Как стать автором
Обновить
0
Gals Software
Системы ИТ-мониторинга

Сравним инструменты для аудита изменений в Active Directory: Quest Change Auditor и Netwrix Auditor

Время на прочтение6 мин
Количество просмотров9K


Оба продукта предназначены для выявления несанкционированных действий пользователей, подозрительной активности и контроля конфигураций в инфраструктуре Microsoft. Quest Change Auditor и Netwrix Auditor прямые конкуренты, которые вполне себе борются друг с другом за место на серверах заказчиков. Под катом выявленные нами особенности решений обоих вендоров.

Исследуемые версии продуктов: Quest Change Auditor 7.0.3 (о нём писали здесь), Quest Enterprise Reporter 2.5.1 (о нём писали здесь) и Netwrix Auditor 9.8 (о нём ещё не писали, но скоро напишем).

Почему у Quest представлено два продукта, а у Netwrix один? Дело в том, что в Quest контроль изменения выполняется при помощи Change Auditor, а конфигураций — Enterprise Reporter. В Auditor от Netwrix эти два функционала в одной консоли.

Будем разбирать продукты по следующим свойствам относительно контроля изменений и конфигураций Active Directory: поддерживаемые технологии, архитектура, возможности интеграции, элементы интерфейса и общие выводы.

Поддерживаемые технологии


Подробности в таблице ниже.
Quest
Netwrix
Change Auditor for Active Directory (+Azure AD)
Netwrix Auditor for Active Directory (+Azure AD)
Change Auditor for AD Queries

Change Auditor for Logon Activity
Netwrix Auditor for Active Directory (Logon Activity)
Change Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business)
Netwrix Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business)
Change Auditor for Sharepoint (+Sharepoint Online)
Netwrix Auditor for Sharepoint (+Sharepoint Online)
Change Auditor for Windows File Servers
Netwrix Auditor for Windows Server
Change Auditor for SQL Server
Netwrix Auditor for SQL Server

Netwrix Auditor for Oracle Database
Change Auditor for Skype for Business

Change Auditor for Vmware
Netwrix Auditor for Vmware
Change Auditor for FluidFS

Change Auditor for NetApp
Netwrix Auditor for NetApp
Change Auditor for EMC
Netwrix Auditor for EMC

Netwrix Auditor for Nutanix

Netwrix Auditor for Network Devices

Архитектура


Первое и основное отличие продуктов — методика сбора.

Netwrix делает это безагентным методом, т.е. использует инструменты native auditing (логи Windows). Перед началом работы, чтобы данных для аудита было достаточно, на уровне операционной системы необходимо выполнить ряд настроек.


Архитектура Netwrix Auditor

Таким образом, архитектура Netwrix Auditor состоит из центрального сервера, базы данных и консолей. Система масштабируется вертикально путём наращивания мощности центрального сервера.

Quest использует агентный способ. Change Auditor получает события при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи и чтении извлечении логов. Проверить можно на высокой нагрузке. Следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin.


Архитектура Quest Change Auditor

На изображении выше видно, что ядро системы — координатор и база данных. Архитектура Quest Change Auditor позволяет выполнять горизонтальное масштабирование и размещать серверы-координаторы на различных виртуальных (или физических) машинах, тем самым обеспечивая высокую доступность решения средствами самого решения.

Архитектура Enterprise Reporter представлена центральным сервером и нодами, которые отвечают за агрегацию данных конфигурации. Как и Change Auditor, Enterprise Reporter работает на базе БД SQL Server.


Архитектура Quest Enterprise Reporter

В дополнение к перечисленному, у Quest есть отдельная зонтичная консоль IT Security Search с google-like поиском, которая объединяет первые два продукта и показывает события из Change Auditor в привязке к отчётам из Enterprise Reporter. IT Security Search поставляется бесплатно.

Ещё отличие — наличие у продукта от Quest, в дополнение к «толстому» клиенту веб-консоли c возможностью адаптации под мобильные устройства. Netwrix Auditor имеет только «толстый» клиент.

Как пишет Quest в своих материалах, развитие различных продуктов их осознанный выбор, а не исторические обстоятельства. Компания утверждает, что углубляет и развивает каждый продукт по-отдельности, а не делает универсальное решение.

На схеме архитектуры не разобрана ещё одна функциональная возможность обоих продуктов — это восстановление модифицированных объектов до предыдущего состояния. В Change Auditor эта возможность доступна из этого же интерфейса, а в Netwrix Auditor для той же операции необходимо запустить отдельную консоль.

