Beide Produkte wurden entwickelt, um nicht autorisierte Benutzeraktionen, verdächtige Aktivitäten und Konfigurationskontrolle in der Microsoft-Infrastruktur zu erkennen. Quest Change Auditor und Netwrix Auditor sind direkte Konkurrenten, die ziemlich miteinander um einen Platz auf den Servern der Kunden kämpfen. Unter dem Schnitt haben wir die Merkmale der Lösungen beider Anbieter enthüllt.

Untersuchte Produktversionen: Quest Change Auditor 7.0.3 (hier darüber geschrieben), Quest Enterprise Reporter 2.5.1 (hier darüber geschrieben) und Netwrix Auditor 9.8 (wir haben noch nicht darüber geschrieben, aber wir werden bald schreiben).

Warum werden bei Quest zwei Produkte angeboten, bei Netwrix jedoch eines? Tatsache ist, dass in Quest die Änderungskontrolle mithilfe von Change Auditor und Konfigurationen - Enterprise Reporter - durchgeführt wird. In Netwrix Auditor befinden sich diese beiden Funktionen in derselben Konsole.

Wir werden die Produkte anhand der folgenden Eigenschaften in Bezug auf Änderungskontrolle und Active Directory-Konfigurationen analysieren: unterstützte Technologien, Architektur, Integrationsfunktionen, Schnittstellenelemente und allgemeine Schlussfolgerungen.

Unterstützte Technologien

Details finden Sie in der folgenden Tabelle.

Architektur

Der erste und Hauptunterschied zwischen den Produkten ist die Sammelmethode.

Netwrix macht dies zu einer agentenlosen Methode, d.h. verwendet native Überwachungstools (Windows-Protokolle). Vor Arbeitsbeginn müssen einige Einstellungen auf Betriebssystemebene vorgenommen werden, damit die Überwachungsdaten ausreichen.


Netwrix Auditor-Architektur

Daher besteht die Architektur von Netwrix Auditor aus einem zentralen Server, einer Datenbank und Konsolen. Das System wird vertikal skaliert, indem die Leistung des zentralen Servers erhöht wird.

Quest verwendet eine Agentenmethode. Change Auditor empfängt Ereignisse durch tiefgreifende Integration in Aufrufe in AD. Wie der Anbieter selbst schreibt, erkennt diese Methode Änderungen auch in tief verschachtelten Gruppen und bringt weniger Last mit sich als beim Schreiben und Lesen von Protokollen. Sie können bei hoher Last überprüfen. Die Folge dieser Integration auf niedriger Ebene ist, dass Sie in Quest Change Auditor bestimmte Änderungen für bestimmte Objekte ablehnen können, auch für Benutzer auf Enterprise Admin-Ebene.


Quest Change Auditor-Architektur

Das Bild oben zeigt, dass der Kern des Systems der Koordinator und die Datenbank ist. Die Architektur von Quest Change Auditor ermöglicht es Ihnen, horizontale Skalierungs- und Hostkoordinierungsserver auf verschiedenen virtuellen (oder physischen) Maschinen durchzuführen und so eine hohe Verfügbarkeit der Lösung mithilfe der Lösung selbst sicherzustellen.

Die Enterprise Reporter-Architektur wird durch einen zentralen Server und Knoten dargestellt, die für die Aggregation von Konfigurationsdaten verantwortlich sind. Enterprise Reporter wird wie Change Auditor in einer SQL Server-Datenbank ausgeführt.


Quest Enterprise Reporter-Architektur

Darüber hinaus verfügt Quest über eine separate Dachkonsole für die IT-Sicherheitssuche mit einer Google-ähnlichen Suche, die die ersten beiden Produkte kombiniert und Ereignisse von Change Auditor in Verbindung mit Berichten von Enterprise Reporter anzeigt. Die IT-Sicherheitssuche ist kostenlos.

Ein weiterer Unterschied ist die Verfügbarkeit des Produkts von Quest, zusätzlich zur "dicken" Client-Webkonsole mit der Fähigkeit, sich an mobile Geräte anzupassen. Netwrix Auditor hat nur einen "dicken" Client.

Wie Quest in seinen Materialien schreibt, ist die Entwicklung verschiedener Produkte ihre bewusste Entscheidung, nicht die historischen Umstände. Das Unternehmen behauptet, jedes Produkt einzeln zu vertiefen und zu entwickeln, und bietet keine Lösung aus einer Hand.

Im Architekturdiagramm wird eine andere Funktionalität beider Produkte nicht zerlegt - es handelt sich um die Wiederherstellung geänderter Objekte in einem früheren Zustand. In Change Auditor ist diese Funktion über dieselbe Benutzeroberfläche verfügbar, und in Netwrix Auditor müssen Sie für denselben Vorgang eine separate Konsole ausführen.

Integration

Beide Hersteller verfügen über Standardintegrationen mit SIEM-Systemen: ArcSight, Splunk, IBM QRadar und universelle Integration über Webdienste. Darüber hinaus lässt sich Netwrix sofort in ServiceNow, LogRhytm, Alien Vault, Solarwinds und andere integrieren , und Quest verfügt über ein Plug-In zum Senden von Ereignissen an SCOM.

Um Daten in Change Auditor auf externe Systeme zu exportieren, müssen Sie den Zugriff über die Datenbank verwenden. In Netwrix können Sie sowohl die Datenbank als auch die RESTful-API verwenden.

