Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, bei denen vermutet wird, dass sie durch Mimikatz DCSync verursacht werden. Dieses Playbook wird ausgelöst, wenn eine der Mimikatz-Funktionen (lsadum::dcsync) verwendet wird. Die Funktion wird normalerweise für angegriffene Domänencontroller (DC) verwendet.

Mimikatz ist ein beliebtes Hacking-Tool, mit dem Benutzer Befehle ausgeben können, die beim Abrufen vertraulicher Daten aus dem angegriffenen System helfen. Zu den vertraulichen Daten gehören Passwörter, deren Hashes und andere Daten.