ID d'événement Windows 4698 – Microsoft-Windows-Security-Auditing : Tâche planifiée créée

Commencez par examiner les détails de l'événement pour comprendre quelle tâche a été créée et par qui.

1. Ouvrez Observateur d'événements en appuyant sur Win+R, en tapant eventvwr.msc
2. Accédez à Journaux Windows → Sécurité
3. Filtrez pour l'ID d'événement 4698 en cliquant avec le bouton droit sur le journal Sécurité → Filtrer le journal actuel
4. Entrez 4698 dans le champ ID d'événements et cliquez sur OK
5. Double-cliquez sur un événement 4698 pour voir les détails
6. Examinez l'onglet Général pour obtenir des informations de base, y compris le Sujet (qui l'a créé) et le Nom de la tâche
7. Cliquez sur l'onglet Détails et sélectionnez Vue XML pour voir la définition complète de la tâche
8. Cherchez des chemins d'exécution suspects, des déclencheurs inhabituels ou des tâches créées par des utilisateurs inattendus

Utilisez PowerShell pour interroger et analyser efficacement les événements de création de tâches planifiées sur des plages de temps.

1. Ouvrez PowerShell en tant qu'administrateur
2. Interrogez les événements récents de création de tâches :

   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4698} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap

3. Filtrez les événements par utilisateur spécifique ou plage de temps :

   $StartTime = (Get-Date).AddDays(-7)
   $Events = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4698; StartTime=$StartTime}
   $Events | ForEach-Object {
       $XML = [xml]$_.ToXml()
       [PSCustomObject]@{
           TimeCreated = $_.TimeCreated
           User = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
           TaskName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskName'} | Select-Object -ExpandProperty '#text'
           TaskContent = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskContent'} | Select-Object -ExpandProperty '#text'
       }
   }

4. Exportez les résultats pour analyse :

   $Events | Export-Csv -Path "C:\Temp\ScheduledTaskCreation.csv" -NoTypeInformation

Examinez la configuration réelle de la tâche planifiée pour déterminer si elle représente une activité légitime ou une menace potentielle pour la sécurité.

1. Extrait le contenu XML de la tâche à partir de l'événement et enregistrez-le dans un fichier :

   $Event = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4698} -MaxEvents 1
   $XML = [xml]$Event.ToXml()
   $TaskXML = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskContent'} | Select-Object -ExpandProperty '#text'
   $TaskXML | Out-File -FilePath "C:\Temp\TaskDefinition.xml"

2. Ouvrez le fichier XML et examinez les éléments clés :
   • Actions : Recherchez PowerShell, cmd.exe ou des exécutables suspects
   • Déclencheurs : Vérifiez les horaires inhabituels ou les déclencheurs d'événements système
   • Principal : Vérifiez le contexte de sécurité (SYSTEM, utilisateurs spécifiques)
   • Paramètres : Passez en revue les limites d'exécution et la gestion des échecs
3. Faites une référence croisée avec les tâches planifiées actuelles :

   Get-ScheduledTask | Where-Object {$_.TaskName -like "*SuspiciousName*"} | Get-ScheduledTaskInfo

4. Vérifiez l'historique d'exécution des tâches :

   Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-TaskScheduler/Operational'; Id=200,201} | Where-Object {$_.Message -like "*TaskName*"}

5. Validez les chemins de fichiers et les signatures numériques des exécutables référencés dans les actions de la tâche

Configurez une surveillance proactive pour détecter la création de tâches planifiées suspectes en temps réel.

1. Activez la journalisation détaillée du Planificateur de tâches :

   wevtutil sl Microsoft-Windows-TaskScheduler/Operational /e:true
   wevtutil sl Microsoft-Windows-TaskScheduler/Maintenance /e:true

2. Créez une vue personnalisée dans l'Observateur d'événements pour la surveillance de la création de tâches :
   • Dans l'Observateur d'événements, cliquez avec le bouton droit sur Vues personnalisées → Créer une vue personnalisée
   • Sélectionnez Par journal → Journaux Windows → Sécurité
   • Ajoutez l'ID d'événement 4698 et éventuellement 4699 (tâche supprimée) et 4700 (tâche activée)
   • Enregistrez sous "Modifications des tâches planifiées"
3. Configurez un script de surveillance basé sur PowerShell :

   # Enregistrez sous ScheduledTaskMonitor.ps1
   Register-WmiEvent -Query "SELECT * FROM Win32_NTLogEvent WHERE LogFile='Security' AND EventCode=4698" -Action {
       $Event = $Event.SourceEventArgs.NewEvent
       $Message = "Nouvelle tâche planifiée créée : " + $Event.Message
       Write-EventLog -LogName Application -Source "TaskMonitor" -EventId 1001 -Message $Message -EntryType Warning
       # Ajoutez ici une notification par e-mail ou une intégration SIEM
   }

4. Configurez le transfert d'événements Windows (WEF) pour une collecte centralisée dans les environnements d'entreprise
5. Intégrez avec des plateformes SIEM en utilisant Windows Event Collector ou un transfert basé sur un agent

Effectuez une analyse médico-légale détaillée lorsque l'ID d'événement 4698 indique des incidents de sécurité potentiels.

1. Corrélez avec d'autres événements de sécurité :

   # Recherchez des événements de connexion liés autour de l'heure de création de la tâche
   $TaskEvent = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4698} -MaxEvents 1
   $TimeWindow = $TaskEvent.TimeCreated
   $StartTime = $TimeWindow.AddMinutes(-30)
   $EndTime = $TimeWindow.AddMinutes(30)
   
   Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4624,4625,4648; StartTime=$StartTime; EndTime=$EndTime} | Format-Table TimeCreated, Id, Message

2. Extraire et analyser les artefacts de la tâche :

   # Exporter la définition de la tâche pour une analyse médico-légale
   $XML = [xml]$TaskEvent.ToXml()
   $TaskContent = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskContent'} | Select-Object -ExpandProperty '#text'
   $TaskContent | Out-File "C:\Forensics\Task_$(Get-Date -Format 'yyyyMMdd_HHmmss').xml"
   
   # Vérifiez si la tâche existe toujours
   $TaskName = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskName'} | Select-Object -ExpandProperty '#text'
   Get-ScheduledTask -TaskName $TaskName -ErrorAction SilentlyContinue

3. Examinez les artefacts du système de fichiers :
   • Vérifiez les emplacements des exécutables de la tâche pour des fichiers suspects
   • Examinez les horodatages de création de fichiers et les signatures numériques
   • Analysez le processus parent qui a créé la tâche à l'aide de Process Monitor ou d'outils similaires
4. Documentez les résultats et créez une chronologie de l'incident :

   # Générer un rapport complet
   $Report = @{
       EventTime = $TaskEvent.TimeCreated
       TaskName = $TaskName
       CreatedBy = $XML.Event.EventData.Data | Where-Object {$_.Name -eq 'SubjectUserName'} | Select-Object -ExpandProperty '#text'
       TaskXML = $TaskContent
       RelatedEvents = $RelatedEvents
   }
   $Report | ConvertTo-Json -Depth 10 | Out-File "C:\Forensics\TaskCreationIncident.json"

5. Mettez en œuvre des mesures de confinement si une activité malveillante est confirmée :
   • Désactivez ou supprimez les tâches planifiées suspectes
   • Bloquez l'exécution des fichiers malveillants identifiés
   • Réinitialisez les identifiants d'utilisateur compromis
   • Mettez à jour les politiques de sécurité pour prévenir des incidents similaires