Сравним инструменты для аудита изменений в Active Directory: Quest Change Auditor и Netwrix Auditor



    Оба продукта предназначены для выявления несанкционированных действий пользователей, подозрительной активности и контроля конфигураций в инфраструктуре Microsoft. Quest Change Auditor и Netwrix Auditor прямые конкуренты, которые вполне себе борются друг с другом за место на серверах заказчиков. Под катом выявленные нами особенности решений обоих вендоров.

    Исследуемые версии продуктов: Quest Change Auditor 7.0.3 (о нём писали здесь), Quest Enterprise Reporter 2.5.1 (о нём писали здесь) и Netwrix Auditor 9.8 (о нём ещё не писали, но скоро напишем).

    Почему у Quest представлено два продукта, а у Netwrix один? Дело в том, что в Quest контроль изменения выполняется при помощи Change Auditor, а конфигураций — Enterprise Reporter. В Auditor от Netwrix эти два функционала в одной консоли.

    Будем разбирать продукты по следующим свойствам относительно контроля изменений и конфигураций Active Directory: поддерживаемые технологии, архитектура, возможности интеграции, элементы интерфейса и общие выводы.

    Поддерживаемые технологии


    Подробности в таблице ниже.
    Quest
    Netwrix
    Change Auditor for Active Directory (+Azure AD)
    Netwrix Auditor for Active Directory (+Azure AD)
    Change Auditor for AD Queries

    Change Auditor for Logon Activity
    Netwrix Auditor for Active Directory (Logon Activity)
    Change Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business)
    Netwrix Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business)
    Change Auditor for Sharepoint (+Sharepoint Online)
    Netwrix Auditor for Sharepoint (+Sharepoint Online)
    Change Auditor for Windows File Servers
    Netwrix Auditor for Windows Server
    Change Auditor for SQL Server
    Netwrix Auditor for SQL Server

    Netwrix Auditor for Oracle Database
    Change Auditor for Skype for Business

    Change Auditor for Vmware
    Netwrix Auditor for Vmware
    Change Auditor for FluidFS

    Change Auditor for NetApp
    Netwrix Auditor for NetApp
    Change Auditor for EMC
    Netwrix Auditor for EMC

    Netwrix Auditor for Nutanix

    Netwrix Auditor for Network Devices

    Архитектура


    Первое и основное отличие продуктов — методика сбора.

    Netwrix делает это безагентным методом, т.е. использует инструменты native auditing (логи Windows). Перед началом работы, чтобы данных для аудита было достаточно, на уровне операционной системы необходимо выполнить ряд настроек.


    Архитектура Netwrix Auditor

    Таким образом, архитектура Netwrix Auditor состоит из центрального сервера, базы данных и консолей. Система масштабируется вертикально путём наращивания мощности центрального сервера.

    Quest использует агентный способ. Change Auditor получает события при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи и чтении извлечении логов. Проверить можно на высокой нагрузке. Следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin.


    Архитектура Quest Change Auditor

    На изображении выше видно, что ядро системы — координатор и база данных. Архитектура Quest Change Auditor позволяет выполнять горизонтальное масштабирование и размещать серверы-координаторы на различных виртуальных (или физических) машинах, тем самым обеспечивая высокую доступность решения средствами самого решения.

    Архитектура Enterprise Reporter представлена центральным сервером и нодами, которые отвечают за агрегацию данных конфигурации. Как и Change Auditor, Enterprise Reporter работает на базе БД SQL Server.


    Архитектура Quest Enterprise Reporter

    В дополнение к перечисленному, у Quest есть отдельная зонтичная консоль IT Security Search с google-like поиском, которая объединяет первые два продукта и показывает события из Change Auditor в привязке к отчётам из Enterprise Reporter. IT Security Search поставляется бесплатно.

    Ещё отличие — наличие у продукта от Quest, в дополнение к «толстому» клиенту веб-консоли c возможностью адаптации под мобильные устройства. Netwrix Auditor имеет только «толстый» клиент.

    Как пишет Quest в своих материалах, развитие различных продуктов их осознанный выбор, а не исторические обстоятельства. Компания утверждает, что углубляет и развивает каждый продукт по-отдельности, а не делает универсальное решение.

    На схеме архитектуры не разобрана ещё одна функциональная возможность обоих продуктов — это восстановление модифицированных объектов до предыдущего состояния. В Change Auditor эта возможность доступна из этого же интерфейса, а в Netwrix Auditor для той же операции необходимо запустить отдельную консоль.

