Ambos productos están diseñados para detectar acciones de usuarios no autorizados, actividad sospechosa y control de configuración en la infraestructura de Microsoft. Quest Change Auditor y Netwrix Auditor son competidores directos que están luchando entre sí por un lugar en los servidores de los clientes. Debajo del corte, revelamos las características de las soluciones de ambos proveedores.

Versiones de producto bajo investigación: Quest Change Auditor 7.0.3 (escrito sobre esto aquí ), Quest Enterprise Reporter 2.5.1 (escrito sobre esto aquí ) y Netwrix Auditor 9.8 (aún no hemos escrito sobre eso, pero lo escribiremos pronto).

¿Por qué Quest se presenta con dos productos, pero Netwrix tiene uno? El hecho es que en Quest, el control de cambios se realiza utilizando Change Auditor y las configuraciones: Enterprise Reporter. En Netwrix's Auditor, estas dos funciones están en la misma consola.

Analizaremos los productos de acuerdo con las siguientes propiedades con respecto al control de cambios y las configuraciones de Active Directory: tecnologías compatibles, arquitectura, capacidades de integración, elementos de interfaz y conclusiones generales.

Tecnologías soportadas

Los detalles están en la tabla a continuación.

Quest	Netwrix
Cambiar auditor para Active Directory (+ Azure AD)	Netwrix Auditor para Active Directory (+ Azure AD)
Cambiar auditor para consultas AD	-
Cambiar auditor para la actividad de inicio de sesión	Netwrix Auditor para Active Directory (Actividad de inicio de sesión)
Change Auditor for Exchange (+ Exchange Online + Office 365 + OneDrive para la Empresa)	Netwrix Auditor para Exchange (+ Exchange Online + Office 365 + OneDrive para la Empresa)
Cambiar auditor para Sharepoint (+ Sharepoint en línea)	Netwrix Auditor para Sharepoint (+ Sharepoint en línea)
Cambiar auditor para servidores de archivos de Windows	Netwrix Auditor para Windows Server
Cambiar auditor para SQL Server	Netwrix Auditor para SQL Server
-	Netwrix Auditor para la base de datos Oracle
Cambiar auditor para Skype for Business	-
Cambiar auditor para Vmware	Netwrix Auditor para Vmware
Cambiar auditor para FluidFS	-
Cambiar auditor para NetApp	Netwrix Auditor para NetApp
Cambiar auditor para EMC	Netwrix Auditor para EMC
-	Netwrix Auditor para Nutanix
-	Netwrix Auditor para dispositivos de red

Arquitectura

La primera y principal diferencia entre los productos es el método de recolección.

Netwrix hace de este un método sin agente , es decir utiliza herramientas de auditoría nativas (registros de Windows). Antes de comenzar a trabajar, para que los datos de auditoría sean suficientes, se deben realizar varias configuraciones a nivel del sistema operativo.

Netwrix Auditor Architecture

Por lo tanto, la arquitectura de Netwrix Auditor consiste en un servidor central, una base de datos y consolas. El sistema escala verticalmente al aumentar la potencia del servidor central.

Quest usa un método de agente. Change Auditor recibe eventos a través de una integración profunda en las llamadas dentro de AD y, como escribe el propio vendedor, este método detecta cambios incluso en grupos profundamente anidados y genera menos carga que al escribir y leer registros. Puede verificar a alta carga. La consecuencia de esta integración de bajo nivel es que en Quest Change Auditor puede vetar ciertos cambios para ciertos objetos, incluso los usuarios en el nivel de Administrador de la empresa.

Quest Change Auditor Architecture

La imagen de arriba muestra que el núcleo del sistema es el coordinador y la base de datos. La arquitectura de Quest Change Auditor le permite realizar escalado horizontal y servidores de coordinación de host en varias máquinas virtuales (o físicas), lo que garantiza una alta disponibilidad de la solución utilizando la solución misma.

La arquitectura de Enterprise Reporter está representada por un servidor central y nodos que son responsables de la agregación de datos de configuración. Al igual que Change Auditor, Enterprise Reporter se ejecuta en una base de datos SQL Server.

Arquitectura de Quest Enterprise Reporter

Además de lo anterior, Quest tiene una consola paraguas separada de IT Security Search con búsqueda similar a Google, que combina los dos primeros productos y muestra eventos de Change Auditor junto con informes de Enterprise Reporter. La búsqueda de seguridad de TI es gratuita.

Otra diferencia es la disponibilidad del producto de Quest, además de la consola web del cliente "grueso" con la capacidad de adaptarse a dispositivos móviles. Netwrix Auditor solo tiene un cliente "grueso".

Como Quest escribe en sus materiales, el desarrollo de varios productos es su elección consciente, no circunstancias históricas. La compañía afirma profundizar y desarrollar cada producto individualmente, y no hace una solución única.

En el diagrama de arquitectura, otra funcionalidad de ambos productos no se desmantela: es la restauración de objetos modificados a un estado anterior. En Change Auditor, esta función está disponible desde la misma interfaz, y en Netwrix Auditor, para la misma operación, debe ejecutar una consola separada.

