Identity-Security-Collector
Für wiederholbare Audits gebaut
ETC Collector ist die Evidence Engine hinter den Active-Directory- und Microsoft-Entra-ID-Reviews von EtcSec. Es ist ein Go-basierter Collector, der lokalen Standalone-Betrieb, SaaS-eingebundenen Daemon-Modus, REST-API-Zugriff und wiederkehrende Ausführung ohne Agents auf Domain Controllern unterstützt.
Die veröffentlichte Dokumentation beschreibt ihn als collection → parsing → analysis → graph → response Pipeline mit Unterstützung für LDAP oder LDAPS, SMB für SYSVOL- und GPO-Analyse, Microsoft Graph API, optionale Netzwerkprobes und strukturierte JSON-Ausgabe.
curl -fsSL https://get.etcsec.com/install-pro.sh | sudo bash -s -- --mode server --token="<verify-in-popup>"Verifizieren Sie Ihre E-Mail im Popup und kopieren Sie dann den Server-Installationsbefehl mit einem kurzlebigen Token.
Warum der Collector mehr ist als ein kleines Audit-Binary
Schreibgeschützte Sammlung über AD und Entra
LDAP oder LDAPS, SMB für SYSVOL und Microsoft-Graph-Lesezugriffe werden in einem Workflow kombiniert. Für die Beweissammlung ist keine Verzeichnis-Mutation erforderlich.
- Benutzer, Gruppen, Computer, GPOs, Trusts, ACLs und ADCS
- Anwendungen, Service Principals, CA-Richtlinien und privilegierte Rollen
- Optionale Netzwerkprobes bleiben explizite opt-in-Kontrollen
Modulare Detection Engine
Die Architekturdokumentation beschreibt ein modular steckbares Provider- und Detektor-System mit paralleler Ausführung und Angriffsgraf-Analyse über den gesammelten Objekten.
- Parallele Detektor-Ausführung
- Strukturierte JSON-Ausgabe
- Attack-Graph-Unterstützung in Pro-Workflows
Produktiver lokaler Betrieb
Der Standalone-Server-Modus stellt eine lokale Web-GUI und REST API auf Port 8443 bereit, sodass der Collector auch ohne SaaS-Verbindung nutzbar ist.
- Lokale GUI mit Dashboard und Job-Verlauf
- REST API unter /api/v1
- JWT-Erzeugung für Automatisierung über den GUI-Token-Flow
Ein Collector, der auch in verwaltete Flotten skaliert
Im Daemon-Modus pollt der Collector die SaaS-Plattform, führt Kommandos aus, meldet Health und kann sich selbst aktualisieren, während die Sammlung lokal in der Kundenumgebung bleibt.
- Polling-Schleife standardmäßig alle 30 Sekunden
- Lokale verschlüsselte Credential-Speicherung nach Enrollment
- Gedacht für einen Collector pro Standort oder Domäne
Zwei Betriebsmodi, eine Collection Engine
Nutzen Sie den Standalone-Server-Modus, wenn alles lokal bleiben muss, oder enrolen Sie den Daemon, wenn die SaaS-Plattform den Collector orchestrieren und verfolgen soll.
Installations-Popup öffnen
E-Mail eingeben, den sechsstelligen Code bestätigen und dann einen einzeiligen Server-Installationsbefehl mit kurzlebigem Token kopieren.
Datenquellen konfigurieren
Richten Sie den Collector auf LDAP oder LDAPS, SYSVOL und optional Microsoft Graph aus. Im SaaS-Daemon-Modus kann auch die Plattform Konfigurationen pushen.
Server oder Daemon starten
Im Standalone-Modus starten lokale GUI und API. Im Daemon-Modus wird der Collector in die SaaS-Plattform eingebunden und pollt Kommandos, während die Sammlung lokal bleibt.
Der Collector ist so gestaltet, dass er im Review erklärbar bleibt
Schreibgeschützte Eingaben
Die veröffentlichte Dokumentation beschreibt LDAP oder LDAPS und SMB-Lesezugriffe für AD sowie Graph-Lesezugriffe für Entra. Der Collector ist im normalen Audit-Betrieb nicht dafür gedacht, in diese Systeme zurückzuschreiben.
- Keine Agent-Installation auf Domain Controllern
- Keine GPO- oder Verzeichnis-Mutationen
- Netzwerkprobes bleiben opt-in
Local-first-Kontrollen für Exposition
Im Standalone-Modus laufen lokale API und GUI. Im Daemon-Modus bindet die lokale GUI standardmäßig an 127.0.0.1, solange der Operator die Netzfreigabe nicht ausdrücklich aktiviert.
