4700 スケジュールタスクの有効化

無効だったスケジュールタスクが有効化されたときに記録される。普段は無効にしてある悪性タスクを、攻撃時にだけ有効化する手口を捉えうる。

概要

サブカテゴリは Audit Other Object Access Events。既存タスクが有効化されたときに生成される。作成 4698・無効化 4701・更新 4702 とセットでタスクの状態変化を追う。

発生契機・方法

無効状態のタスクを有効に切り替えたとき（GUI / schtasks /change /enable / API）。

セキュリティ上の確認事項

攻撃者が、検知を避けるため普段は無効にしてあるタスクを、実行のタイミングでだけ有効化する場合がある。どのタスクが、いつ、誰によって有効化されたかを確認する。
防御・監視タスクが一旦無効化（4701）された後の再有効化なども、運用の文脈で確認する。

ログレビュー時の注意観点

単体ではノイズになりやすい。作成時の XML（4698）と結び付け、有効化されたタスクの実行内容を評価する。
正規の運用切り替えでも出る。対象タスク・主体の正常パターンと照合する。

主なフィールド

フィールド	意味
`Task Name`	有効化されたタスク名
`Subject\Account Name`	操作を行ったアカウント

参考

Microsoft Learn: 4700(S) A scheduled task was enabled.