5031(F): Windows 방화벽 서비스에서 응용 프로그램이 네트워크에서 들어오는 연결을 허용하지 않습니다.

Event 5031 illustration

하위ategory:   필터링 플랫폼 연결 감사

이벤트 설명:

이 이벤트는 응용 프로그램이 Windows 필터링 플랫폼에 의해 네트워크에서 들어오는 연결을 수락하지 차단된 경우 생성됩니다.

특정 응용 프로그램에 대한 Windows 방화벽에 방화벽 규칙(허용 또는 거부)이 없는 경우 기본적으로 이 계층은 들어오는 연결을 거부하기 때문에 Windows 필터링 플랫폼 계층에서 이 이벤트를 얻게 됩니다.

참고  권장 사항은 이 이벤트에 대한 보안 모니터링 권장 사항을 참조하십시오.


이벤트 XML:

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
 <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-A5BA-3E3B0328C30D}" /> 
 <EventID>5031</EventID> 
 <Version>0</Version> 
 <Level>0</Level> 
 <Task>12810</Task> 
 <Opcode>0</Opcode> 
 <Keywords>0x8010000000000000</Keywords> 
 <TimeCreated SystemTime="2015-09-22T03:46:36.634473000Z" /> 
 <EventRecordID>304373</EventRecordID> 
 <Correlation /> 
 <Execution ProcessID="516" ThreadID="2976" /> 
 <Channel>Security</Channel> 
 <Computer>DC01.contoso.local</Computer> 
 <Security /> 
 </System>
- <EventData>
 <Data Name="Profiles">Domain</Data> 
 <Data Name="Application">C:\\documents\\listener.exe</Data> 
 </EventData>
 </Event>

필수 서버 역할: 없음.

최소 OS 버전: Windows Server 2008, Windows Vista.

이벤트 버전: 0.

필드 설명:

  • Profiles [Type = UnicodeString]: 차단된 응용 프로그램을 사용하는 네트워크 프로필입니다. 가능한 값:

    • 도메인

    • Public

    • 개인 정보 보호

  • Application [Type = UnicodeString]: 차단된 응용 프로그램에 대한 실행 파일의 전체 경로 및 파일 이름입니다.

보안 모니터링 권장 사항

5031(F): Windows 방화벽 서비스에서 응용 프로그램이 네트워크에서 들어오는 연결을 허용하지 않습니다.

  • 이 이벤트를 사용하여 Windows 방화벽 규칙이 만들어지지던 응용 프로그램을 검색할 수 있습니다.

  • 이 이벤트에서 보고된 작업을 수행하는 데 사용할 미리 정의된 응용 프로그램이 있는 경우 "Application" 을 사용하여 이벤트를 모니터링합니다.

  • "응용프로그램"이 표준 폴더(예: System32 또는 Program Files)에있지 않은지 또는 제한된 폴더(예: 임시 인터넷 파일)에 있지 않은지 모니터링할 수 있습니다.

  • 응용 프로그램 이름에 제한된 하위string 또는 단어(예: "mimikatz" 또는 "**cain.exe")의 **미리 정의된 목록이 있는 경우 "Application"에서이러한 하위스트링을 확인하세요.