Kedua produk dirancang untuk mendeteksi tindakan pengguna yang tidak sah, aktivitas mencurigakan, dan kontrol konfigurasi dalam infrastruktur Microsoft. Quest Change Auditor dan Netwrix Auditor adalah pesaing langsung yang cukup berjuang satu sama lain untuk mendapatkan tempat di server pelanggan. Di bawah potongan, kami mengungkapkan fitur solusi dari kedua vendor.

Versi produk yang sedang diselidiki: Quest Change Auditor 7.0.3 (ditulis di sini ), Quest Enterprise Reporter 2.5.1 (ditulis di sini ) dan Netwrix Auditor 9.8 (kami belum menulis tentang hal itu, tetapi kami akan segera menulis).

Mengapa Quest dihadapkan dengan dua produk, tetapi Netwrix memiliki satu? Faktanya adalah bahwa di Quest, kontrol perubahan dilakukan menggunakan Ubah Auditor, dan konfigurasi - Perusahaan Reporter. Di Netwrix's Auditor, kedua fungsi ini berada di konsol yang sama.

Kami akan menganalisis produk sesuai dengan properti berikut mengenai kontrol perubahan dan konfigurasi Active Directory: teknologi yang didukung, arsitektur, kemampuan integrasi, elemen antarmuka, dan kesimpulan umum.

Teknologi yang Didukung

Detailnya ada di tabel di bawah ini.

Arsitektur

Perbedaan pertama dan utama dari produk adalah metode pengumpulan.

Netwrix menjadikan ini metode tanpa agen, mis. menggunakan alat audit asli (log Windows). Sebelum mulai bekerja, agar data audit mencukupi, sejumlah pengaturan harus dilakukan di tingkat sistem operasi.


Arsitektur Auditor Netwrix

Dengan demikian, arsitektur Netwrix Auditor terdiri dari server pusat, basis data, dan konsol. Sistem skala secara vertikal dengan meningkatkan kekuatan server pusat.

Quest menggunakan metode agen. Change Auditor menerima acara melalui integrasi mendalam ke dalam panggilan dalam AD dan, seperti yang ditulis oleh vendor sendiri, metode ini mendeteksi perubahan bahkan dalam grup yang bersarang mendalam dan membawa lebih sedikit beban daripada saat menulis dan membaca log. Anda dapat memeriksa pada beban tinggi. Konsekuensi dari integrasi tingkat rendah ini adalah bahwa di Quest Change Auditor Anda dapat memveto perubahan tertentu untuk objek tertentu, bahkan pengguna di tingkat Admin Perusahaan.


Quest Ubah Arsitektur Auditor

Gambar di atas menunjukkan bahwa inti dari sistem adalah koordinator dan database. Arsitektur Quest Change Auditor memungkinkan Anda untuk melakukan penskalaan horizontal dan mengoordinasikan server pada berbagai mesin virtual (atau fisik), sehingga memastikan ketersediaan tinggi dari solusi menggunakan solusi tersebut.

Arsitektur Enterprise Reporter diwakili oleh server pusat dan node yang bertanggung jawab untuk agregasi data konfigurasi. Seperti Ubah Auditor, Enterprise Reporter berjalan pada database SQL Server.


Arsitektur Quest Reporter Perusahaan

Selain yang di atas, Quest memiliki konsol payung Pencarian Keamanan TI terpisah dengan pencarian mirip-google, yang menggabungkan dua produk pertama dan menampilkan acara dari Change Auditor bersamaan dengan laporan dari Enterprise Reporter. Pencarian Keamanan TI gratis.

Perbedaan lainnya adalah ketersediaan produk dari Quest, selain konsol web klien "tebal" dengan kemampuan untuk beradaptasi dengan perangkat seluler. Netwrix Auditor hanya memiliki klien "tebal".

Seperti yang ditulis Quest dalam materinya, pengembangan berbagai produk adalah pilihan sadar mereka, bukan keadaan historis. Perusahaan mengklaim memperdalam dan mengembangkan setiap produk secara individual, dan tidak membuat solusi satu atap.

Dalam diagram arsitektur, fungsi lain dari kedua produk tidak dibongkar - itu adalah pemulihan objek yang dimodifikasi ke keadaan sebelumnya. Di Ubah Auditor, fitur ini tersedia dari antarmuka yang sama, dan di Netwrix Auditor, untuk operasi yang sama, Anda perlu menjalankan konsol terpisah.

Integrasi

Kedua produsen memiliki integrasi standar dengan sistem SIEM: ArcSight, Splunk, IBM QRadar dan integrasi universal melalui layanan web. Selain yang di atas, Netwrix terintegrasi keluar dari kotak dengan ServiceNow, LogRhytm, Alien Vault, Solarwinds, dan lainnya , dan Quest memiliki plug-in untuk mengirim acara ke SCOM.

Untuk mengekspor data ke sistem eksternal di Change Auditor, Anda harus menggunakan akses melalui database, dan di Netwrix Anda dapat menggunakan database dan RESTful API.