- Standalone-GUI und API auf :8443
- Daemon-GUI standardmäßig nicht auf Netzwerkschnittstellen exponiert
- JWT-Automatisierung nutzt den GUI-Token-Workflow
Credential-Handling und Fleet-Betrieb
Enrollment speichert Credentials lokal in verschlüsselter Form. Die Doku beschreibt außerdem Binary-Update-Staging und Watcher-Restart-Logik für den Daemon-Modus.
- Enrollment-Token wird nicht im Klartext gespeichert
- Best-effort-Unenroll-Pfad
- Automatischer Update-Flow mit Checksum-Validierung
Wie ETC Collector in realen Umgebungen läuft
Standalone-Server-Modus
Starten Sie `etc-collector server`, um lokale GUI und REST API bereitzustellen. Dieser Modus eignet sich für lokale Reviews, Air-Gap-Workflows und API-gesteuerte Einzelbewertungen.
Daemon-Modus für verwaltete Collector-Flotten
Starten Sie `etc-collector daemon` nach dem Enrollment, damit die SaaS-Plattform gepollt, Audits lokal ausgeführt und Ergebnisse sowie Health zentral zurückgemeldet werden.
API und Automatisierung
Die lokale API unter `/api/v1` unterstützt JWT-Erstellung und programmatische Audit-Starts. Damit lässt sich der Collector aus Skripten, SIEM-Hooks und CI-Pipelines ansprechen.
Zentrale Nachverfolgung über EtcSec
Der Collector bleibt lokal in der Zielumgebung, während EtcSec die Dashboards, das Scheduling und die historische Nachverfolgung für Organisationen liefert, die das benötigen.
Abdeckung und Schnittstellen des Collectors
Detection providers
Active Directory
Aktiv · 340 Erkennungen · Pro / Full editionMicrosoft Entra ID
Aktiv · 158 Erkennungen · Pro / Full editionOperating modes
Standalone-API
AktivExpose the local REST API and web GUI for standalone, local-first audits.
Daemon-Flottenmodus
AktivEnroll the collector as a SaaS daemon to run centrally managed recurring audits while collection stays local.
Wie ETC Collector läuft, sich integriert und skaliert
Die Dokumentation zeigt, wie ETC Collector bereitgestellt wird, welche Schnittstellen er bietet und wie Community-Collection und die EtcSec-Betriebsebene zusammenspielen.
Standalone-Server-Modus versus SaaS-Daemon-Modus
Der Standalone-Modus ist sinnvoll, wenn alles lokal bleiben muss oder wenn das Security-Team direkt um die lokale API herum automatisieren möchte. Der Daemon-Modus ist sinnvoll, wenn ein zentrales Team mehrere Collector-Instanzen über Standorte oder Domänen hinweg orchestrieren will, ohne lokale Sammlung aufzugeben.
Wichtig ist, dass beide Modi dieselbe Collection Engine nutzen. Der Unterschied liegt darin, wie der Collector betrieben wird und wo der Workflow beobachtet wird, nicht darin, ob ein Modus auf einer anderen Evidenzbasis beruht.
| Modus | Was er tut | Bester Fit |
|---|---|---|
| Standalone server | Stellt lokale GUI und REST API auf Port 8443 ohne SaaS-Abhängigkeit bereit | Air-gapped, lokal-only oder API-gesteuerte Einzelreviews |
| SaaS daemon | Pollt die SaaS-Plattform nach Kommandos, führt lokal aus und meldet Ergebnisse sowie Health zentral | Verwaltete Flotten, wiederkehrende Audits, Multi-Site-Betrieb |
Die veröffentlichte Architektur lautet collection, parsing, analysis, graph, response
Die veröffentlichte Architektur beschreibt ein modulares Provider- und Detektor-System mit paralleler Ausführung. So kann dieselbe Engine AD und Entra ID erfassen, Findings parallel analysieren und Graph-Kontext auf gesammelten Objekten aufbauen.
Teams sehen klar, welche Protokolle genutzt werden, welche Objekte gesammelt werden und wie Findings entstehen. Das erleichtert Review, Freigabe und Betrieb in kontrollierten Umgebungen.
