تم تصميم كلا المنتجين للكشف عن إجراءات المستخدم غير المصرح بها ، والنشاط المشبوه والتحكم في التكوين في البنية الأساسية لـ Microsoft. يعتبر Quest Change Auditor و Netwrix Auditor من المنافسين المباشرين الذين يكافحون مع بعضهم البعض للحصول على مكان على خوادم العملاء. تحت الخفض ، كشفنا عن ميزات حلول كل من البائعين.

إصدارات المنتج قيد التحقيق: Quest Change Auditor 7.0.3 (مكتوب حوله هنا ) ، و Quest Enterprise Reporter 2.5.1 (مكتوب حوله هنا ) و Netwrix Auditor 9.8 (لم نكتب عنه بعد ، لكننا سنكتب قريبًا).

لماذا يتم تقديم Quest مع منتجين ، ولكن لدى Netwrix واحدًا؟ والحقيقة هي أنه في Quest ، يتم تنفيذ التحكم في التغيير باستخدام Change Auditor ، والتكوينات - Enterprise Reporter. في Netwrix's Auditor ، توجد هاتان الوظيفتان في نفس وحدة التحكم.

سنقوم بتحليل المنتجات وفقًا للخصائص التالية فيما يتعلق بالتحكم في التغيير وتكوينات Active Directory: التقنيات المدعمة والهندسة وقدرات التكامل وعناصر الواجهة والاستنتاجات العامة.

التقنيات المدعومة

التفاصيل في الجدول أدناه.

بحث	Netwrix
تغيير المراجع لـ Active Directory (+ Azure AD)	Netwrix Auditor لـ Active Directory (+ Azure AD)
تغيير المراجع لاستفسارات م	-
تغيير المراجع لنشاط تسجيل الدخول	Netwrix Auditor لـ Active Directory (نشاط تسجيل الدخول)
تغيير مدقق Exchange (+ Exchange Online + Office 365 + OneDrive for Business)	Netwrix Auditor for Exchange (+ Exchange Online + Office 365 + OneDrive for Business)
تغيير المراجع لـ Sharepoint (+ Sharepoint Online)	Netwrix Auditor لـ Sharepoint (+ Sharepoint Online)
تغيير المراجع لخوادم الملفات ويندوز	مدقق Netwrix لنظام التشغيل Windows Server
تغيير المراجع ل SQL Server	مدقق Netwrix ل SQL Server
-	مدقق Netwrix لقاعدة بيانات أوراكل
تغيير المراجع لـ Skype for Business	-
تغيير المراجع لبرنامج Vmware	مدقق Netwrix لبرنامج Vmware
تغيير المراجع ل FluidFS	-
تغيير المراجع ل NetApp	Netwrix المراجع ل NetApp
تغيير المراجع عن EMC	مدقق Netwrix لـ EMC
-	Netwrix المراجع ل Nutanix
-	مدقق Netwrix لأجهزة الشبكة

هندسة معمارية

الفرق الأول والرئيسي بين المنتجات هو طريقة التجميع.

يجعل Netwrix هذا طريقة بدون وكيل ، أي يستخدم أدوات التدقيق الأصلية (سجلات Windows). قبل بدء العمل ، لكي تكون بيانات التدقيق كافية ، يجب إجراء عدد من الإعدادات على مستوى نظام التشغيل.

Netwrix المراجع العمارة

وبالتالي ، تتكون بنية Netwrix Auditor من خادم مركزي وقاعدة بيانات ووحدات تحكم. يحجيم النظام رأسياً عن طريق زيادة قوة الخادم المركزي.

كويست يستخدم طريقة الوكيل. يتلقى Change Auditor الأحداث من خلال التكامل العميق في المكالمات داخل AD ، وكما يكتب البائع نفسه ، تكتشف هذه الطريقة التغييرات حتى في المجموعات المتداخلة بعمق وتجلب حمولة أقل من كتابة السجلات وقراءتها. يمكنك التحقق في حمولة عالية. نتيجة هذا التكامل المنخفض المستوى هو أنه في Quest Change Auditor يمكنك استخدام حق النقض ضد تغييرات معينة لكائنات معينة ، حتى المستخدمين على مستوى Enterprise Admin.

