Dieses Playbook bietet systematische Korrekturschritte zur Untersuchung von Incidents, von denen angenommen wird, dass sie durch Mimikatz DCSync verursacht wurden. Dieses Playbook wird ausgelöst, wenn eine der Mimikatz-Funktionen (lsadump::dcsync) verwendet wird. Die Funktion wird normalerweise auf angegriffenen Domänencontrollern (DC) verwendet.

Mimikatz ist ein beliebtes Hacking-Tool, mit dem Anwender Befehle eingeben können, um vertrauliche Daten aus dem angegriffenen System abzurufen. Die vertraulichen Daten umfassen Passwörter, deren Hashes und andere.