schtasks

- 目次

全てのセクションを開く | 全てのセクションを閉じる

- ツール概要

カテゴリ
コマンド実行
説明
指定した時刻にタスクを実行する。
攻撃時における想定利用例
ユーザに気付かれないように実行ファイルやスクリプトを、任意のタイミングで実行する。

- ツール動作概要

- 概要

項目 接続元 接続先
通信プロトコル -
  • 135/tcp
権限 User Admin
ドメインへの所属 不要 不要
サービス - -
OS Windows Windows
備考 - -

- 動作確認環境

環境 動作可否
Windows 7 + Windows Server 2012 動作する
Windows 10 + Windows Server 2012 動作する
Windows 11 + Windows Server 2025 動作する

- ログから得られる情報

標準設定
  • 接続元
    • Prefetch: 実行履歴
  • 接続先
    • タスクスケジューラログ: タスクの作成・実行履歴
追加設定
  • 接続元
    • 監査ポリシー・Sysmon: 実行履歴

- 実行成功時に確認できる痕跡

- 実行時に記録される主要な情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\schtasks.exe
  • プロセス情報 > 作成元プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\schtasks.exe /Create /S [ターゲット] /U [ユーザー] /P [パスワード] /SC [実行タイミング] /TN [タスク名] /TR [実行コマンド]
2 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
3 Security 4648 Logon 明示的な資格情報を使用してログオンが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > アカウント名: [ログオン先ユーザー名]
  • 新しいログオン > アカウント名: [ログオン先のドメイン名]
  • ターゲット サーバー > ターゲット サーバー名: [ログオン先ホスト名]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\schtasks.exe
  • オブジェクト情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続先ポート番号]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf SCHTASKS.EXE C:\WINDOWS\SYSTEM32\SCHTASKS.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf FILE

USNジャーナル

# ファイル名 処理 備考
1 SCHTASKS.EXE-[文字列].pf
  • FileCreate
  • DataExtend|FileCreate
  • DataExtend|FileCreate|Close

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
2 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\taskhostw.exe
  • プロセス情報 > 作成元プロセス ID: [プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: taskhostw.exe
3 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\(SD/Id/Index)/, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{タスクGUID}\(DynamicInfo/Path/Hash/Schema/Date/Author/URI/Triggers/Actions)
  • Details: [Binary Data/タスク名]
4 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\Tasks\[タスク名]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
5 Security 4698 Other Object Access Events スケジュールされたタスクが作成されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • タスク情報 > タスク名: [タスク名]
  • タスク情報 > タスク コンテンツ: [タスク内容]
  • その他の情報 > FQDN: [接続先の完全修飾ドメイン]
6 Microsoft-Windows-TaskScheduler/Operational 106 Task registered ユーザー "[UserContext]" はタスク スケジューラのタスク "[TaskName]" を登録しました。
  • UserContext: [ドメイン名]\[ユーザー名]
  • TaskName: [タスク名]

レジストリエントリ

# パス 備考
1 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache \Plain\{[GUID]} (値の設定無し)
2 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks \{[GUID]}\Path \[タスク名]
3 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks \{[GUID]}\Hash [ハッシュ値]
4 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Schema [スキーマ]
5 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Date [日時]
6 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Author [ドメイン名]\[ユーザー名]
7 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\URI \[タスク名]
8 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Triggers [タスク起動タイミング (トリガー)]
9 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Actions [データ]
10 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\DynamicInfo [データ]
11 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\SD [セキュリティ記述子]
12 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\Id {[GUID]}
13 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\\[タスク名]\Index [インデックス番号]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf TASKHOSTW.EXE C:\WINDOWS\SYSTEM32\TASKHOSTW.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\ TASKHOSTW.EXE-[文字列].pf FILE

