Les deux produits sont conçus pour détecter les actions des utilisateurs non autorisés, les activités suspectes et le contrôle de configuration dans l'infrastructure Microsoft. Quest Change Auditor et Netwrix Auditor sont des concurrents directs qui ont du mal à se faire une place sur les serveurs des clients. Sous la coupe, nous avons révélé les caractéristiques des solutions des deux fournisseurs.

Versions de produit à l'étude: Quest Change Auditor 7.0.3 (écrit à ce sujet ici ), Quest Enterprise Reporter 2.5.1 (écrit à ce sujet ici ) et Netwrix Auditor 9.8 (nous n'avons pas encore écrit à ce sujet, mais nous écrirons bientôt).

Pourquoi Quest est présenté avec deux produits, mais Netwrix en a un? Le fait est que dans Quest, le contrôle des modifications est effectué à l'aide de Change Auditor et des configurations - Enterprise Reporter. Dans Netwrix's Auditor, ces deux fonctions sont dans la même console.

Nous analyserons les produits selon les propriétés suivantes concernant le contrôle des changements et les configurations Active Directory: technologies prises en charge, architecture, capacités d'intégration, éléments d'interface et conclusions générales.

Technologies prises en charge

Les détails sont dans le tableau ci-dessous.

L'architecture

La première et principale différence entre les produits est la méthode de collecte.

Netwrix en fait une méthode sans agent, c'est-à-dire utilise des outils d'audit natifs (journaux Windows). Avant de commencer le travail, pour que les données d'audit soient suffisantes, un certain nombre de paramètres doivent être définis au niveau du système d'exploitation.


Architecture de Netwrix Auditor

Ainsi, l'architecture de Netwrix Auditor se compose d'un serveur central, d'une base de données et de consoles. Le système évolue verticalement en augmentant la puissance du serveur central.

Quest utilise une méthode d'agent. Change Auditor reçoit les événements grâce à une intégration approfondie dans les appels dans AD et, comme l'écrit le vendeur lui-même, cette méthode détecte les modifications même dans les groupes profondément imbriqués et apporte moins de charge que lors de l'écriture et de la lecture des journaux. Vous pouvez vérifier à haute charge. La conséquence de cette intégration de bas niveau est que dans Quest Change Auditor, vous pouvez opposer un veto à certaines modifications pour certains objets, même les utilisateurs au niveau Administrateur d'entreprise.


Architecture de Quest Change Auditor

L'image ci-dessus montre que le cœur du système est le coordinateur et la base de données. L'architecture de Quest Change Auditor vous permet d'effectuer une mise à l'échelle horizontale et des serveurs de coordination d'hôte sur diverses machines virtuelles (ou physiques), garantissant ainsi une haute disponibilité de la solution à l'aide de la solution elle-même.

L'architecture d'Enterprise Reporter est représentée par un serveur central et des nœuds qui sont responsables de l'agrégation des données de configuration. Comme Change Auditor, Enterprise Reporter s'exécute sur une base de données SQL Server.


Architecture de Quest Enterprise Reporter

En plus de ce qui précède, Quest dispose d'une console parapluie de recherche de sécurité informatique distincte avec une recherche de type Google, qui combine les deux premiers produits et affiche les événements de Change Auditor conjointement avec les rapports d'Enterprise Reporter. La recherche de sécurité informatique est gratuite.

Une autre différence est la disponibilité du produit de Quest, en plus de la console Web cliente "épaisse" avec la possibilité de s'adapter aux appareils mobiles. Netwrix Auditor n'a qu'un client "épais".

Comme Quest l'écrit dans ses documents, le développement de divers produits est leur choix conscient, pas des circonstances historiques. La société prétend approfondir et développer chaque produit individuellement et ne propose pas de solution unique.

Dans le diagramme d'architecture, une autre fonctionnalité des deux produits n'est pas démontée - c'est la restauration d'objets modifiés à un état antérieur. Dans Change Auditor, cette fonctionnalité est disponible à partir de la même interface et dans Netwrix Auditor, pour la même opération, vous devez exécuter une console distincte.

Intégration

Les deux fabricants ont des intégrations standard avec les systèmes SIEM: ArcSight, Splunk, IBM QRadar et une intégration universelle via les services Web. En plus de ce qui précède, Netwrix s'intègre dès le départ avec ServiceNow, LogRhytm, Alien Vault, Solarwinds et autres , et Quest a un plug-in pour envoyer des événements à SCOM.

Pour exporter des données vers des systèmes externes dans Change Auditor, vous devez utiliser l'accès via la base de données et dans Netwrix, vous pouvez utiliser à la fois la base de données et l'API RESTful.

