イベントのログ・ソースを編集します。
    3. 「Filter enabled」のチェック・ボックスをクリックします。
    4. ドロップダウン・フィールドで、「WinCollect specific 5156 connection events filtered out.」を選択します。image-20230124223038-5
    5. 「Save」をクリックします。
    6. 「View pending change」 をクリックします。
    7. 「Apply Changes」 をクリックして、ログ ・ソースの構成を更新します。

      結果

      これにより管理者は、より監視が必要な、Windows フィルタリング・プラットフォームが許可した他のアプリケーションの接続をセキュリティ・ログでフィルタリングできます。

    Document Location

    Worldwide

    [{"Type":"MASTER","Line of Business":{"code":"LOB24","label":"Security Software"},"Business Unit":{"code":"BU059","label":"IBM Software w\/o TPS"},"Product":{"code":"SSBQAC","label":"IBM Security QRadar SIEM"},"ARM Category":[{"code":"a8m0z000000cwtwAAA","label":"WinCollect"}],"ARM Case Number":"","Platform":[{"code":"PF025","label":"Platform Independent"}],"Version":"7.4.0;7.4.1;7.4.2;7.4.3;7.5.0"}]

    Document Information

    Modified date:
    30 May 2023

    UID

    ibm16955763

    Page Feedback