Elemen antarmuka

Pertimbangkan semua antarmuka yang menawarkan untuk menggunakan kedua vendor dalam pekerjaan mereka. Kedua produk memiliki laporan yang telah ditetapkan di berbagai bagian, serta menurut jenis kepatuhan (SOX, GDPR, HIPAA, dll.). Mari kita mulai dengan Quest.

Quest

Seperti disebutkan di atas, Quest menggunakan dua produk terpisah untuk mengaudit perubahan dan mengontrol konfigurasi: Ubah Auditor dan Pelapor Perusahaan.


Quest Change Antarmuka Acara Auditor

Ini adalah konsol utama Change Auditor. Diperlukan untuk mengontrol perubahan dan di sini Anda dapat melihat semua acara. Tentu saja, Anda dapat menerapkan filter kepadanya dan hanya mengamati apa yang Anda butuhkan.

Ada banyak laporan siap pakai yang dapat Anda modifikasi atau buat yang baru atas dasar mereka.


Laporkan Antarmuka Pemilihan di Auditor Ubah Quest

Selain konsol utama, Change Auditor memiliki modul Deteksi Ancaman khusus. Ia menerima peristiwa dari Change Auditor selama 30 hari terakhir dan mengidentifikasi perilaku pengguna yang tidak lazim: masuk dari tempat yang tidak biasa atau pada waktu yang tidak biasa, entri kata sandi yang gagal beberapa kali berturut-turut pada pengontrol domain, masuk ke sumber daya file terlarang, dll.



Konsol berikutnya adalah Enterprise Reporter. Ini mengontrol konfigurasi objek. Ada juga laporan yang sudah ditentukan sebelumnya.


Laporkan antarmuka pilihan di Quest Enterprise Reporter

Reporter Perusahaan (dan Ganti Auditor, juga) memiliki desainer laporan tempat Anda dapat membuat tata letak yang mudah dipahami.


Laporkan antarmuka penyesuaian di Quest Enterprise Reporter

Dan konsol Pencarian Keamanan TI untuk mencari acara dan perubahan konfigurasi. Di sini Anda dapat menemukan semua yang terjadi dengan objek tertentu berdasarkan data dari Change Auditor dan Enterprise Reporter.


Quest IT Security Interface Pencarian Pencarian


Antarmuka Hasil Pencarian Keamanan TI Pencarian

Netwrix

Kami lolos ke antarmuka Netwrix. Panel kontrol utama, dari mana semua pengaturan dan laporan pada gambar di bawah ini tersedia.


Antarmuka Dasar Auditor Netwrix

Di antara tampilan Netwrix, kami tidak menemukan konsol acara tradisional (mirip dengan sistem pemantauan atau Ubah Auditor), tetapi ada tampilan khusus dengan pencarian acara, dipanggil dengan mengklik tombol "Cari".


Laporan Pencarian Peristiwa di Auditor Netwrix

Gambar berikut menunjukkan contoh laporan tentang risiko yang mungkin terjadi.


Antarmuka Auditor Netwrix dengan Kemungkinan Resiko

Netwrix Auditor memiliki seperangkat laporan yang telah ditentukan (ada banyak dari mereka). Masing-masing dapat dimodifikasi dan dibuat berdasarkan laporan baru yang disesuaikan.


Antarmuka Auditor Netwrix dengan daftar laporan bawaan

Dari antarmuka utama, dimungkinkan untuk menghasilkan laporan dengan karakteristik yang ditentukan. Di akhir laporan ada tombol "Berlangganan".


Antarmuka Auditor Netwrix dengan laporan sampel

Netwrix Auditor memiliki presentasi khusus dengan anomali yang teridentifikasi.


Antarmuka Auditor Netwrix dengan Identifikasi Anomali

Konsol untuk membatalkan perubahan. Dibuat dalam bentuk wizard dan dijalankan secara terpisah di menu Windows.


Konsol Auditor Netwrix untuk Kembalikan Perubahan

Kesimpulan umum

Secara umum, kedua sistem memiliki fungsi yang sama (dengan pengecualian perbedaan dalam teknologi yang didukung). Saat memilih sistem audit, kami menyarankan untuk melanjutkan dari serangkaian teknologi yang perlu dikontrol, keunggulan individual dari sistem (misalnya, memblokir perubahan pada objek di Ubah Auditor atau integrasi melalui API RESTful di Netwrix Auditor) dan kenyamanan bekerja di antarmuka (tapi ini sudah subjektif). Perbedaan lain yang tidak termasuk dalam salah satu bagian artikel, tetapi terungkap adalah dukungan teknis: 24/5 di Netwrix dan 24/7 di Quest.

Jika Anda tertarik untuk mengaudit infrastruktur Microsoft dan Anda ingin melakukan ini dalam sistem yang dirancang khusus untuk ini dan mengevaluasi kemampuan sistem, tinggalkan permintaan , kami akan menghubungi Anda.

Saat menulis artikel ini, data dari sumber terbuka digunakan.