Eine Purple-Knight-Alternative mit AD-, Entra- und Grenzen-Evidenz ohne Beschönigung
Dieser Benchmark vergleicht Purple Knight Community 5.0 und ETC Collector v3.0.8 Pro in einer produktiven Active-Directory-Umgebung und einem produktiven Entra-ID-Tenant, ausgeführt mit derselben Zugriffskonfiguration am 10. April 2026. Auf Active-Directory-Seite deckt ETC Collector 115 von 119 Purple-Knight-Indikatoren ab, matcht alle 49 IOEs, die Purple Knight meldet, und beendet den Median-Scan in 1,01 Sekunden gegenüber 2 Minuten 55 für Purple Knight — rund 173-mal schneller.
Auf Entra-ID-Seite ist das Ergebnis differenzierter: Beide Tools sind durch Microsoft Graph limitiert. ETC Collector beendet den Scan dennoch in 86 Sekunden Median gegenüber 1 Minute 58 für Purple Knight, mit 92 Findings in Azure-Kategorien gegenüber 31 IOEs in Purple Knight — etwa dreimal so viele Detektionen in 40 Prozent weniger Zeit. Purple Knight behält dennoch 6 Entra-Checks und 2 AD-Checks, in denen es stärker bleibt, und diese Seite listet sie vollständig auf.
Wie der Purple-Knight-Side-by-Side ausgeführt wurde
Die Zahlen dieser Seite stammen aus einem Benchmark, der am 10. April 2026 vom selben Team in einer produktiven Active-Directory-Umgebung und einem produktiven Entra-ID-Tenant ausgeführt wurde. Alle technischen Identifier (Domainname, Domain Controller, IP-Adressen, Tenant-ID, App Registration, Reportpfade) wurden in der öffentlichen Version entfernt.
Auf Active-Directory-Seite stammt der Purple-Knight-Report aus einem früheren Run, der vom Domain Controller aus mit dem Administrator-Konto und der Standardauswahl der AD-Indikatoren ausgeführt wurde; die Zeitmessung kommt direkt aus dem Purple-Knight-Excel-Report. Die ETC-Collector-Runs wurden 5-mal hintereinander von einem Linux-Host aus mit aktivierten Network Probes ausgeführt. Verwendet wird der Median der ETC-Runs (1,03 s, 1,01 s, 1,02 s, 0,99 s, 1,00 s — also 1,01 s).
Auf Entra-ID-Seite wurden beide Tools am 10. April 2026 in einem 30-Minuten-Fenster ausgeführt, mit derselben App Registration und denselben 24 Microsoft-Graph-Berechtigungen (Application.Read.All, Directory.Read.All, IdentityRiskEvent.Read.All, Policy.Read.All, RoleManagement.Read.Directory, UserAuthenticationMethod.Read.All usw.). Purple Knight Community 5.0 hat 50 von 54 Indikatoren ausgewählt: 4 konnten mangels zusätzlicher Berechtigungen nicht laufen (spezifische PIM-Perimeter, Mailbox-Zugriff und Hash-Sync-Readiness). ETC Collector hat seine 158 Detektoren mit exakt derselben Menge von 24 Berechtigungen ausgeführt.
Einige reale Counter aus dem ETC-Collector-Run vom 10. April 2026 mit den entsprechenden Purple-Knight-Indikatoren.
Wann Purple Knight nicht mehr zum Betriebsmodell passt
Purple Knight bleibt nützlich für punktuelle Reviews mit Windows-Executive-Reporting. Teams suchen typischerweise dann nach einer Alternative, wenn sie automatisieren, AD und Entra gemeinsam abdecken oder strukturierte Findings statt GUI-Indikatoren verwerten wollen.
Sie brauchen einen Linux- oder CI-Workflow
Purple Knight bleibt auf Windows und eine interaktive GUI zentriert. Teams, die Audits von Linux-Servern, Containern, Scheduled Jobs oder CI aus starten, brauchen eine headless CLI oder API.
Sie wollen mehr verwertbare Entra-Tiefe
Purple Knight Community 5.0 hat echte Entra-Indikatoren, aber der Benchmark zeigt ETC Collector mit einem breiteren Katalog, mehr ausgelösten Findings in Azure-Kategorien und Kategorien wie Conditional Access, Guests, Applications, Risk Protection und Compliance.
Sie brauchen mehr als PASS- oder FAIL-Kategorien
Purple Knight ist stark bei der Bewertung von Indikatoren, aber viele Operator brauchen zusätzlich benannte Findings, Graph-Kontext und präzise Objektlisten hinter der Note.
Sie wollen das Review automatisieren und wiederholen
Wenn das Sicherheitsteam denselben Review nach einer Privilegienbereinigung oder einer Policy-Änderung erneut starten will, integriert sich ein nicht interaktiver Collector besser als ein GUI-first-Flow.
