Оба продукта предназначены для выявления несанкционированных действий пользователей, подозрительной активности и контроля конфигураций в инфраструктуре Microsoft. Quest Change Auditor и Netwrix Auditor прямые конкуренты, которые вполне себе борются друг с другом за место на серверах заказчиков. Под катом выявленные нами особенности решений обоих вендоров.
Исследуемые версии продуктов: Quest Change Auditor 7.0.3 (о нём писали здесь), Quest Enterprise Reporter 2.5.1 (о нём писали здесь) и Netwrix Auditor 9.8 (о нём ещё не писали, но скоро напишем).
Почему у Quest представлено два продукта, а у Netwrix один? Дело в том, что в Quest контроль изменения выполняется при помощи Change Auditor, а конфигураций — Enterprise Reporter. В Auditor от Netwrix эти два функционала в одной консоли.
Будем разбирать продукты по следующим свойствам относительно контроля изменений и конфигураций Active Directory: поддерживаемые технологии, архитектура, возможности интеграции, элементы интерфейса и общие выводы.
Поддерживаемые технологии
Подробности в таблице ниже.
| Quest |
Netwrix |
| Change Auditor for Active Directory (+Azure AD) |
Netwrix Auditor for Active Directory (+Azure AD) |
| Change Auditor for AD Queries |
— |
| Change Auditor for Logon Activity |
Netwrix Auditor for Active Directory (Logon Activity) |
| Change Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business) |
Netwrix Auditor for Exchange (+Exchange Online + Office 365 + OneDrive for Business) |
| Change Auditor for Sharepoint (+Sharepoint Online) |
Netwrix Auditor for Sharepoint (+Sharepoint Online) |
| Change Auditor for Windows File Servers |
Netwrix Auditor for Windows Server |
| Change Auditor for SQL Server |
Netwrix Auditor for SQL Server |
| — |
Netwrix Auditor for Oracle Database |
| Change Auditor for Skype for Business |
— |
| Change Auditor for Vmware |
Netwrix Auditor for Vmware |
| Change Auditor for FluidFS |
— |
| Change Auditor for NetApp |
Netwrix Auditor for NetApp |
| Change Auditor for EMC |
Netwrix Auditor for EMC |
| — |
Netwrix Auditor for Nutanix |
| — |
Netwrix Auditor for Network Devices |
Архитектура
Первое и основное отличие продуктов — методика сбора.
Netwrix делает это безагентным методом, т.е. использует инструменты native auditing (логи Windows). Перед началом работы, чтобы данных для аудита было достаточно, на уровне операционной системы необходимо выполнить ряд настроек.
Архитектура Netwrix Auditor
Таким образом, архитектура Netwrix Auditor состоит из центрального сервера, базы данных и консолей. Система масштабируется вертикально путём наращивания мощности центрального сервера.
Quest использует агентный способ. Change Auditor получает события при помощи глубокой интеграции в вызовы внутри AD и, как пишет сам вендор, этот метод выявляет изменения даже в глубоко вложенных группах и привносит меньшую нагрузку, чем при записи и чтении извлечении логов. Проверить можно на высокой нагрузке. Следствие такой низкоуровневой интеграции — в Quest Change Auditor можно наложить вето на внесение определённых изменений для определённых объектов даже пользователям уровня Enterprise Admin.
Архитектура Quest Change Auditor
На изображении выше видно, что ядро системы — координатор и база данных. Архитектура Quest Change Auditor позволяет выполнять горизонтальное масштабирование и размещать серверы-координаторы на различных виртуальных (или физических) машинах, тем самым обеспечивая высокую доступность решения средствами самого решения.
Архитектура Enterprise Reporter представлена центральным сервером и нодами, которые отвечают за агрегацию данных конфигурации. Как и Change Auditor, Enterprise Reporter работает на базе БД SQL Server.
Архитектура Quest Enterprise Reporter
В дополнение к перечисленному, у Quest есть отдельная зонтичная консоль IT Security Search с google-like поиском, которая объединяет первые два продукта и показывает события из Change Auditor в привязке к отчётам из Enterprise Reporter. IT Security Search поставляется бесплатно.
Ещё отличие — наличие у продукта от Quest, в дополнение к «толстому» клиенту веб-консоли c возможностью адаптации под мобильные устройства. Netwrix Auditor имеет только «толстый» клиент.
Как пишет Quest в своих материалах, развитие различных продуктов их осознанный выбор, а не исторические обстоятельства. Компания утверждает, что углубляет и развивает каждый продукт по-отдельности, а не делает универсальное решение.