    Интеграции


    Стандартные интеграции с SIEM системами есть у обоих производителей: ArcSight, Splunk, IBM QRadar и универсальная интеграция через веб-сервисы. В дополнение к перечисленным, Netwrix «из коробки» интегрируется с ServiceNow, LogRhytm, Alien Vault, Solarwinds и другими, а Quest имеет плагин для передачи событий в SCOM.

    Для экспорта данных во внешние системы в Change Auditor необходимо использовать доступ через БД, а в Netwrix можно использовать как БД так и RESTful API.

    Элементы интерфейса


    Рассмотрим все интерфейсы, которые предлагают использовать в работе оба вендора. В обоих продуктах есть предустановленные отчёты в различных разрезах, а также по типам комплаенсов (SOX, GDPR, HIPAA и др.). Начнём с Quest.

    Quest


    Как уже говорили выше, в Quest для аудита изменений и контроля конфигурации используется два отдельных продукта: Change Auditor и Enterprise Reporter.

    image
    Интерфейс с событиями Quest Change Auditor

    Это основная консоль Change Auditor. Она нужна для контроля за изменениями и здесь можно увидеть все события. К ним, разумеется, можно применить фильтры и наблюдать только то, что нужно.

    Есть множество готовых отчётов, которые можно модифицировать или создавать на их основе новые.

    image
    Интерфейс выбора отчётов в Quest Change Auditor

    В дополнение к основным консолям, у Change Auditor есть специальный модуль Threat Detection. На вход получает события из Change Auditor за последние 30 дней и выявляет нетипичное поведение пользователей: вход из необычного места или в необычное время, неудачный ввод пароля несколько раз подряд на контроллере домена, вход на запрещённый файловый ресурс и т.д.

    image

    Следующая консоль — Enterprise Reporter. В ней происходит контроль за конфигурацией объектов. Здесь также есть предустановленные отчёты.

    image
    Интерфейс выбора отчётов в Quest Enterprise Reporter

    В Enterprise Reporter (и в Change Auditor тоже) есть конструкторы отчётов, в которых можно сформировать удобную для восприятия вёрстку.

    image
    Интерфейс кастомизации отчётов в Quest Enterprise Reporter

    И консоль IT Security Search для поиска событий и изменений в конфигурации. Здесь можно найти всё, что происходило с тем или иным объектом на основе данных из Change Auditor и Enterprise Reporter.

    image
    Интерфейс поиска Quest IT Security Search

    image
    Интерфейс результатов поиска Quest IT Security Search

    Netwrix


    Переходим к интерфейсам Netwrix. Основная панель управления, из которой доступны все настройки и отчёты на изображении ниже.


    Основной интерфейс Netwrix Auditor

    Среди представлений Netwrix мы не обнаружили традиционную консоль событий (аналогичную системам мониторинга или тому же Change Auditor), но есть специальное представление с поиском событий, вызываемом по нажатию на кнопку «Поиск».


    Отчёт с поиском событий в Netwrix Auditor

    На следующем изображении приведён пример отчёта по возможным рискам.


    Интерфейс Netwrix Auditor с возможными рисками

    Netwrix Auditor имеет набор предустановленных отчётов (их много). Каждый можно модифицировать и создавать на его основе новый кастомизированный отчёт.


    Интерфейс Netwrix Auditor со списком встроенных отчётов

    Из основного интерфейса возможна генерация отчёта с заданными характеристиками. В конце отчёта есть кнопка «Подписаться».


    Интерфейс Netwrix Auditor с примером отчёта

    В Netwrix Auditor есть специальное представление с выявленными аномалиями.


    Интерфейс Netwrix Auditor с выявленными аномалиями

    Консоль для отмены изменений. Выполнена в виде визарда и запускается отдельно в меню Windows.


    Консоль Netwrix Auditor для отмены изменений

    Общие выводы


    В целом, обе системы обладают сходным функционалом (за исключением отличий в поддерживаемых технологиях). При выборе системы аудита рекомендуем исходить из набора технологий, которые необходимо контролировать, отдельных преимуществах систем (например, блокировка изменений объектов в Change Auditor или интеграция через RESTful API в Netwrix Auditor) и удобстве работы в интерфейсе (но это уже субъективно). Ещё одно отличие, которое не входило ни в один из разделов статьи, но было выявлено — это техподдержка: 24/5 в Netwrix и 24/7 в Quest.

    Если вам интересен аудит инфраструктуры Microsoft и вы хотели это делать в специально предназначенной для этого системе и оценить возможности систем, оставляйте заявку, мы с вами свяжемся.

    При написании этой статьи были использованы данные из открытых источников.
    Gals Software
    92,83
    Компания
    Поделиться публикацией
    AdBlock похитил этот баннер, но баннеры не зубы — отрастут

    Подробнее
    Реклама

    Комментарии 0

    Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

    Самое читаемое