两种产品都旨在检测Microsoft基础结构中未经授权的用户操作,可疑活动和配置控制。
Quest Change Auditor和
Netwrix Auditor是直接竞争者,他们在客户服务器上的位置上互相争夺。 削减后,我们揭示了两家供应商的解决方案的功能。
正在调查的产品版本:Quest Change Auditor 7.0.3(
在此处编写),Quest Enterprise Reporter 2.5.1(
在此处编写)和Netwrix Auditor 9.8(我们尚未编写,但我们会尽快编写)。
为什么Quest会提供两种产品,而Netwrix却提供两种产品? 事实是,在Quest中,更改控制是使用Change Auditor和配置-Enterprise Reporter执行的。 在Netwrix的Auditor中,这两个功能位于同一控制台中。
我们将根据以下有关变更控制和Active Directory配置的属性来分析产品:受支持的技术,体系结构,集成功能,界面元素和一般结论。
支持技术
详情在下表中。
建筑学
产品之间的首要区别是收集方法。
Netwrix使其成为一种无代理方法,即 使用本机审核工具(Windows日志)。 在开始工作之前,为了使审核数据足够,必须在操作系统级别进行许多设置。
Netwrix审核器体系结构因此,Netwrix Auditor的体系结构由中央服务器,数据库和控制台组成。 该系统通过增加中央服务器的功能来垂直扩展。
Quest使用代理方法。 Change Auditor通过与AD内的调用进行深度集成来接收事件,并且正如供应商本人所写的那样,即使在深度嵌套的组中,此方法也可以检测到更改,并且与写入和读取日志时相比,负荷较小。 您可以在高负载下进行检查。 这种低级集成的结果是,您可以在Quest Change Auditor中否决某些对象的某些更改,甚至是Enterprise Admin级别的用户。
Quest Change Auditor架构上图显示系统的核心是协调器和数据库。 Quest Change Auditor的体系结构允许您执行水平扩展并在各种虚拟(或物理)计算机上托管协调服务器,从而使用解决方案本身确保解决方案的高可用性。
Enterprise Reporter体系结构由中央服务器和负责配置数据聚合的节点表示。 像Change Auditor一样,Enterprise Reporter在SQL Server数据库上运行。
Quest Enterprise Reporter架构除上述内容外,Quest还有一个单独的IT安全搜索伞式控制台,具有类似于google的搜索功能,该控制台将前两个产品组合在一起,并显示Change Auditor的事件以及Enterprise Reporter的报告。 IT安全搜索是免费的。
另一个区别是Quest产品的可用性,以及具有适应移动设备能力的“厚”客户端Web控制台。 Netwrix Auditor只有一个“厚”客户端。
正如Quest在其材料中所写的那样,开发各种产品是他们有意识的选择,而不是历史环境。 该公司声称将单独深化和开发每个产品,因此不会提供一站式解决方案。
在体系结构图中,两个产品的另一个功能都没有拆除-将修改后的对象恢复到以前的状态。 在Change Auditor中,可以从同一界面使用此功能,而在Netwrix Auditor中,对于同一操作,您需要运行单独的控制台。
整合性
两家制造商都与SIEM系统进行了标准集成:ArcSight,Splunk,IBM QRadar和通过Web服务的通用集成。 除上述功能外,Netwrix还与ServiceNow,LogRhytm,Alien Vault,Solarwinds
等集成,并且Quest拥有一个用于将事件发送到SCOM的插件。
要将数据导出到Change Auditor中的外部系统,必须使用通过数据库的访问权限,而在Netwrix中,可以同时使用数据库和RESTful API。
界面元素
考虑所有提供在这两家供应商的工作中使用的接口。 两种产品在各个部分都有预定义的报告,以及合规性类型(SOX,GDPR,HIPAA等)。 让我们从Quest开始。
追求
如上所述,Quest使用两种单独的产品来审核更改和控制配置:Change Auditor和Enterprise Reporter。
Quest Change Auditor事件界面这是Change Auditor的主控制台。 需要控制更改,在这里您可以查看所有事件。 当然,您可以将过滤器应用于它们并仅观察您的需求。
有许多现成的报告,您可以在其基础上修改或创建新报告。
Quest Change Auditor中的报告选择界面除主控制台外,Change Auditor还具有特殊的威胁检测模块。 它接收过去30天来自Change Auditor的事件,并揭示非典型的用户行为:从不寻常的位置或在不寻常的时间登录,在域控制器上连续几次输入密码失败,登录到禁止的文件资源等。
下一个控制台是Enterprise Reporter。 它控制对象的配置。 也有预定义的报告。
Quest Enterprise Reporter中的报告选择界面Enterprise Reporter(还有Change Auditor)也具有报表设计器,您可以在其中创建一个易于理解的布局。
Quest Enterprise Reporter中的报告自定义界面还有IT安全搜索控制台,用于搜索事件和配置更改。 在这里,您可以基于Change Auditor和Enterprise Reporter的数据找到特定对象发生的所有事情。
Quest IT Security Search搜索界面
Quest IT Security Search搜索结果界面Netwrix
我们传递给Netwrix接口。 主控制面板,通过它可以使用下图中的所有设置和报告。
Netwrix Auditor基本界面在Netwrix视图中,我们没有找到传统的事件控制台(类似于监视系统或Change Auditor),但是有一个带有事件搜索的特殊视图,通过单击“搜索”按钮进行调用。
Netwrix Auditor中的事件搜索报告下图显示了有关可能风险的报告示例。
Netwrix审核员界面存在潜在风险Netwrix Auditor具有一组预定义的报告(其中有很多)。 每个都可以修改并在其基础上创建新的自定义报告。
Netwrix Auditor界面,带有内置报告列表从主界面可以生成具有指定特征的报告。 报告的末尾有一个“订阅”按钮。
Netwrix Auditor界面与示例报告Netwrix Auditor会特别介绍发现的异常。
具有已发现异常的Netwrix Auditor接口控制台撤消更改。 以向导的形式制成,并在Windows菜单中单独运行。
Netwrix Auditor控制台还原更改一般结论
通常,两个系统都具有相似的功能(受支持技术的差异除外)。 选择审核系统时,我们建议从一组需要控制的技术着手,系统的各个优势(例如,阻止对Change Auditor中对象的更改或通过Netwrix Auditor中的RESTful API进行集成)以及在界面中进行操作的便利性(但这已经是主观的)。 本文的任何部分均未包含但已揭示的另一个区别是技术支持:Netwrix中的24/5和Quest中的24/7。
如果您有兴趣审核Microsoft基础结构,并且想要在专门为此设计的系统中进行此操作并评估系统的功能,
请提出要求 ,我们将与您联系。
在撰写本文时,使用了来自开源的数据。