4699 スケジュールタスクの削除
スケジュールタスクが削除されたときに記録される。攻撃者が使い終わったタスクを消して痕跡を隠す動きや、防御用タスクの除去を捉える。
概要
サブカテゴリは Audit Other Object Access Events。既存のスケジュールタスクが削除されると生成される。作成 4698・更新 4702 と対で、タスクのライフサイクルを追う材料になる。
発生契機・方法
schtasks /delete、タスクスケジューラ、Unregister-ScheduledTask、API によるタスク削除。
セキュリティ上の確認事項
- 攻撃者が、永続化に使ったタスクを目的達成後に削除して痕跡を消す(防御回避)パターンがある。短時間に作成 4698 → 実行 → 削除 4699 が連続していれば一連の攻撃を疑う。
- 監視・防御目的で設置された正規タスクの削除は、防御の無効化を意味することがある。
ログレビュー時の注意観点
- 正規のアンインストールや構成変更でも発生する。削除されたタスク名・削除主体の正常パターンと照合する。
- 削除イベントは作成の文脈とセットで読む。作成時の XML(実行内容)と突き合わせて、何が消されたかを評価する。
主なフィールド
| フィールド | 意味 |
|---|---|
Task Name | 削除されたタスク名 |
Subject\Account Name | 削除を行ったアカウント |