Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen vermutet wird, dass sie durch Mimikatz DCSync verursacht wurden. Dieses Playbook wird ausgelöst, wenn einer der Mimikatz-Funktionen funktioniert (Lsadump::dcsync ) Wird verwendet. Die Funktion wird normalerweise auf angegriffenen Domänencontrollern (DC) verwendet.

Mimikatz ist ein beliebtes Hacking-Tool, mit dem Anwender Befehle ausgeben können, mit denen vertrauliche Daten aus dem angegriffenen System abgerufen werden können. Die vertraulichen Daten umfassen Passwörter, ihre Hashes und andere.