Este playbook fornece etapas de correção sistemática para investigar incidentes suspeitos de serem causados pelo Mimkatz DCSync. Este playbook é acionado quando uma das funções Mimkatz (lsadump::dcsync) é usada. A função é normalmente usada em controladores de domínio (DC) atacados.

O Mimkatz é uma ferramenta de invasão popular que permite aos usuários emitir comandos que ajudam a recuperar dados confidenciais do sistema atacado. Os dados confidenciais incluem senhas, seus hashes e outros.