Este playbook fornece etapas de correção sistemática para investigar incidentes suspeitos de serem causados pelo Mimikatz DCSync. Este playbook é acionado quando uma das funções do Mimikatz (lsadump::dcsync) é usada. A função é normalmente usada em controladores de domínio (DC) atacados.

O Mimikatz é uma ferramenta popular de invasão que permite aos usuários emitir comandos que ajudam a recuperar dados confidenciais do sistema atacado. Os dados confidenciais incluem senhas, seus hashes e outros.