Este playbook fornece etapas de correção sistemáticas para investigar incidentes suspeitos de serem causados pelo Mimikatz DCSync. Este playbook é acionado quando uma das funções de Mimikatz (lsadump::dcsync ) é usado. Normalmente, a função é usada em controladores de domínio (DC) atacados.

O Mimikatz é uma ferramenta de hacking popular que permite aos usuários emitir comandos que ajudam a recuperar dados confidenciais do sistema atacado. Os dados confidenciais incluem senhas, seus hashes e outros.