Este playbook fornece etapas de correção sistemáticas para investigar incidentes suspeitos de serem causados pelo Mimikatz DCSync. Este playbook é acionado quando uma das funções do Mimikatz (lsadump::dcsync ) é usado. A função é normalmente usada em controladores de domínio (DC) atacados.

O Mimikatz é uma ferramenta de hacking popular que permite aos usuários emitir comandos que ajudam a recuperar dados confidenciais do sistema atacado. Os dados confidenciais incluem senhas, seus hashes e outros.