Éléments d'interface

Considérez toutes les interfaces qui proposent d'utiliser les deux fournisseurs dans leur travail. Les deux produits ont des rapports prédéfinis dans différentes sections, ainsi que par types de conformité (SOX, GDPR, HIPAA, etc.). Commençons par Quest.

Quête

Comme mentionné ci-dessus, Quest utilise deux produits distincts pour auditer les modifications et contrôler les configurations: Change Auditor et Enterprise Reporter.


Interface d'événements Quest Change Auditor

Il s'agit de la console principale de Change Auditor. Il est nécessaire de contrôler les changements et vous pouvez voir ici tous les événements. Bien sûr, vous pouvez leur appliquer des filtres et observer uniquement ce dont vous avez besoin.

Il existe de nombreux rapports prêts à l'emploi que vous pouvez modifier ou créer de nouveaux rapports sur leur base.


Interface de sélection de rapport dans Quest Change Auditor

En plus des consoles principales, Change Auditor dispose d'un module spécial de détection des menaces. Il reçoit les événements de Change Auditor au cours des 30 derniers jours et révèle un comportement utilisateur atypique: connexion à partir d'un endroit inhabituel ou à des moments inhabituels, saisie de mot de passe infructueuse plusieurs fois de suite sur un contrôleur de domaine, connexion à une ressource de fichier interdite, etc.



La console suivante est Enterprise Reporter. Il contrôle la configuration des objets. Il existe également des rapports prédéfinis.


Interface de sélection de rapport dans Quest Enterprise Reporter

Enterprise Reporter (et Change Auditor, également) dispose de concepteurs de rapports dans lesquels vous pouvez créer une mise en page facile à comprendre.


Interface de personnalisation des rapports dans Quest Enterprise Reporter

Et la console de recherche de sécurité informatique pour rechercher des événements et des modifications de configuration. Ici vous pouvez trouver tout ce qui s'est passé avec un objet particulier basé sur les données de Change Auditor et Enterprise Reporter.


Interface de recherche de recherche de sécurité informatique Quest


Interface de recherche des résultats de recherche de sécurité informatique

Netwrix

Nous passons aux interfaces Netwrix. Le panneau de contrôle principal, à partir duquel tous les paramètres et rapports de l'image ci-dessous sont disponibles.


Interface de base de Netwrix Auditor

Parmi les vues Netwrix, nous n'avons pas trouvé de console d'événements traditionnelle (similaire aux systèmes de surveillance ou Change Auditor), mais il existe une vue spéciale avec recherche d'événements, appelée en cliquant sur le bouton "Rechercher".


Rapport de recherche d'événements dans Netwrix Auditor

L'image suivante montre un exemple de rapport sur les risques possibles.


Interface Netwrix Auditor avec des risques possibles

Netwrix Auditor dispose d'un ensemble de rapports prédéfinis (ils sont nombreux). Chacun peut être modifié et créé sur sa base un nouveau rapport personnalisé.


Interface Netwrix Auditor avec une liste de rapports intégrés

Depuis l'interface principale, il est possible de générer un rapport avec les caractéristiques spécifiées. À la fin du rapport, il y a un bouton «S'abonner».


Interface Netwrix Auditor avec exemple de rapport

Netwrix Auditor a une présentation spéciale avec des anomalies identifiées.


Interface Netwrix Auditor avec anomalies identifiées

Console pour annuler les modifications. Fabriqué sous la forme d'un assistant et s'exécute séparément dans le menu Windows.


Netwrix Auditor Console pour annuler les modifications

Conclusions générales

En général, les deux systèmes ont des fonctionnalités similaires (à l'exception des différences dans les technologies prises en charge). Lorsque vous choisissez un système d'audit, nous vous recommandons de procéder à partir d'un ensemble de technologies qui doivent être contrôlées, les avantages individuels des systèmes (par exemple, le blocage des modifications apportées aux objets dans Change Auditor ou l'intégration via l'API RESTful dans Netwrix Auditor) et la commodité de travailler dans l'interface (mais cela est déjà subjectif). Une autre différence qui n'a été incluse dans aucune des sections de l'article, mais qui a été révélée, est le support technique: 24/5 dans Netwrix et 24/7 dans Quest.

Si vous êtes intéressé par l'audit de l'infrastructure Microsoft et que vous souhaitez le faire dans un système spécialement conçu pour cela et évaluer les capacités des systèmes, laissez une demande , nous vous contacterons.

Lors de la rédaction de cet article, des données provenant de sources ouvertes ont été utilisées.