Интеграции


Стандартные интеграции с SIEM системами есть у обоих производителей: ArcSight, Splunk, IBM QRadar и универсальная интеграция через веб-сервисы. В дополнение к перечисленным, Netwrix «из коробки» интегрируется с ServiceNow, LogRhytm, Alien Vault, Solarwinds и другими, а Quest имеет плагин для передачи событий в SCOM.

Для экспорта данных во внешние системы в Change Auditor необходимо использовать доступ через БД, а в Netwrix можно использовать как БД так и RESTful API.

Элементы интерфейса


Рассмотрим все интерфейсы, которые предлагают использовать в работе оба вендора. В обоих продуктах есть предустановленные отчёты в различных разрезах, а также по типам комплаенсов (SOX, GDPR, HIPAA и др.). Начнём с Quest.

Quest


Как уже говорили выше, в Quest для аудита изменений и контроля конфигурации используется два отдельных продукта: Change Auditor и Enterprise Reporter.

image
Интерфейс с событиями Quest Change Auditor

Это основная консоль Change Auditor. Она нужна для контроля за изменениями и здесь можно увидеть все события. К ним, разумеется, можно применить фильтры и наблюдать только то, что нужно.

Есть множество готовых отчётов, которые можно модифицировать или создавать на их основе новые.

image
Интерфейс выбора отчётов в Quest Change Auditor

В дополнение к основным консолям, у Change Auditor есть специальный модуль Threat Detection. На вход получает события из Change Auditor за последние 30 дней и выявляет нетипичное поведение пользователей: вход из необычного места или в необычное время, неудачный ввод пароля несколько раз подряд на контроллере домена, вход на запрещённый файловый ресурс и т.д.

image

Следующая консоль — Enterprise Reporter. В ней происходит контроль за конфигурацией объектов. Здесь также есть предустановленные отчёты.

image
Интерфейс выбора отчётов в Quest Enterprise Reporter

В Enterprise Reporter (и в Change Auditor тоже) есть конструкторы отчётов, в которых можно сформировать удобную для восприятия вёрстку.

image
Интерфейс кастомизации отчётов в Quest Enterprise Reporter

И консоль IT Security Search для поиска событий и изменений в конфигурации. Здесь можно найти всё, что происходило с тем или иным объектом на основе данных из Change Auditor и Enterprise Reporter.

image
Интерфейс поиска Quest IT Security Search

image
Интерфейс результатов поиска Quest IT Security Search

Netwrix


Переходим к интерфейсам Netwrix. Основная панель управления, из которой доступны все настройки и отчёты на изображении ниже.


Основной интерфейс Netwrix Auditor

Среди представлений Netwrix мы не обнаружили традиционную консоль событий (аналогичную системам мониторинга или тому же Change Auditor), но есть специальное представление с поиском событий, вызываемом по нажатию на кнопку «Поиск».


Отчёт с поиском событий в Netwrix Auditor

На следующем изображении приведён пример отчёта по возможным рискам.


Интерфейс Netwrix Auditor с возможными рисками

Netwrix Auditor имеет набор предустановленных отчётов (их много). Каждый можно модифицировать и создавать на его основе новый кастомизированный отчёт.


Интерфейс Netwrix Auditor со списком встроенных отчётов

Из основного интерфейса возможна генерация отчёта с заданными характеристиками. В конце отчёта есть кнопка «Подписаться».


Интерфейс Netwrix Auditor с примером отчёта

В Netwrix Auditor есть специальное представление с выявленными аномалиями.


Интерфейс Netwrix Auditor с выявленными аномалиями

Консоль для отмены изменений. Выполнена в виде визарда и запускается отдельно в меню Windows.


Консоль Netwrix Auditor для отмены изменений

Общие выводы


В целом, обе системы обладают сходным функционалом (за исключением отличий в поддерживаемых технологиях). При выборе системы аудита рекомендуем исходить из набора технологий, которые необходимо контролировать, отдельных преимуществах систем (например, блокировка изменений объектов в Change Auditor или интеграция через RESTful API в Netwrix Auditor) и удобстве работы в интерфейсе (но это уже субъективно). Ещё одно отличие, которое не входило ни в один из разделов статьи, но было выявлено — это техподдержка: 24/5 в Netwrix и 24/7 в Quest.

Если вам интересен аудит инфраструктуры Microsoft и вы хотели это делать в специально предназначенной для этого системе и оценить возможности систем, оставляйте заявку, мы с вами свяжемся.

При написании этой статьи были использованы данные из открытых источников.
Теги:
Хабы:
Всего голосов 9: ↑9 и ↓0+9
Комментарии0

Публикации

Информация

Сайт
gals.software
Дата регистрации
Дата основания
Численность
11–30 человек
Местоположение
Россия
Представитель
Галс Софтвэр

Истории