USNジャーナル

# ファイル名 処理 備考
1 TASKHOSTW.EXE-[文字列].pf
  • CREATE|EXTEND|CLOSE
  • EXTEND|TRUNC|CLOSE
  • SECURITY|CLOSE

- 詳細情報

- 接続元

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\schtasks.exe
  • プロセス情報 > 作成元プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\schtasks.exe /Create /S [ターゲット] /U [ユーザー] /P [パスワード] /SC [実行タイミング] /TN [タスク名] /TR [実行コマンド]
2 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • CommandLine: C:\Windows\System32\schtasks.exe /Create /S [ターゲット] /U [ユーザー] /P [パスワード] /SC [実行タイミング] /TN [タスク名] /TR [実行コマンド]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [実行ユーザー]
  • LogonId: [ログオンID]
  • IntegrityLevel: [特権レベル]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスの実行ファイルのパス]
  • ParentCommandLine: [親プロセスのコマンドライン]
3 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [実行ユーザー]
4 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
5 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
6 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 135
7 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
8 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
9 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
10 Security 4648 Logon 明示的な資格情報を使用してログオンが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > アカウント名: [ログオン先ユーザー名]
  • 新しいログオン > アカウント名: [ログオン先のドメイン名]
  • ターゲット サーバー > ターゲット サーバー名: [ログオン先ホスト名]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\schtasks.exe
  • オブジェクト情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続先ポート番号]
11 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\schtasks.exe
12 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
13 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
14 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]
17 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\schtasks.exe
  • プロセス情報 > 作成元プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: C:\Windows\System32\schtasks.exe /Run /S [ターゲット] /U [ユーザー] /P [パスワード] /TN [タスク名]
18 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • CommandLine: C:\Windows\System32\schtasks.exe /Run /S [ターゲット] /U [ユーザー] /P [パスワード] /TN [タスク名]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [実行ユーザー]
  • LogonId: [ログオンID]
  • IntegrityLevel: [特権レベル]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: [親プロセスの実行ファイル]
  • ParentCommandLine: [親プロセスのコマンドライン]
19 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • TargetObject: HKLM\System\CurrentControlSet\Services\Tcpip\Parameters
  • User: [実行ユーザー]
20 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
21 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
22 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 135
23 Security 5158 Filtering Platform Connection Windows フィルターリング プラットフォームで、ローカル ポートへのバインドが許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > ソース ポート: [送信元ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
24 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [実行プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\schtasks.exe
  • ネットワーク情報 > 方向: 送信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
25 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
26 Security 4648 Logon 明示的な資格情報を使用してログオンが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > アカウント名: [ログオン先ユーザー名]
  • 新しいログオン > アカウント名: [ログオン先のドメイン名]
  • ターゲット サーバー > ターゲット サーバー名: [ログオン先ホスト名]
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\schtasks.exe
  • オブジェクト情報 > 送信元アドレス: [接続先IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続先ポート番号]
27 Security 4689 Process Termination プロセスが終了しました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 終了状態: 0x0
  • プロセス情報 > プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\schtasks.exe
28 Microsoft-Windows-Sysmon/Operational 5 Process terminated Process terminated.
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: C:\Windows\System32\schtasks.exe
  • User: [実行ユーザー]
29 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
30 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile, AppendDataを含む)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
31 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
32 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf SCHTASKS.EXE C:\WINDOWS\SYSTEM32\SCHTASKS.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\SCHTASKS.EXE-[文字列].pf FILE

