Для решения подобной задачи воспользовался ProcessMonitor.
Нашёл закономерность. При подключении/отключении дополнительного монитора выполняется процесс "C:\Windows\System32\svchost.exe -k netsvcs -p -s ShellHWDetection". Скорее всего процесс выполняется и при других событиях системы, но пока мне этого достаточно.

Что я сделал дальше:
1) Включил "Аудит создания процессов" с помощью GPO.
Конфигурация компьютера - Конфигурация Windows - Параметры безопасности - - Конфигурация расширенной политики аудита - Подробное отслеживание - Аудит создания процессов
Либо CMD от имени администратора 'auditpol.exe /set /category:"Подробное отслеживание" /subcategory:"Создание процесса" /success:enable /failure:enable'
2) Теперь в журнале "Безопасность" логируется запуск процессов.
Для удобства я создал настраиваемое представление в оснастке "Просмотр событий"
XML запрос


*[System[(EventID=4688)]] and *[EventData[Data[@Name='ParentProcessName'] and (Data='C:\Windows\System32\svchost.exe')]] and *[EventData[Data[@Name='NewProcessName'] and (Data='C:\Windows\System32\dllhost.exe')]]





3) Ну а дальше я создал своё задание. Триггер настроил "При событии", запрос выше.