Ambos os produtos foram projetados para detectar ações não autorizadas do usuário, atividades suspeitas e controle de configuração na infraestrutura da Microsoft. O Quest Change Auditor e o Netwrix Auditor são concorrentes diretos que lutam bastante entre si por um lugar nos servidores dos clientes. Sob o corte, revelamos os recursos das soluções de ambos os fornecedores.

Versões do produto sob investigação: Quest Change Auditor 7.0.3 (escrito aqui ), Quest Enterprise Reporter 2.5.1 (escrito aqui ) e Netwrix Auditor 9.8 (ainda não escrevemos sobre o assunto, mas escreveremos em breve).

Por que a Quest é apresentada com dois produtos, mas a Netwrix possui um? O fato é que, no Quest, o controle de alterações é realizado usando o Change Auditor e as configurações - Enterprise Reporter. No Auditor da Netwrix, essas duas funções estão no mesmo console.

Analisaremos os produtos de acordo com as seguintes propriedades em relação ao controle de alterações e às configurações do Active Directory: tecnologias suportadas, arquitetura, recursos de integração, elementos de interface e conclusões gerais.

Tecnologias Suportadas

Os detalhes estão na tabela abaixo.

Quest	Netwrix
Alterar auditor para o Active Directory (+ Azure AD)	Auditor de Netwrix para Active Directory (+ Azure AD)
Alterar auditor para consultas do AD	-
Alterar auditor para atividade de logon	Auditor de Netwrix para Active Directory (atividade de logon)
Alterar o Auditor para Exchange (+ Exchange Online + Office 365 + OneDrive for Business)	Netwrix Auditor for Exchange (+ Exchange Online + Office 365 + OneDrive for Business)
Alterar auditor para o Sharepoint (+ Sharepoint Online)	Netwrix Auditor for Sharepoint (+ Sharepoint Online)
Alterar o Auditor para servidores de arquivos do Windows	Auditor de Netwrix para Windows Server
Change Auditor for SQL Server	Auditor de Netwrix para SQL Server
-	Auditor de Netwrix para banco de dados Oracle
Alterar auditor para Skype for Business	-
Change Auditor for Vmware	Auditor de Netwrix para VMware
Change Auditor for FluidFS	-
Change Auditor for NetApp	Netwrix Auditor for NetApp
Change Auditor for EMC	Auditor de Netwrix para EMC
-	Auditor de Netwrix para Nutanix
-	Auditor Netwrix para dispositivos de rede

Arquitetura

A primeira e principal diferença entre os produtos é o método de coleta.

O Netwrix faz deste um método sem agente , ou seja, usa ferramentas de auditoria nativas (logs do Windows). Antes de iniciar o trabalho, para que os dados de auditoria sejam suficientes, várias configurações devem ser feitas no nível do sistema operacional.

Arquitetura do Netwrix Auditor

Assim, a arquitetura do Netwrix Auditor consiste em um servidor central, banco de dados e consoles. O sistema é dimensionado verticalmente, aumentando a potência do servidor central.

A Quest usa um método de agente. O Change Auditor recebe eventos por meio de profunda integração em chamadas no AD e, como o próprio fornecedor escreve, esse método detecta alterações mesmo em grupos profundamente aninhados e traz menos carga do que ao gravar e ler logs. Você pode verificar em alta carga. A conseqüência dessa integração de baixo nível é que, no Quest Change Auditor, você pode vetar determinadas alterações para determinados objetos, mesmo usuários no nível de Administrador Corporativo.

Arquitetura do Quest Change Auditor

A imagem acima mostra que o núcleo do sistema é o coordenador e o banco de dados. A arquitetura do Quest Change Auditor permite executar escalonamento horizontal e servidores de coordenação de host em várias máquinas virtuais (ou físicas), garantindo assim a alta disponibilidade da solução usando a própria solução.

A arquitetura do Enterprise Reporter é representada por um servidor central e nós responsáveis pela agregação de dados de configuração. Como o Change Auditor, o Enterprise Reporter é executado em um banco de dados do SQL Server.

Arquitetura do Quest Enterprise Reporter

Além do acima, a Quest possui um console guarda-chuva separado da IT Security Search com a pesquisa semelhante ao google, que combina os dois primeiros produtos e exibe eventos do Change Auditor em conjunto com relatórios do Enterprise Reporter. A Pesquisa de segurança de TI é gratuita.

Outra diferença é a disponibilidade do produto da Quest, além do console da Web do cliente "grosso", com a capacidade de se adaptar a dispositivos móveis. O Netwrix Auditor possui apenas um cliente "grosso".

Como a Quest escreve em seus materiais, o desenvolvimento de vários produtos é uma escolha consciente, não histórica. A empresa afirma aprofundar e desenvolver cada produto individualmente e não faz uma solução completa.

No diagrama da arquitetura, outra funcionalidade de ambos os produtos não é desmontada - é a restauração de objetos modificados para um estado anterior. No Change Auditor, esse recurso está disponível na mesma interface e, no Netwrix Auditor, para a mesma operação, você precisa executar um console separado.