USNジャーナル

# ファイル名 処理 備考
1 SCHTASKS.EXE-[文字列].pf
  • FileCreate
  • DataExtend|FileCreate
  • DataExtend|FileCreate|Close

- 接続先

イベントログ

# ログ イベントID タスクのカテゴリ イベント内容
1 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: 135
  • ネットワーク情報 > プロトコル: 6 (TCP)
2 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: 135
3 Security 5156 Filtering Platform Connection Windows フィルターリング プラットフォームで、接続が許可されました。
  • アプリケーション情報 > プロセス ID: [プロセスID]
  • アプリケーション情報 > アプリケーション名: \device\harddiskvolume[ボリューム番号]\windows\system32\svchost.exe
  • ネットワーク情報 > 方向: 着信
  • ネットワーク情報 > 送信元アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
  • ネットワーク情報 > 宛先アドレス: [接続先IPアドレス]
  • ネットワーク情報 > 宛先ポート: [接続先ポート番号]
  • ネットワーク情報 > プロトコル: 6 (TCP)
4 Microsoft-Windows-Sysmon/Operational 3 Network connection detected Network connection detected
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • User: [実行ユーザー]
  • Protocol: tcp
  • SourceIp: [接続元IPアドレス]
  • SourceHostname: [接続元ホスト名]
  • SourcePort: [接続元ポート番号]
  • DestinationIp: [接続先IPアドレス]
  • DestinationHostname: [接続先ホスト名]
  • DestinationPort: [接続先ポート番号]
5 Security 4672 Special Logon 新しいログオンに特権が割り当てられました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 特権: SeSecurityPrivilege, SeBackupPrivilege, SeRestorePrivilege, SeTakeOwnershipPrivilege, SeDebugPrivilege, SeSystemEnvironmentPrivilege, SeLoadDriverPrivilege, SeImpersonatePrivilege, SeDelegateSessionUserImpersonatePrivilege
6 Security 4624 Logon アカウントが正常にログオンしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • 新しいログオン > セキュリティ ID: [ログオンユーザーSID]
  • 新しいログオン > アカウント名: [ログオンユーザー名]
  • 新しいログオン > アカウント名: [ドメイン名]
  • 新しいログオン > ログオン ID: [ログオンユーザーのログオンID]
  • ログオン情報 > ログオン タイプ: 3
  • ネットワーク情報 > ソースワークステーション名: [接続元ホスト名]
  • プロセス情報 > プロセス名: [実行ファイルのパス]
  • ネットワーク情報 > ソース ネットワーク アドレス: [接続元IPアドレス]
  • ネットワーク情報 > ソース ポート: [接続元ポート番号]
7 Security 4634 Logoff アカウントがログオフしました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ログオンユーザー名]
  • サブジェクト > ログオン ID: [イベント4624で記録されたログオンID]
  • ログオン タイプ: 3
8 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: C:\Windows\System32\taskhostw.exe
  • プロセス情報 > 作成元プロセス ID: [プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: taskhostw.exe
9 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\taskhostw.exe
  • CommandLine: [実行コマンド]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [実行ユーザー]
  • LogonId: [ログオンID]
  • IntegrityLevel: [特権レベル]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: C:\Windows\System32\svchost.exe
  • ParentCommandLine: [親プロセスのコマンドライン]
10 Security 4688 Process Creation 新しいプロセスが作成されました。
  • 作成元サブジェクト > セキュリティ ID: [ユーザーSID]
  • 作成元サブジェクト > アカウント名: [ユーザー名]
  • 作成元サブジェクト > アカウント ドメイン: [ドメイン名]
  • 作成元サブジェクト > ログオン ID: [ログオンID]
  • プロセス情報 > 新しいプロセス ID: [新しく実行されたプロセスのプロセスID]
  • プロセス情報 > 新しいプロセス名: [タスクで指定された実行ファイルのパス]
  • プロセス情報 > 作成元プロセス ID: [実行プロセスID]
  • プロセス情報 > プロセスのコマンド ライン: [実行コマンド]
11 Microsoft-Windows-Sysmon/Operational 1 Process Create Process Create
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [実行プロセスID]
  • Image: [タスクで指定された実行ファイルのパス]
  • CommandLine: [タスクで指定されたコマンドライン]
  • CurrentDirectory: [作業ディレクトリ]
  • User: [実行ユーザー]
  • LogonId: [ログオンID]
  • IntegrityLevel: [特権レベル]
  • Hashes: [実行ファイルのハッシュ値]
  • ParentProcessId: [親プロセスID]
  • ParentImage: C:\Windows\System32\svchost.exe
  • ParentCommandLine: [親プロセスのコマンドライン]
12 Microsoft-Windows-Sysmon/Operational 12 Registry object added or deleted Registry object added or deleted
  • EventType: CreateKey
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名], HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\(Tasks/Plain)\{タスクGUID}
  • User: [実行ユーザー]
13 Microsoft-Windows-Sysmon/Operational 13 Registry value set Registry value set
  • EventType: SetValue
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetObject: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\(SD/Id/Index)/, HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\{タスクGUID}\(DynamicInfo/Path/Hash/Schema/Date/Author/URI/Triggers/Actions)
  • Details: [Binary Data/タスク名]
14 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: ファイルの種類
  • オブジェクト > オブジェクト名: C:\Windows\System32\Tasks\[タスク名]
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: READ_CONTROL, SYNCHRONIZE, WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance),WriteEA, ReadAttributes, WriteAttributes
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
15 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > オブジェクトの種類: File
  • オブジェクト > オブジェクト名: C:\Windows\System32\Tasks\[タスク名]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • アクセス要求情報 > アクセス: WriteData (または AddFile), AppendData (または AddSubdirectory または CreatePipeInstance)
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
16 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
17 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\System32\Tasks\[タスク名]
  • CreationUtcTime: [ファイル作成日時(UTC)]
18 Security 4698 Other Object Access Events スケジュールされたタスクが作成されました。
  • サブジェクト > セキュリティ ID: [ユーザーSID]
  • サブジェクト > アカウント名: [ユーザー名]
  • サブジェクト > アカウント ドメイン: [ドメイン名]
  • サブジェクト > ログオン ID: [ログオンID]
  • タスク情報 > タスク名: [タスク名]
  • タスク情報 > タスク コンテンツ: [タスク内容]
  • その他の情報 > FQDN: [接続先の完全修飾ドメイン]
19 Microsoft-Windows-TaskScheduler/Operational 106 Task registered ユーザー "[UserContext]" はタスク スケジューラのタスク "[TaskName]" を登録しました。
  • UserContext: [ドメイン名]\[ユーザー名]
  • TaskName: [タスク名]
20 Security 4656 File System オブジェクトに対するハンドルが要求されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [ハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile、AppendDataを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
21 Security 4663 File System オブジェクトへのアクセスが試行されました。
  • オブジェクト > オブジェクト名: C:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • アクセス要求情報 > アクセス: WriteDataまたはAddFile、AppendDataを含む
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
22 Security 4658 File System オブジェクトに対するハンドルが閉じました。
  • オブジェクト > ハンドル ID: [直前のイベント4656で取得されたハンドルID]
  • プロセス情報 > プロセス ID: [プロセスID]
  • プロセス情報 > プロセス名: C:\Windows\System32\svchost.exe
23 Microsoft-Windows-Sysmon/Operational 11 File created File created
  • UtcTime: [発生日時(UTC)]
  • ProcessId: [プロセスID]
  • Image: C:\Windows\System32\svchost.exe
  • TargetFilename: C:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf
  • CreationUtcTime: [ファイル作成日時(UTC)]

