ANAVEM
FrancaisEnglish
ANAVEM
Languageen
Windows security monitoring dashboard showing Event Viewer with scheduled task creation events
Event ID 4702InformationSecurityWindows

ID d'événement Windows 4702 – Sécurité : Tâche planifiée créée

L'ID d'événement 4702 enregistre la création d'une nouvelle tâche planifiée sur les systèmes Windows. Cet événement d'audit de sécurité aide les administrateurs à suivre la création de tâches à des fins de conformité et de surveillance de la sécurité.

Emanuel DE ALMEIDAEmanuel DE ALMEIDA
18 mars 202612 min de lecture 0
Event ID 4702Security 5 méthodes 12 min
Référence événement

Signification de cet événement

L'ID d'événement 4702 représente un événement d'audit de sécurité fondamental que Windows génère chaque fois que le service Planificateur de tâches crée une nouvelle tâche planifiée. Cet événement fait partie du cadre d'audit complet de Windows et offre aux administrateurs une visibilité détaillée sur les activités de création de tâches dans leur environnement.

L'événement capture des métadonnées étendues, y compris l'identifiant de sécurité (SID) de l'utilisateur qui a créé la tâche, le nom de la tâche, le chemin de l'exécutable, les conditions de déclenchement et les informations de synchronisation. Ce niveau de détail granulaire rend l'ID d'événement 4702 particulièrement précieux pour les centres d'opérations de sécurité (SOC) et les équipes de conformité qui doivent maintenir des pistes d'audit détaillées des changements système.

D'un point de vue sécurité, les tâches planifiées représentent un mécanisme de persistance courant utilisé à la fois par les administrateurs légitimes et les acteurs malveillants. Les attaquants créent fréquemment des tâches planifiées pour maintenir l'accès aux systèmes compromis, exécuter des logiciels malveillants à des intervalles spécifiques ou effectuer une élévation de privilèges. En surveillant l'ID d'événement 4702, les équipes de sécurité peuvent rapidement identifier des modèles de création de tâches suspects et enquêter sur les menaces potentielles.

L'événement s'intègre parfaitement avec le transfert d'événements Windows (WEF) et les solutions SIEM, permettant une surveillance centralisée dans de grands environnements. Les cadres de sécurité modernes comme MITRE ATT&CK font spécifiquement référence à l'abus de tâches planifiées (T1053.005), rendant cet événement crucial pour les activités de chasse aux menaces et de réponse aux incidents dans le paysage des menaces en évolution de 2026.

S'applique à

Windows 10Windows 11Windows Server 2019/2022/2025
Analyse

Causes possibles

  • Administrateur créant des tâches planifiées via l'interface graphique du Planificateur de tâches
  • Scripts PowerShell utilisant les cmdlets New-ScheduledTask ou Register-ScheduledTask
  • Création de tâches en ligne de commande avec schtasks.exe
  • Applications tierces créant des tâches de manière programmatique via l'API du Planificateur de tâches
  • Stratégie de groupe déployant des tâches planifiées sur les ordinateurs du domaine
  • Windows Update ou maintenance système créant des tâches automatiques
  • Logiciel malveillant établissant une persistance par la création de tâches planifiées
  • Installations de logiciels enregistrant des tâches de maintenance ou de mise à jour
Méthodes de résolution

Étapes de dépannage

01

Examiner les détails de l'événement dans le Visualiseur d'événements

Commencez par examiner l'entrée spécifique de l'ID d'événement 4702 pour comprendre quelle tâche a été créée et par qui.

  1. Ouvrez Observateur d'événements en appuyant sur Win + R, en tapant eventvwr.msc, et en appuyant sur Entrée
  2. Accédez à Journaux WindowsSécurité
  3. Filtrez le journal en cliquant sur Filtrer le journal actuel dans le volet Actions
  4. Entrez 4702 dans le champ ID d'événements et cliquez sur OK
  5. Double-cliquez sur l'événement pertinent pour voir des informations détaillées
  6. Examinez les champs clés suivants dans les détails de l'événement:
    • Sujet: Montre le compte utilisateur qui a créé la tâche
    • Nom de la tâche: Le nom attribué à la tâche planifiée
    • Contenu de la tâche: Configuration XML de la tâche incluant les déclencheurs et actions
Astuce pro : Le champ Contenu de la tâche contient la définition XML complète. Copiez ceci dans un éditeur de texte pour une analyse plus facile des configurations de tâches complexes.
02

Interroger les événements avec PowerShell

Utilisez PowerShell pour rechercher et analyser efficacement les occurrences de l'ID d'événement 4702 sur des périodes spécifiques.