Integração

Ambos os fabricantes têm integrações padrão com sistemas SIEM: ArcSight, Splunk, IBM QRadar e integração universal através de serviços da web. Além do acima, o Netwrix integra-se imediatamente ao ServiceNow, LogRhytm, Alien Vault, Solarwinds e outros , e a Quest possui um plug-in para enviar eventos ao SCOM.

Para exportar dados para sistemas externos no Change Auditor, você deve usar o acesso pelo banco de dados e, no Netwrix, pode usar o banco de dados e a API RESTful.

Elementos da interface

Considere todas as interfaces que se oferecem para usar os dois fornecedores em seu trabalho. Ambos os produtos têm relatórios predefinidos em várias seções, bem como por tipos de conformidade (SOX, GDPR, HIPAA, etc.). Vamos começar com a Quest.

Quest

Como mencionado acima, a Quest usa dois produtos separados para auditar alterações e controlar configurações: Change Auditor e Enterprise Reporter.

imagem

Interface de Eventos do Quest Change Auditor

Este é o console principal do Change Auditor. É necessário controlar as alterações e aqui você pode ver todos os eventos. Obviamente, você pode aplicar filtros a eles e observar apenas o que você precisa.

Existem muitos relatórios prontos que você pode modificar ou criar novos em sua base.

imagem

Interface de seleção de relatório no Quest Change Auditor

Além dos consoles principais, o Change Auditor possui um módulo especial de detecção de ameaças. Ele recebe eventos do Change Auditor nos últimos 30 dias e revela um comportamento atípico do usuário: logon de um local incomum ou em horários incomuns, entrada sem êxito de senha várias vezes seguidas em um controlador de domínio, logon em um recurso de arquivo proibido etc.

imagem

O próximo console é o Enterprise Reporter. Controla a configuração dos objetos. Também há relatórios predefinidos.

imagem

Interface de seleção de relatório no Quest Enterprise Reporter

O Enterprise Reporter (e o Change Auditor também) possui designers de relatórios nos quais você pode criar um layout fácil de ler.

imagem

Interface de personalização de relatórios no Quest Enterprise Reporter

E o console IT Security Search para procurar eventos e alterações na configuração. Aqui você pode encontrar tudo o que aconteceu com um objeto específico, com base nos dados do Change Auditor e Enterprise Reporter.

imagem

Interface de pesquisa de pesquisa de segurança de TI da Quest

imagem

Interface de resultados de pesquisa da Quest Security Security

Netwrix

Passamos para as interfaces Netwrix. O painel de controle principal, no qual todas as configurações e relatórios na imagem abaixo estão disponíveis.

Interface básica do Netwrix Auditor

Entre as visualizações do Netwrix, não encontramos um console de eventos tradicional (semelhante aos sistemas de monitoramento ou ao Change Auditor), mas há uma visualização especial com a pesquisa de eventos, chamada clicando no botão "Pesquisar".

Relatório de pesquisa de eventos no Netwrix Auditor

A imagem a seguir mostra um exemplo de um relatório sobre possíveis riscos.

Interface do Auditor Netwrix com possíveis riscos

O Netwrix Auditor possui um conjunto de relatórios predefinidos (existem muitos). Cada um pode ser modificado e criado com base em um novo relatório personalizado.

Interface do Netwrix Auditor com uma lista de relatórios internos

Na interface principal, é possível gerar um relatório com as características especificadas. No final do relatório, há um botão "Inscrever-se".

Interface do Netwrix Auditor com exemplo de relatório

O Netwrix Auditor tem uma apresentação especial com anomalias identificadas.

Interface do Auditor Netwrix com Anomalias Identificadas

Console para desfazer alterações. Feito na forma de um assistente e é executado separadamente no menu do Windows.

Netwrix Auditor Console para reverter alterações

Conclusões gerais

Em geral, ambos os sistemas têm funcionalidade semelhante (com exceção das diferenças nas tecnologias suportadas). Ao escolher um sistema de auditoria, recomendamos a criação de um conjunto de tecnologias que precisam ser controladas, as vantagens individuais dos sistemas (por exemplo, bloqueio de alterações nos objetos no Change Auditor ou integração através da API RESTful no Netwrix Auditor) e a conveniência de trabalhar na interface (mas isso já é subjetivo). Outra diferença que não foi incluída em nenhuma das seções do artigo, mas foi revelada, é o suporte técnico: 24/5 no Netwrix e 24/7 no Quest.

Se você estiver interessado em auditar a infraestrutura da Microsoft e quiser fazer isso em um sistema especialmente projetado para isso e avaliar as capacidades dos sistemas, deixe uma solicitação , entraremos em contato.

Ao escrever este artigo, foram utilizados dados de fontes abertas.

Compare as ferramentas para auditar alterações no Active Directory: Quest Change Auditor e Netwrix Auditor