レジストリエントリ

# パス 備考
1 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache \Plain\{[GUID]}

2 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Path \[タスク名]
3 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Hash [ハッシュ値]
4 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Schema [スキーマ]
5 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Date [日時]
6 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Author [ドメイン名]\[ユーザー名]
7 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\URI \[タスク名]
8 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Triggers [タスク起動タイミング (トリガー)]
9 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\Actions [データ]
10 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tasks\{[GUID]}\DynamicInfo [データ]
11 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\SD [セキュリティ記述子]
12 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\[タスク名]\Id {[GUID]}
13 HKLM\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Schedule\TaskCache\Tree\\[タスク名]\Index [インデックス番号]

Prefetch

# Prefetchファイル プロセス名 プロセスパス 備考
1 C:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf TASKHOSTW.EXE C:\WINDOWS\SYSTEM32\TASKHOSTW.EXE

MFT

# パス ヘッダフラグ 備考
1 [ドライブ名]:\Windows\Prefetch\TASKHOSTW.EXE-[文字列].pf FILE

USNジャーナル

# ファイル名 処理 備考
1 TASKHOSTW.EXE-[文字列].pf
  • CREATE|EXTEND|CLOSE
  • EXTEND|TRUNC|CLOSE
  • SECURITY|CLOSE

- パケット

# オペレーション 接続元ホスト 接続元ポート番号 接続先ホスト 接続先ポート プロトコル アプリケーション 備考
1 Bind: call_id: 2, Fragment: Single, 3 context items: EPMv4 V3.0 (32bit NDR), EPMv4 V3.0 (64bit NDR), EPMv4 V3.0 (6cb71c2c-9812-4540-0300-000000000000) [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp DCERPC
2 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
3 Map request, TaskSchedulerService, 32bit NDR [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp EPM
4 Map response, TaskSchedulerService, 32bit NDR [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp EPM
5 Bind: call_id: 2, Fragment: Single, 3 context items: TaskSchedulerService V1.0 (32bit NDR), TaskSchedulerService V1.0 (64bit NDR), TaskSchedulerService V1.0 (6cb71c2c-9812-4540-0300-000000000000), NTLMSSP_NEGOTIATE [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp DCERPC
6 Bind_ack: call_id: 2, Fragment: Single, max_xmit: 5840 max_recv: 5840, 3 results: Provider rejection, Acceptance, Negotiate ACK, NTLMSSP_CHALLENGE [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp DCERPC
7 AUTH3: call_id: 2, Fragment: Single, NTLMSSP_AUTH, User: [ドメイン名]\[ユーザー名] [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp DCERPC
8 SchRpcHighestVersion request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp TaskSchedulerService
9 SchRpcHighestVersion response [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp TaskSchedulerService
10 SchRpcEnumTasks request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp TaskSchedulerService
11 SchRpcEnumTasks response [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp TaskSchedulerService
12 SchRpcRegisterTask request [接続元IPアドレス] [接続元ポート番号] [接続先IPアドレス] 135 tcp TaskSchedulerService
13 SchRpcRegisterTask response [接続先IPアドレス] 135 [接続元IPアドレス] [接続元ポート番号] tcp TaskSchedulerService