كويست تغيير المراجع العمارة

الصورة أعلاه توضح أن جوهر النظام هو المنسق وقاعدة البيانات. تتيح لك بنية Quest Change Auditor إجراء تحجيم أفقي واستضافة خوادم تنسيق على مختلف الأجهزة الافتراضية (أو المادية) ، وبالتالي ضمان توفر عالية للحل باستخدام الحل نفسه.

يتم تمثيل بنية Enterprise Reporter بواسطة خادم مركزي وعقد مسؤولة عن تجميع بيانات التكوين. مثل تغيير المراجع ، يعمل Enterprise Reporter على قاعدة بيانات SQL Server.

كويست مراسل المؤسسة الهندسة المعمارية

بالإضافة إلى ما سبق ، يحتوي Quest على وحدة تحكم مظلة منفصلة لأمن تقنية المعلومات مع بحث يشبه google ، والذي يجمع بين المنتجين الأولين ويعرض الأحداث من Change Auditor بالتزامن مع تقارير من Enterprise Reporter. البحث عن أمن تكنولوجيا المعلومات مجاني.

الفرق الآخر هو توفر المنتج من Quest ، بالإضافة إلى وحدة تحكم الويب "السميكة" للعميل مع القدرة على التكيف مع الأجهزة المحمولة. لدى Netwrix Auditor عميل "كثيف" فقط.

كما يكتب Quest في مواده ، فإن تطوير المنتجات المختلفة هو اختيارهم الواعي ، وليس الظروف التاريخية. تدعي الشركة تعميق وتطوير كل منتج على حدة ، ولا تقدم حلًا واحدًا.

في المخطط الهندسي ، لا يتم تفكيك وظيفة أخرى لكلا المنتجين - إنها استعادة الكائنات المعدلة إلى الحالة السابقة. في ميزة Change Auditor ، تتوفر هذه الميزة من نفس الواجهة ، وفي Netwrix Auditor ، لنفس العملية ، تحتاج إلى تشغيل وحدة تحكم منفصلة.

التكامل

لدى كلا المصنعين تكامل قياسي مع أنظمة SIEM: ArcSight و Splunk و IBM QRadar والتكامل العالمي من خلال خدمات الويب. بالإضافة إلى ما سبق ، يتكامل Netwrix خارج الصندوق مع ServiceNow و LogRhytm و Alien Vault و Solarwinds وغيرها ، كما أن Quest لديه مكون إضافي لإرسال الأحداث إلى SCOM.

لتصدير البيانات إلى أنظمة خارجية في Change Auditor ، يجب عليك استخدام الوصول من خلال قاعدة البيانات ، وفي Netwrix يمكنك استخدام كل من قاعدة البيانات و RESTful API.

عناصر واجهة

النظر في جميع واجهات التي تقدم لاستخدام كل من البائعين في عملهم. يحتوي كلا المنتجين على تقارير محددة مسبقًا في أقسام مختلفة ، وكذلك حسب أنواع الامتثال (SOX ، GDPR ، HIPAA ، وما إلى ذلك). لنبدأ مع كويست.

بحث

كما ذكر أعلاه ، يستخدم Quest منتجين منفصلين لمراجعة التغييرات والتحكم في التكوينات: Change Auditor و Enterprise Reporter.

كويست تغيير المراجع واجهة الحدث

هذه هي وحدة التحكم الرئيسية في Change Auditor. هناك حاجة للسيطرة على التغييرات وهنا يمكنك رؤية جميع الأحداث. بالطبع ، يمكنك تطبيق المرشحات عليها ومراقبة ما تحتاجه فقط.

هناك العديد من التقارير الجاهزة التي يمكنك تعديلها أو إنشاء تقارير جديدة على أساسها.