Integración

Ambos fabricantes tienen integraciones estándar con sistemas SIEM: ArcSight, Splunk, IBM QRadar e integración universal a través de servicios web. Además de lo anterior, Netwrix se integra desde el primer momento con ServiceNow, LogRhytm, Alien Vault, Solarwinds y otros , y Quest tiene un complemento para enviar eventos a SCOM.

Para exportar datos a sistemas externos en Change Auditor, debe usar el acceso a través de la base de datos, y en Netwrix puede usar tanto la base de datos como la API RESTful.

Elementos de interfaz

Considere todas las interfaces que ofrecen utilizar ambos proveedores en su trabajo. Ambos productos tienen informes predefinidos en varias secciones, así como por tipos de cumplimiento (SOX, GDPR, HIPAA, etc.). Comencemos con Quest.

Quest

Como se mencionó anteriormente, Quest utiliza dos productos separados para auditar cambios y controlar configuraciones: Change Auditor y Enterprise Reporter.

imagen

Interfaz de evento de Quest Change Auditor

Esta es la consola principal de Change Auditor. Es necesario para controlar los cambios y aquí puede ver todos los eventos. Por supuesto, puede aplicarles filtros y observar solo lo que necesita.

Hay muchos informes listos para usar que puede modificar o crear nuevos.

imagen

Interfaz de selección de informes en Quest Change Auditor

Además de las consolas principales, Change Auditor tiene un módulo especial de detección de amenazas. Recibe eventos de Change Auditor durante los últimos 30 días y revela un comportamiento atípico del usuario: iniciar sesión desde un lugar inusual o en momentos inusuales, ingresar una contraseña sin éxito varias veces seguidas en un controlador de dominio, iniciar sesión en un recurso de archivo prohibido, etc.

imagen

La siguiente consola es Enterprise Reporter. Controla la configuración de los objetos. También hay informes predefinidos.

imagen

Interfaz de selección de informes en Quest Enterprise Reporter

Enterprise Reporter (y Change Auditor también) tiene diseñadores de informes en los que puede crear un diseño fácil de entender.

imagen

Interfaz de personalización de informes en Quest Enterprise Reporter

Y la consola de IT Security Search para buscar eventos y cambios de configuración. Aquí puede encontrar todo lo que sucedió con un objeto en particular basado en datos de Change Auditor y Enterprise Reporter.

imagen

Interfaz de búsqueda de búsqueda de seguridad de TI de Quest

imagen

Interfaz de resultados de búsqueda de Quest IT Security Search

Netwrix

Pasamos a las interfaces de Netwrix. El panel de control principal, desde el cual están disponibles todas las configuraciones e informes en la imagen a continuación.

Interfaz básica de Netwrix Auditor

Entre las vistas de Netwrix, no encontramos una consola de eventos tradicional (similar a los sistemas de monitoreo o Change Auditor), pero hay una vista especial con búsqueda de eventos, llamada haciendo clic en el botón "Buscar".

Informe de búsqueda de eventos en Netwrix Auditor

La siguiente imagen muestra un ejemplo de un informe sobre posibles riesgos.

Netwrix Auditor Interface con posibles riesgos

Netwrix Auditor tiene un conjunto de informes predefinidos (hay muchos de ellos). Cada uno puede modificarse y crearse sobre la base de un nuevo informe personalizado.

Interfaz de Netwrix Auditor con una lista de informes integrados

Desde la interfaz principal, es posible generar un informe con las características especificadas. Al final del informe hay un botón "Suscribir".

Interfaz Netwrix Auditor con informe de muestra

Netwrix Auditor tiene una presentación especial con anomalías identificadas.

Interfaz Netwrix Auditor con anomalías identificadas

Consola para deshacer cambios. Hecho en forma de asistente y se ejecuta por separado en el menú de Windows.

Netwrix Auditor Console para revertir los cambios

Conclusiones generales

En general, ambos sistemas tienen una funcionalidad similar (con la excepción de las diferencias en las tecnologías compatibles). Al elegir un sistema de auditoría, recomendamos proceder de un conjunto de tecnologías que necesitan ser controladas, las ventajas individuales de los sistemas (por ejemplo, el bloqueo de cambios a objetos en Change Auditor o la integración a través de la API RESTful en Netwrix Auditor) y la conveniencia de trabajar en la interfaz (pero esto ya es subjetivo). Otra diferencia que no se incluyó en ninguna de las secciones del artículo, pero se reveló es el soporte técnico: 24/5 en Netwrix y 24/7 en Quest.

Si está interesado en auditar la infraestructura de Microsoft y desea hacerlo en un sistema especialmente diseñado para esto y evaluar las capacidades de los sistemas, deje una solicitud , nos pondremos en contacto con usted.

Al escribir este artículo, se utilizaron datos de fuentes abiertas.

Compare las herramientas para auditar cambios en Active Directory: Quest Change Auditor y Netwrix Auditor