Was der Collector tatsächlich sammelt und warum das zählt
Durch die Kombination aus Verzeichnisdaten, SYSVOL-Analyse, Graph-Daten und optionalen Netzwerkprobes deckt der Collector sowohl Identitätsfehlkonfigurationen als auch die umgebenden Kontrollen ab, die Kompromittierung praktisch machen.
| Quelle | Beispiele | Warum das wichtig ist |
|---|---|---|
| Active Directory per LDAP | Benutzer, Gruppen, Computer, Trusts, Domänen und ACLs | Kernbeziehungen von Identität und Privilegien |
| SYSVOL per SMB | registry.pol, GptTmpl.inf und Skripte | Sichtbarkeit auf GPO-Hardening und Credential-Leakage |
| Microsoft Graph API | Benutzer, Gruppen, Anwendungen, CA-Richtlinien und Rollenzuweisungen | Cloud-Identity-Posture und Sicherheit der Control Plane |
| Optionale Probes | Spooler, TLS, DNS oder Web-Enrollment-Flächen | Erkennung von Relay und schwachen Transportwegen |
Wo die Community-Edition endet und wo reichere Workflows beginnen
Die Aufteilung ist klar: Community liefert die Collection Engine und Kerndetektionen, während Pro und EtcSec Dashboards, zentrale Orchestrierung, historisches Follow-up und erweiterte Analyse ergänzen.
| Fähigkeit | Community | Pro / EtcSec |
|---|---|---|
| Active-Directory-Erkennungen | Ja | Ja |
| Microsoft-Entra-ID-Erkennungen | Ja | Ja |
| Lokaler Standalone-Modus | Ja | Ja |
| SaaS-seitiges Daemon-Management | Funktioniert mit EtcSec | Ja |
| ADCS-ESC-Analyse | In Pro-Workflows erweitert | Ja |
| Angriffsgraph-Analyse | In Pro-Workflows erweitert | Ja |
| Dashboards, Historie, Scheduling | Nein | Ja |
Warum API-Oberfläche und Daemon-Flow praktisch relevant sind
Der Standalone-Server stellt `/api/v1` bereit und unterstützt JWT-Generierung über den GUI-Token-Flow. Damit lässt sich der Collector aus Skripten, CI-Pipelines oder SIEM-Integrationen nutzen. Der Daemon-Flow ergänzt Health Reporting, Remote Commands und Update-Handling für Teams, die mehrere Collector verwalten.
Damit bleibt der Collector für wiederkehrende Reviews, Automatisierung und lokale Betriebsmodelle praktisch nutzbar, ohne die Kontrolle über die Sammlung abzugeben.
Wo EtcSec mehr liefert als der Collector allein
Der Collector ist die Evidence Engine. EtcSec ergänzt Dashboards, historisches Trending, Scheduling und eine breitere Operating Layer für Teams, die zentrale Nachverfolgung statt nur lokaler Ausführung benötigen.
- Historisches Tracking und Trend-Review
- Multi-Site-Orchestrierung
- Scheduling wiederkehrender Audits
- Dashboard und Remediation-Workflow
- Teamübergreifende Sichtbarkeit jenseits lokaler JSON-Ausgabe
- Eine zentrale Ebene um dieselbe Collection Engine herum
Entdecken Sie die Identity-Security-Seiten zu diesem Thema
Entdecken Sie detaillierte Seiten zu Active Directory, Entra ID, dem ETC-Collector-Deployment und direkten Produktvergleichen.
Sehen Sie sich die Landingpage zu Tier 0, Kerberos, Delegation, ADCS und Remediation-Prioritaten an.
Sehen Sie die Entra-ID-Seite zu Conditional Access, MFA, PIM, App-Berechtigungen und Gast-Zugriff.
Vergleichen Sie PingCastle mit ETC Collector fur wiederkehrende AD-Audits und Standalone-Collection-Workflows.
Vergleichen Sie Purple Knight mit ETC Collector fur AD- und Entra-ID-Reviews mit wiederkehrendem Follow-up.
Prufen Sie ETC Collector, seine lokalen Deployment-Modi und wie Teams Standalone- oder wiederkehrende Audits betreiben.
Prüfen Sie den Collector, bevor Sie entscheiden, wie weit Sie ihn operationalisieren
Starten Sie mit dem open-source Collector, wenn Sie lokale Evidence Collection brauchen. Ergänzen Sie EtcSec, wenn dieselbe Engine zusätzlich Dashboard, Scheduling und zentrale Remediation-Nachverfolgung liefern soll.