How To
Summary
Windows イベント ID 5156 'The Windows Filtering Platform permitted a connection' は、TCP または UDP ポートでアプリケーションまたはプロセス間の接続が許可されるたびにイベントが生成されるため、一部のユーザーにとって不要な EPS を生成する可能性があります。生成されるイベントの数は、エージェントの構成によって異なり、一部の管理者は、WinCollect アクティビティーによって引き起こされる不要なインシデントを減らすため、場合によりイベント ID 5156 をフィルタリングすることができます。
Objective
Steps
推奨される方法は、ローカルマシンの管理用コマンド・プロンプトから以下のコマンドを発行して、接続成功のイベント ID( 5156 )を無効にすることです。 :
auditpol /set /subcategory:”Filtering Platform Connection” /success:disable /failure:enable
WinCollect 7 でのイベント ID 5156 のフィルタリング
WinCollect 7 では、管理者は、すべてのアプリケーションからすべてのイベント ID 5156 をフィルターするか、wincollect.exe によって生成されたイベント ID 5156 のみをフィルター処理することができます。
オプション 1. すべてのイベント ID 5156 をフィルタリングする
管理者は、イベント ID 5156 のログ・ ソースに除外フィルターを追加できます。
注: グローバル・フィルターを追加すると、Windows ホスト上の他のアプリケーションによって生成された接続を含め、すべての 5156 イベント ID が QRadar によるモニターから除外されます。 すべてのイベントをフィルター処理できない場合は、「オプション 2. XPath 照会を使用して、wincollect.exe イベントを選択的にフィルタリングする」を参照してください。
- Windows ホストの監視に使用されるログ・ソースを編集します。
- 「セキュリティー・ログ・フィルター・タイプ」 フィールドで、「除外フィルター」 を選択します。
- 「セキュリティー・ログ・フィルター」 フィールドに、5156 と入力します。
- 「保存」をクリックします。
- 「管理」タブから、「変更のデプロイ」をクリックします。
結果
デプロイが完了したら変更は完了です。 管理対象 WinCollect エージェントの場合、ログ・ソースは次のポーリング間隔で更新されます。 スタンドアローン・エージェントの場合、agentconfig.xml ファイルが更新され、フィルタリングが適用されます。
オプション 2. XPath 照会を使用して、wincollect.exe イベントを選択的にフィルタリングする
WinCollect 7.x では、カスタム XPath 照会を作成して、アプリケーションが wincollect.exe の場合にイベント ID 5156 が収集されないようにすることができます。 XPath 照会を使用すると、管理者は、セキュリティー目的で監視する必要があるアプリケーションからイベント ID 5156 を収集し、WinCollect エージェントのアクティビティーを除外できます。
注: 高 EPS 環境では、XPath 照会がホストのパフォーマンスを低下させる可能性があります。Windows ホストは、照会を完了し、WinCollect エージェントにデータを返すために、ソースでイベントをフィルタリングする必要があります。
- イベント・ビューアーで、イベント ID 5156 の wincollect.exe へのパスを確認します。
注: 複数のディスクまたは特別なパーティションが構成されている場合、アプリケーション名のパスは、この技術書の例とは異なる場合があります。 - エージェントが Windows ホストの監視に使用するログ・ ソースを編集します。
-
XPath 照会フィールドに、次の照会を追加します。
<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*</Select> <Suppress Path="Security">*[EventData[Data[@Name='Application'] and (Data='\device\harddiskvolume2\program files\ibm\wincollect\bin\wincollect.exe') ]]</Suppress> </Query> </QueryList>
- 「保存」をクリックします。
- 「管理」タブから、「変更のデプロイ」をクリックします。
結果
デプロイが完了したら変更は完了です。 管理対象 WinCollect エージェントの場合、ログ・ソースは次のポーリング間隔で更新されます。 スタンドアローン・エージェントの場合、agentconfig.xml ファイルが更新され、フィルタリングが適用されます。
WinColct 10 でのイベント ID 5156 のフィルタリング
WinCollect 10 エージェントでイベント ID 5156 をフィルタリングしたい管理者は、セキュリティー・ログ・ソースを編集し、フィルターを有効にして、ソース・アプリケーションが wincollect.exe の場合にイベントを除外できます。
- IBM WinCollect 10 コンソールを起動します。
- セキュリティー・イベントのログ・ソースを編集します。
- 「Filter enabled」のチェック・ボックスをクリックします。
- ドロップダウン・フィールドで、「WinCollect specific 5156 connection events filtered out.」を選択します。
- 「Save」をクリックします。
- 「View pending change」 をクリックします。
- 「Apply Changes」 をクリックして、ログ ・ソースの構成を更新します。
結果これにより管理者は、より監視が必要な、Windows フィルタリング・プラットフォームが許可した他のアプリケーションの接続をセキュリティ・ログでフィルタリングできます。
Related Information
Document Location
Worldwide
Was this topic helpful?
Document Information
Modified date:
30 May 2023
UID
ibm16955763