  1. Ouvrez PowerShell en tant qu'administrateur
  2. Interrogez les événements récents de création de tâches :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702} -MaxEvents 50 | Format-Table TimeCreated, Id, LevelDisplayName, Message -Wrap
  3. Filtrez les événements par compte utilisateur spécifique :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702} | Where-Object {$_.Message -like "*DOMAIN\username*"}
  4. Exportez les événements vers un fichier CSV pour analyse :
    Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702} | Select-Object TimeCreated, Id, LevelDisplayName, Message | Export-Csv -Path "C:\temp\TaskCreationEvents.csv" -NoTypeInformation
  5. Recherchez des événements dans une plage de dates spécifique :
    $StartTime = (Get-Date).AddDays(-7)
$EndTime = Get-Date
Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702; StartTime=$StartTime; EndTime=$EndTime}
Avertissement : Les journaux de sécurité volumineux peuvent affecter les performances. Utilisez des filtres de date et le paramètre -MaxEvents pour limiter les résultats.
03

Corréler avec les tâches planifiées actuelles

Recoupez les entrées de l'ID d'événement 4702 avec les tâches planifiées actuellement existantes pour identifier quelles tâches sont encore actives.

  1. Lister toutes les tâches planifiées actuelles :
    Get-ScheduledTask | Select-Object TaskName, State, Author, Date | Sort-Object Date -Descending
  2. Obtenir des informations détaillées sur une tâche spécifique mentionnée dans l'ID d'événement 4702 :
    Get-ScheduledTask -TaskName "TaskNameFromEvent" | Get-ScheduledTaskInfo
  3. Exporter les définitions de tâches pour comparaison :
    Get-ScheduledTask | ForEach-Object { Export-ScheduledTask -TaskName $_.TaskName -TaskPath $_.TaskPath } | Out-File "C:\temp\AllTasks.xml"
  4. Vérifier l'historique d'exécution des tâches :
    Get-WinEvent -FilterHashtable @{LogName='Microsoft-Windows-TaskScheduler/Operational'} -MaxEvents 100 | Where-Object {$_.Id -eq 200 -or $_.Id -eq 201}
  5. Identifier les tâches créées par des utilisateurs spécifiques :
    Get-ScheduledTask | Where-Object {$_.Author -like "*username*"} | Format-Table TaskName, Author, State
Astuce pro : Comparez le timestamp de création dans l'ID d'événement 4702 avec le champ Date dans Get-ScheduledTask pour vérifier la persistance des tâches.
04

Analyser le contenu des tâches et les implications en matière de sécurité

Effectuer une analyse détaillée de la configuration de la tâche pour évaluer les risques de sécurité et les implications de conformité.

  1. Extraire et analyser la définition de la tâche XML à partir de l'ID d'événement 4702:
    $Event = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702} -MaxEvents 1
$EventXML = [xml]$Event.ToXml()
$TaskContent = $EventXML.Event.EventData.Data | Where-Object {$_.Name -eq 'TaskContent'} | Select-Object -ExpandProperty '#text'
$TaskContent | Out-File "C:\temp\TaskDefinition.xml"
  2. Analyser le XML pour identifier les éléments clés de sécurité:
    [xml]$TaskXML = Get-Content "C:\temp\TaskDefinition.xml"
$TaskXML.Task.Actions.Exec | Select-Object Command, Arguments
$TaskXML.Task.Triggers | Select-Object *
$TaskXML.Task.Principals.Principal | Select-Object UserId, RunLevel
  3. Vérifier les caractéristiques suspectes:
    • Tâches s'exécutant avec des privilèges SYSTEM
    • Tâches s'exécutant depuis des emplacements inhabituels (répertoires temporaires, profils utilisateur)
    • Tâches avec des lignes de commande obfusquées ou du PowerShell encodé
    • Tâches programmées pour s'exécuter à des intervalles inhabituels
  4. Valider par rapport aux politiques organisationnelles:
    # Vérifier si l'exécutable de la tâche est dans des emplacements approuvés
$ApprovedPaths = @("C:\Windows\System32", "C:\Program Files", "C:\Program Files (x86)")
$TaskCommand = $TaskXML.Task.Actions.Exec.Command
$IsApproved = $ApprovedPaths | Where-Object {$TaskCommand -like "$_*"}
  5. Documenter les résultats et créer des alertes pour les violations de politique
Avertissement : Les tâches s'exécutant avec des privilèges élevés depuis des emplacements non fiables peuvent indiquer une compromission. Enquêter immédiatement.
05

Mettre en œuvre une surveillance continue et des alertes

Configurez une surveillance automatisée pour détecter et alerter sur les modèles de création de tâches planifiées suspectes.

