<  Back to rules search

Windows Firewall Disabled

windows

Classification:

attack

Tactic:

Technique:

Cette page n'est pas encore disponible en français, sa traduction est en cours.
Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.

Goal

Detect when the Windows firewall is disabled.

Strategy

Monitor the Windows event logs where @evt.id is 4950 and the @Event.EventData.Data.SettingValue:No.

Triage and response

Verify if {{@Event.System.Computer}} has a legitimate reason for having the Windows firewall disabled.