Ce playbook fournit des étapes de rattrapage systématiques pour enquêter sur les incidents soupçonnés d’être causés par Mimikatz DCSync. Ce playbook se déclenche lorsqu’une des fonctions Mimikatz (lsadump ::d csync) est utilisée. La fonction est généralement utilisée sur les contrôleurs de domaine (DC) attaqués.

Mimikatz est un outil de piratage populaire qui permet aux utilisateurs d’émettre des commandes qui aident à récupérer les données confidentielles du système attaqué. Les données confidentielles comprennent les mots de passe, leurs hachages et autres.