  1. Créez un script PowerShell pour une surveillance continue:
    # TaskMonitor.ps1
$LastCheck = (Get-Date).AddMinutes(-5)
$SuspiciousEvents = Get-WinEvent -FilterHashtable @{LogName='Security'; Id=4702; StartTime=$LastCheck} | Where-Object {
    $_.Message -like "*powershell*" -or 
    $_.Message -like "*cmd.exe*" -or
    $_.Message -like "*temp*" -or
    $_.Message -like "*SYSTEM*"
}
if ($SuspiciousEvents) {
    $SuspiciousEvents | Export-Csv "C:\logs\SuspiciousTasks.csv" -Append -NoTypeInformation
    # Envoyer un email d'alerte ou une notification SIEM
}
  2. Configurez le transfert d'événements Windows pour une collecte centralisée:
    • Activez WinRM sur les ordinateurs sources: winrm quickconfig
    • Configurez l'abonnement sur le serveur collecteur
    • Créez des vues personnalisées pour l'analyse de l'ID d'événement 4702
  3. Configurez des vues personnalisées dans le Visualisateur d'événements:
    • Ouvrez Visualisateur d'événementsVues personnaliséesCréer une vue personnalisée
    • Filtrez par ID d'événement 4702 et enregistrez sous "Création de tâche planifiée"
    • Configurez des notifications par email pour les événements critiques
  4. Intégrez avec des plateformes SIEM:
    # Exemple: Transférer vers Splunk Universal Forwarder
$LogPath = "C:\Program Files\SplunkUniversalForwarder\etc\apps\windows\local\inputs.conf"
Add-Content -Path $LogPath -Value "[WinEventLog://Security]`nwhitelist = 4702`nindex = windows_security"
  5. Créez des rapports de référence des modèles de création de tâches légitimes pour comparaison
Astuce pro : Établissez des modèles de référence pendant les heures ouvrables normales pour mieux identifier les créations de tâches anormales en dehors des heures ou par des comptes inhabituels.

Aperçu

L'ID d'événement 4702 se déclenche chaque fois qu'une nouvelle tâche planifiée est créée sur un système Windows via le Planificateur de tâches, PowerShell ou des interfaces programmatiques. Cet événement d'audit de sécurité apparaît dans le journal de sécurité et fournit des informations détaillées sur qui a créé la tâche, quand elle a été créée, et les détails de configuration de la tâche.

L'événement capture des informations de sécurité critiques, y compris le compte utilisateur qui a créé la tâche, le nom de la tâche, et l'exécutable ou le script planifié. Cela le rend inestimable pour la surveillance de la sécurité, l'audit de conformité, et l'investigation d'activités potentiellement malveillantes où des attaquants pourraient utiliser des tâches planifiées pour la persistance.

Windows génère cet événement automatiquement lorsque la politique d'audit pour "Audit Other Object Access Events" est activée. L'événement inclut des métadonnées riches sur la création de la tâche, le rendant essentiel pour les environnements qui ont besoin de suivre les actions administratives et de maintenir des bases de sécurité. Les équipes de sécurité comptent sur cet événement pour détecter la création non autorisée de tâches et s'assurer que seule l'automatisation approuvée s'exécute sur leurs systèmes.

