4701 スケジュールタスクの無効化

スケジュールタスクが無効化されたときに記録される。防御・監視用タスクの無効化（防御回避）や、悪性タスクを一時的に隠す動きを捉えうる。

概要

サブカテゴリは Audit Other Object Access Events。既存タスクが無効に切り替えられると生成される。有効化 4700 と対で、タスクの稼働状態の変化を追う。

発生契機・方法

タスクを無効状態に切り替えたとき（GUI / schtasks /change /disable / API）。

セキュリティ上の確認事項

監視・バックアップ・セキュリティ関連の正規タスクが無効化された場合、防御の弱体化を意味することがある。対象タスクと主体を確認する。
攻撃者が悪性タスクを実行後に無効化して検知を避ける（後で再有効化 4700）パターンもある。

ログレビュー時の注意観点

正規の運用・メンテナンスでも発生する。重要な防御タスクの無効化に絞ってアラートにすると有効。
作成時の内容（4698）と結び付けて、何が無効化されたかを評価する。

主なフィールド

フィールド	意味
`Task Name`	無効化されたタスク名
`Subject\Account Name`	操作を行ったアカウント

参考

Microsoft Learn: 4701(S) A scheduled task was disabled.