На схеме архитектуры не разобрана ещё одна функциональная возможность обоих продуктов — это восстановление модифицированных объектов до предыдущего состояния. В Change Auditor эта возможность доступна из этого же интерфейса, а в Netwrix Auditor для той же операции необходимо запустить отдельную консоль.
Интеграции
Стандартные интеграции с SIEM системами есть у обоих производителей: ArcSight, Splunk, IBM QRadar и универсальная интеграция через веб-сервисы. В дополнение к перечисленным, Netwrix «из коробки» интегрируется с ServiceNow, LogRhytm, Alien Vault, Solarwinds и другими, а Quest имеет плагин для передачи событий в SCOM.
Для экспорта данных во внешние системы в Change Auditor необходимо использовать доступ через БД, а в Netwrix можно использовать как БД так и RESTful API.
Элементы интерфейса
Рассмотрим все интерфейсы, которые предлагают использовать в работе оба вендора. В обоих продуктах есть предустановленные отчёты в различных разрезах, а также по типам комплаенсов (SOX, GDPR, HIPAA и др.). Начнём с Quest.
Quest
Как уже говорили выше, в Quest для аудита изменений и контроля конфигурации используется два отдельных продукта: Change Auditor и Enterprise Reporter.
Интерфейс с событиями Quest Change Auditor
Это основная консоль Change Auditor. Она нужна для контроля за изменениями и здесь можно увидеть все события. К ним, разумеется, можно применить фильтры и наблюдать только то, что нужно.
Есть множество готовых отчётов, которые можно модифицировать или создавать на их основе новые.
Интерфейс выбора отчётов в Quest Change Auditor
В дополнение к основным консолям, у Change Auditor есть специальный модуль Threat Detection. На вход получает события из Change Auditor за последние 30 дней и выявляет нетипичное поведение пользователей: вход из необычного места или в необычное время, неудачный ввод пароля несколько раз подряд на контроллере домена, вход на запрещённый файловый ресурс и т.д.
Следующая консоль — Enterprise Reporter. В ней происходит контроль за конфигурацией объектов. Здесь также есть предустановленные отчёты.
Интерфейс выбора отчётов в Quest Enterprise Reporter
В Enterprise Reporter (и в Change Auditor тоже) есть конструкторы отчётов, в которых можно сформировать удобную для восприятия вёрстку.
Интерфейс кастомизации отчётов в Quest Enterprise Reporter
И консоль IT Security Search для поиска событий и изменений в конфигурации. Здесь можно найти всё, что происходило с тем или иным объектом на основе данных из Change Auditor и Enterprise Reporter.
Интерфейс поиска Quest IT Security Search
Интерфейс результатов поиска Quest IT Security Search
Netwrix
Переходим к интерфейсам Netwrix. Основная панель управления, из которой доступны все настройки и отчёты на изображении ниже.
Основной интерфейс Netwrix Auditor
Среди представлений Netwrix мы не обнаружили традиционную консоль событий (аналогичную системам мониторинга или тому же Change Auditor), но есть специальное представление с поиском событий, вызываемом по нажатию на кнопку «Поиск».
Отчёт с поиском событий в Netwrix Auditor
На следующем изображении приведён пример отчёта по возможным рискам.
Интерфейс Netwrix Auditor с возможными рисками
Netwrix Auditor имеет набор предустановленных отчётов (их много). Каждый можно модифицировать и создавать на его основе новый кастомизированный отчёт.
Интерфейс Netwrix Auditor со списком встроенных отчётов
Из основного интерфейса возможна генерация отчёта с заданными характеристиками. В конце отчёта есть кнопка «Подписаться».
Интерфейс Netwrix Auditor с примером отчёта
В Netwrix Auditor есть специальное представление с выявленными аномалиями.
Интерфейс Netwrix Auditor с выявленными аномалиями
Консоль для отмены изменений. Выполнена в виде визарда и запускается отдельно в меню Windows.
Консоль Netwrix Auditor для отмены изменений
Общие выводы
В целом, обе системы обладают сходным функционалом (за исключением отличий в поддерживаемых технологиях). При выборе системы аудита рекомендуем исходить из набора технологий, которые необходимо контролировать, отдельных преимуществах систем (например, блокировка изменений объектов в Change Auditor или интеграция через RESTful API в Netwrix Auditor) и удобстве работы в интерфейсе (но это уже субъективно). Ещё одно отличие, которое не входило ни в один из разделов статьи, но было выявлено — это техподдержка: 24/5 в Netwrix и 24/7 в Quest.
Если вам интересен аудит инфраструктуры Microsoft и вы хотели это делать в специально предназначенной для этого системе и оценить возможности систем, оставляйте заявку, мы с вами свяжемся.
При написании этой статьи были использованы данные из открытых источников.