Questions Fréquentes

Que signifie l'ID d'événement 4702 et quand apparaît-il ?+
L'ID d'événement 4702 est un événement d'audit de sécurité qui enregistre chaque fois qu'une nouvelle tâche planifiée est créée sur un système Windows. Il apparaît dans le journal de sécurité lorsque la politique 'Audit Other Object Access Events' est activée. L'événement capture des informations détaillées sur qui a créé la tâche, quand elle a été créée, et la configuration complète de la tâche, y compris les déclencheurs, les actions et le contexte de sécurité. Cet événement est essentiel pour la surveillance de la sécurité car les tâches planifiées sont couramment utilisées par les administrateurs légitimes et les acteurs malveillants pour l'automatisation et la persistance.
Comment puis-je savoir si un événement de création de tâche planifiée est malveillant ?+
Plusieurs indicateurs peuvent suggérer la création de tâches malveillantes : tâches exécutées avec des privilèges SYSTEM créées par des utilisateurs non administratifs, exécutables situés dans des répertoires temporaires ou des profils utilisateurs, lignes de commande obscurcies ou scripts PowerShell encodés, tâches planifiées à des intervalles ou des heures inhabituels, et tâches créées par des comptes qui n'effectuent généralement pas de fonctions administratives. De plus, les tâches qui s'exécutent immédiatement après leur création ou qui utilisent des binaires "living-off-the-land" comme PowerShell, WScript ou RegSvr32 nécessitent une enquête. Recoupez l'heure de création de la tâche avec d'autres événements de sécurité et vérifiez la légitimité du compte utilisateur créateur.
Pourquoi ne vois-je pas l'ID d'événement 4702 dans mon journal de sécurité ?+
L'ID d'événement 4702 n'apparaît que lorsque la stratégie d'audit appropriée est activée. Vous devez configurer 'Audit des autres événements d'accès aux objets' sous Configuration avancée de la stratégie d'audit. Cela peut être fait via la stratégie de groupe à Configuration de l'ordinateur → Paramètres Windows → Paramètres de sécurité → Configuration avancée de la stratégie d'audit → Accès aux objets → Audit des autres événements d'accès aux objets. Réglez-le sur 'Succès' pour enregistrer les créations de tâches réussies. Dans les environnements de domaine, assurez-vous que la stratégie est appliquée et que la stratégie de groupe a été actualisée sur les systèmes cibles. Les systèmes locaux peuvent être configurés en utilisant 'auditpol /set /subcategory:"Other Object Access Events" /success:enable'.
L'ID d'événement 4702 peut-il aider à répondre aux exigences de conformité ?+
Oui, l'ID d'événement 4702 est précieux pour divers cadres de conformité, y compris SOX, HIPAA, PCI DSS et ISO 27001, qui nécessitent des pistes d'audit des modifications du système. L'événement fournit une documentation détaillée de qui a créé les tâches planifiées, quand elles ont été créées et leur configuration complète. Cela soutient les processus de gestion des changements, la surveillance des accès privilégiés et la validation des contrôles de sécurité. Pour le reporting de conformité, vous pouvez exporter ces événements pour démontrer que toute création de tâche planifiée est enregistrée et surveillée. Les données de l'événement incluent des horodatages, des comptes d'utilisateur et des détails de tâche nécessaires pour les preuves d'audit et l'analyse judiciaire.
Comment devrais-je répondre aux entrées suspectes de l'ID d'événement 4702 ?+
Lorsque vous identifiez des événements de création de tâches suspectes, suivez ces étapes : examinez immédiatement la configuration de la tâche et déterminez si elle est toujours active en utilisant Get-ScheduledTask, analysez le chemin de l'exécutable et les arguments pour des indicateurs malveillants, vérifiez si le compte utilisateur créateur a des raisons légitimes pour la création de la tâche, corrélez avec d'autres événements de sécurité autour de la même période, et si la tâche semble malveillante, désactivez-la immédiatement en utilisant 'Disable-ScheduledTask' ou 'schtasks /change /disable'. Documentez vos conclusions, préservez les preuves en exportant les détails de l'événement et le XML de la tâche, et envisagez de réimager le système si la compromission est confirmée. Mettez à jour vos règles de surveillance pour détecter des schémas similaires à l'avenir.
Documentation

Références (2)

1
Microsoft Security Auditing Events ReferenceComprehensive guide to Windows security audit events including Event ID 4702 and audit policy configuration requirements.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/security-auditing-overview
2
Advanced Security Audit Policy SettingsDetailed documentation on configuring advanced audit policies including Object Access Events for scheduled task monitoring.https://docs.microsoft.com/en-us/windows/security/threat-protection/auditing/advanced-security-audit-policy-settings
Emanuel DE ALMEIDA
Écrit par

Emanuel DE ALMEIDA

Senior IT Journalist & Cloud Architect

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Tags
#security-auditing#scheduled-tasks#event-id-4702

Événements Windows associés

Windows security monitoring dashboard displaying audit events and privilege tracking logs
Event 6276
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6276 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6276 enregistre lorsque des privilèges spéciaux sont attribués à un compte utilisateur lors de la connexion, indiquant que des droits d'accès élevés ont été accordés pour la session.

18 mars9 min
Windows security monitoring dashboard displaying privilege assignment events in a professional SOC environment
Event 6274
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6274 – Microsoft-Windows-Security-Auditing : Privilèges spéciaux attribués à une nouvelle connexion

L'ID d'événement 6274 enregistre lorsque des privilèges spéciaux sont attribués à une nouvelle session de connexion utilisateur, indiquant que des droits d'accès élevés ont été accordés pour des opérations sensibles à la sécurité.

18 mars9 min
Network Policy Server monitoring dashboard showing authentication events and security logs
Event 6273
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6273 – Microsoft-Windows-Security-Auditing : Accès accordé par le serveur de stratégie réseau

L'ID d'événement 6273 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars9 min
Network operations center displaying Windows NPS authentication monitoring dashboards and security event logs
Event 6272
Microsoft-Windows-Security-Auditing
Windows EventInformation

ID d'événement Windows 6272 – Microsoft-Windows-Security-Auditing : Serveur de stratégie réseau a accordé l'accès

L'ID d'événement 6272 indique que le serveur de politique réseau (NPS) a accordé l'accès au réseau à un utilisateur ou un appareil après une authentification et une autorisation réussies via les protocoles RADIUS.

18 mars12 min

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter
Chargement des commentaires...