ファイル Security.evtx が与えられ、
「不正な方法によってネットワーク経由のログインが成功したことを示している最初の記録日時 (UTC) と Event ID」
を求められた。
Security.evtx をWindowsのイベント ビューアーで開き、
まず解析しやすいように「すべてのイベントを名前をつけて保存...」でイベントのリストをCSVファイルに書き出した。
そして、問題CSIRT_asks_you_02においてパスワードが脆弱だったのはアカウントtestだったので、
書き出した結果からtestで検索し、下から上に見ていった。
その結果、2021/07/19 5:07:09 からアカウント名testのログインに失敗したというイベントが大量に記録されており、
その後 2021/07/19 5:09:21 にログインに成功していることがわかった。
このログインに成功したイベントの情報より、flagが得られた。
なお、UTCでの時刻は、イベント ビューアーで「日付と時刻」と「イベント ID」をもとに該当のイベントを探し、
「詳細」から「XML で表示」を選択すると、TimeCreated SystemTime として表示された。
A file Security.evtx was given.
The first recorded date (UTC) that is suggesting that a login via network succeeded in illegal way and the Event ID were asked.
I opened the file Security.evtx with the Event Viewer on Windows and
I exported the list of events to a CSV file via "Save all events as..." to make it easier to analyze.
Then, as the account name with weak password in the challenge CSIRT_asks_you_02 was test,
I searched for test from the exported data and looked from the bottom to the top.
As a result, I found many events that are saying that login to the account test failed from 2021/07/19 5:07:09,
and an event of successful login after that, on 2021/07/19 5:09:21.
I obtained the flag from the information about this event of successful login.
I found the time in UTC as "TimeCreated SystemTime" by finding the event on the Event Viewer from the time and Event ID,
and selecting "display in XML" in the "details" tab.