تقرير اختيار واجهة في كويست مدقق التغيير

بالإضافة إلى وحدات التحكم الرئيسية ، لدى Change Auditor وحدة خاصة للكشف عن التهديدات. يتلقى الأحداث من "تغيير المراجع" خلال الثلاثين يومًا الماضية ويكشف عن سلوك غير اعتيادي للمستخدم: تسجيل الدخول من مكان غير معتاد أو في أوقات غير معتادة ، إدخال كلمة مرور غير ناجح عدة مرات على التوالي على وحدة تحكم مجال ، تسجيل الدخول إلى مورد ملف محظور ، إلخ.

وحدة التحكم التالية هي Enterprise Reporter. يتحكم في تكوين الكائنات. هناك أيضا تقارير محددة مسبقا.

تقرير اختيار واجهة في كويست المؤسسة مراسل

يوجد لدى Enterprise Reporter (ومراجع التغيير ، أيضًا) مصممي تقارير يمكنك من خلالهم إنشاء تخطيط سهل الفهم.

الإبلاغ عن واجهة التخصيص في Quest Enterprise Reporter

ووحدة التحكم في البحث عن أمن تكنولوجيا المعلومات للبحث عن الأحداث وتغييرات التكوين. هنا يمكنك العثور على كل ما حدث مع كائن معين بناءً على البيانات من Change Auditor و Enterprise Reporter.

السعي تكنولوجيا المعلومات الأمن واجهة البحث

Quest IT Security Search Search Results Interface

Netwrix

نمر إلى واجهات Netwrix. لوحة التحكم الرئيسية ، والتي تتوفر منها جميع الإعدادات والتقارير في الصورة أدناه.

واجهة Netwrix لمراجع الحسابات الأساسية

من بين طرق عرض Netwrix ، لم نعثر على وحدة تحكم تقليدية للأحداث (على غرار أنظمة المراقبة أو تغيير المراجع) ، ولكن هناك طريقة عرض خاصة مع البحث عن الأحداث ، تسمى بالنقر فوق الزر "بحث".

تقرير بحث عن الأحداث في Netwrix Auditor

توضح الصورة التالية مثالًا لتقرير حول المخاطر المحتملة.

واجهة مدقق Netwrix مع المخاطر المحتملة

لدى Netwrix Auditor مجموعة من التقارير المحددة مسبقًا (هناك الكثير منها). كل يمكن تعديلها وإنشاء على أساسها تقرير مخصص جديد.

واجهة Netwrix Auditor مع قائمة بالتقارير المدمجة

من الواجهة الرئيسية ، من الممكن إنشاء تقرير بالخصائص المحددة. في نهاية التقرير ، يوجد زر "اشتراك".

واجهة Netwrix Auditor مع تقرير نموذجي

Netwrix Auditor لديه عرض خاص مع الشذوذ التي تم تحديدها.

واجهة مدقق Netwrix مع تحديد الحالات الشاذة

وحدة التحكم للتراجع عن التغييرات. صنع في شكل معالج ويعمل بشكل منفصل في قائمة Windows.

Netwrix Auditor Console لعكس التغييرات

استنتاجات عامة

بشكل عام ، كلا النظامين لهما وظائف مماثلة (باستثناء الاختلافات في التقنيات المدعومة). عند اختيار نظام التدقيق ، نوصي بالانتقال من مجموعة من التقنيات التي يجب التحكم فيها ، والمزايا الفردية للأنظمة (على سبيل المثال ، حظر التغييرات على الكائنات في Change Auditor أو التكامل من خلال RESTful API في Netwrix Auditor) وسهولة الاستخدام في الواجهة (ولكن هذا شخصي). هناك اختلاف آخر لم يتم تضمينه في أي من أقسام المقالة ، ولكن تم الكشف عنه هو الدعم الفني: 24/5 في Netwrix و 24/7 في Quest.

إذا كنت مهتمًا بتدقيق البنية الأساسية لـ Microsoft وتريد القيام بذلك في نظام مصمم خصيصًا لهذا الغرض وتقييم قدرات الأنظمة ، فاترك طلبًا ، وسنتصل بك.

عند كتابة هذه المقالة ، تم استخدام البيانات من المصادر المفتوحة.

قارن أدوات التدقيق في التغييرات في Active Directory: Quest Change Auditor و Netwrix Auditor