Windows firewall disabled

windows

Classification:

attack

Tactic:

TA0005-defense-evasion

Technique:

T1562-impair-defenses

Esta página aún no está disponible en español. Estamos trabajando en su traducción.
Si tienes alguna pregunta o comentario sobre nuestro actual proyecto de traducción, no dudes en ponerte en contacto con nosotros.

Goal

Detect when the Windows firewall is disabled.

Strategy

Monitor the Windows event logs where @evt.id is 4950 and the @Event.EventData.Data.SettingValue:No.

Triage and response

Verify if {{@Event.System.Computer}} has a legitimate reason for having the Windows firewall disabled.