Schnittstellenelemente

Berücksichtigen Sie alle Schnittstellen, die die Verwendung beider Anbieter bei ihrer Arbeit anbieten. Beide Produkte verfügen über vordefinierte Berichte in verschiedenen Abschnitten sowie nach Konformitätsarten (SOX, GDPR, HIPAA usw.). Beginnen wir mit Quest.

Quest

Wie oben erwähnt, verwendet Quest zwei separate Produkte, um Änderungen zu überwachen und Konfigurationen zu steuern: Change Auditor und Enterprise Reporter.


Quest Change Auditor-Ereignisschnittstelle

Dies ist die Hauptkonsole von Change Auditor. Es wird benötigt, um Änderungen zu steuern, und hier können Sie alle Ereignisse sehen. Natürlich können Sie Filter auf sie anwenden und nur das beobachten, was Sie brauchen.

Es gibt viele vorgefertigte Berichte, die Sie auf ihrer Grundlage ändern oder neue erstellen können.


Berichtsauswahloberfläche in Quest Change Auditor

Zusätzlich zu den Hauptkonsolen verfügt Change Auditor über ein spezielles Bedrohungserkennungsmodul. Es empfängt Ereignisse von Change Auditor in den letzten 30 Tagen und zeigt atypisches Benutzerverhalten: Anmelden von einem ungewöhnlichen Ort oder zu ungewöhnlichen Zeiten, mehrmals hintereinander erfolglose Kennworteingabe auf einem Domänencontroller, Anmelden bei einer verbotenen Dateiressource usw.



Die nächste Konsole ist Enterprise Reporter. Es steuert die Konfiguration von Objekten. Es gibt auch vordefinierte Berichte.


Berichtsauswahloberfläche in Quest Enterprise Reporter

Der Enterprise Reporter (und auch der Change Auditor) verfügt über Berichtsdesigner, in denen Sie ein leicht verständliches Layout erstellen können.


Berichtsanpassungsoberfläche in Quest Enterprise Reporter

Und die IT Security Search-Konsole, um nach Ereignissen und Konfigurationsänderungen zu suchen. Hier finden Sie alles, was mit einem bestimmten Objekt passiert ist, basierend auf Daten von Change Auditor und Enterprise Reporter.


Quest IT Security Search-Suchoberfläche


Suchergebnisoberfläche für Quest IT Security Search

Netwrix

Wir gehen zu den Netwrix-Schnittstellen über. Das Hauptbedienfeld, über das alle Einstellungen und Berichte in der Abbildung unten verfügbar sind.


Netwrix Auditor Basic Interface

Unter den Netwrix-Ansichten haben wir keine herkömmliche Ereigniskonsole gefunden (ähnlich wie Überwachungssysteme oder Change Auditor), aber es gibt eine spezielle Ansicht mit Ereignissuche, die durch Klicken auf die Schaltfläche "Suchen" aufgerufen wird.


Ereignissuchbericht in Netwrix Auditor

Das folgende Bild zeigt ein Beispiel eines Berichts über mögliche Risiken.


Netwrix Auditor-Schnittstelle mit möglichen Risiken

Netwrix Auditor verfügt über eine Reihe vordefinierter Berichte (es gibt viele davon). Jeder kann geändert und auf der Grundlage eines neuen benutzerdefinierten Berichts erstellt werden.


Netwrix Auditor-Oberfläche mit einer Liste integrierter Berichte

Über die Hauptschnittstelle kann ein Bericht mit den angegebenen Merkmalen erstellt werden. Am Ende des Berichts befindet sich die Schaltfläche "Abonnieren".


Netwrix Auditor-Oberfläche mit Beispielbericht

Netwrix Auditor hat eine spezielle Präsentation mit identifizierten Anomalien.


Netwrix Auditor-Schnittstelle mit identifizierten Anomalien

Konsole zum Rückgängigmachen von Änderungen. Erstellt in Form eines Assistenten und wird separat im Windows-Menü ausgeführt.


Netwrix Auditor Console zum Zurücksetzen von Änderungen

Allgemeine Schlussfolgerungen

Im Allgemeinen verfügen beide Systeme über ähnliche Funktionen (mit Ausnahme der Unterschiede bei den unterstützten Technologien). Bei der Auswahl eines Auditsystems empfehlen wir, von einer Reihe von Technologien auszugehen, die gesteuert werden müssen, den individuellen Vorteilen der Systeme (z. B. Blockieren von Änderungen an Objekten in Change Auditor oder Integration über die RESTful-API in Netwrix Auditor) und der Bequemlichkeit der Arbeit in der Benutzeroberfläche (dies ist jedoch bereits subjektiv). Ein weiterer Unterschied, der in keinem Abschnitt des Artikels enthalten war, aber aufgedeckt wurde, ist der technische Support: 24/5 in Netwrix und 24/7 in Quest.

Wenn Sie an einer Prüfung der Microsoft-Infrastruktur interessiert sind und dies in einem speziell dafür entwickelten System tun und die Funktionen der Systeme bewerten möchten, hinterlassen Sie eine Anfrage . Wir werden uns dann mit Ihnen in Verbindung setzen.

Beim Schreiben dieses Artikels wurden Daten aus offenen Quellen verwendet.