Wie man eine Purple-Knight-Alternative ernsthaft bewertet
Indikatorabdeckung zählt, aber die praktische Bewertung muss auch den Match auf den tatsächlich gefundenen IOEs, die spezifischen Grenzen jedes Tools, die Plattformunterstützung, den Entra-Scope und die Verwertbarkeit der Ausgabe im wiederkehrenden Betrieb berücksichtigen.
Abdeckung des veröffentlichten Indikator-Sets
Der Benchmark dokumentiert 115 von 119 Purple-Knight-AD-Indikatoren als vollständig abgedeckt, zwei teilweise abgedeckt und zwei Hybrid-Indikatoren als im AD-Run nicht anwendbar.
Match-Qualität bei den tatsächlich gefundenen IOEs
Die entscheidungsrelevanteste Kennzahl ist der Match auf den IOEs: Auf AD-Seite matcht ETC Collector die 49 Indikatoren, die im Purple-Knight-Run ausgelöst haben.
Was die Alternative über Kategoriebewertungen hinaus ergänzt
Die ADCS-ESC-Familien, Angriffsgraphen, breitere Entra-Findings, granulare ACLs, GPOs und Compliance-Mappings erweitern das Review weit über PASS- oder FAIL-Kategorien hinaus.
Passung zum realen Deployment
Eine plattformübergreifende CLI lässt sich auf Linux, macOS, Windows oder Docker installieren. Das verändert, wer das Tool bedienen kann und wie oft der Review erneut laufen kann.
Wo sich ETC Collector einfügt und wo Purple Knight Stärken behält
Purple Knight bleibt nützlich, wenn ein Team einen wiedererkennbaren Windows-GUI-Review und einen fertigen Executive-Report will. ETC Collector wird besser, sobald der Bedarf Automatisierung, ADCS, Entra ID, Angriffsgraphen oder strukturierte Findings betrifft.
ETC Collector passt zu einem wiederholbaren operativen Review
Wenn der Review von Linux, Docker, CI oder API-Workflows aus laufen muss, ist ETC Collector einfacher zu industrialisieren.
Purple Knight behält präzise Checks, die der Benchmark anerkennt
Purple Knight differenziert sich heute vor allem über seine Windows-native Review-Erfahrung, sein Executive-Reporting und einige tenant-seitige Einstellungen wie allowedToCreateTenants oder die Darstellung bestimmter MFA-Prompt-Parameter.
Die Migrationsfrage hängt von Plattform und Perimeter ab
Die meisten Teams wechseln, wenn sie plattformübergreifende Ausführung, Entra-Tiefe oder mehr technisches Detail hinter der Indikator-Ebene brauchen.
EtcSec ergänzt die Betriebsschicht rund um den Collector
Historisches Trending, zentrale Orchestrierung, Dashboards und Remediation-Workflow kommen von EtcSec oberhalb von ETC Collector.
Was der aktualisierte Purple-Knight-Benchmark wirklich zeigt
Der Purple-Knight-Benchmark in der ETC-Collector-Dokumentation schlüsselt die AD-Abdeckung, die Teiltreffer, die ETC-exklusiven Findings, den Entra-ID-Vergleich, die Performance und die Grenzen beider Tools auf. Diese Seite übernimmt diese Daten, ohne die Identifier der Umgebung zu veröffentlichen.
Die Abdeckung nach Purple-Knight-Kategorie auf Active-Directory-Seite
Das macht den Vergleich aussagekräftiger als die pauschale Aussage „wir haben mehr Checks“. Purple Knight und ETC Collector überlappen stark bei den AD-Findings, die in der veröffentlichten Umgebung tatsächlich ausgelöst haben. Der Vergleich sagt also etwas Konkretes über die Machbarkeit eines Ersatzes auf AD-Seite aus.
Die Teiltreffer werden ohne Beschönigung dokumentiert. Die früheren AD-Abweichungen bei gMSA-Passwortlesern und RODC Credential Caching sind in ETC Collector v3.0.9 geschlossen, sodass die verbleibenden Unterschiede heute eher in Präsentation, Workflow und einigen tenant-seitigen Einstellungen liegen.
| Purple-Knight-Bereich | Indikatoren gesamt | Abgedeckt | Teilweise | Nicht abgedeckt / N.A. |
|---|---|---|---|---|
| AD Delegation | 19 | 18 | 1 | 0 |
| Account Security | 34 | 34 | 0 | 0 |
| AD Infrastructure | 34 | 33 | 1 | 0 |
| Group Policy | 11 | 11 | 0 | 0 |
| Kerberos | 19 | 19 | 0 | 0 |
| Hybrid | 2 | 0 | 0 | 2 N/A |
Der vollständige AD-IOE-Match ist das stärkste Migrationssignal
Abdeckungsprozente sind nützlich, aber die entscheidende operative Kennzahl ist der Match auf den Indikatoren in IOE Found. Der veröffentlichte Run zeigt ETC Collector auf jedem Purple-Knight-Indikator, der auf AD-Seite tatsächlich ausgelöst hat.
Der Unterschied ist wichtig, weil viele Kataloge PASS- oder N/A-Einträge enthalten, die die nächste Remediation nicht verändern. Ein vollständiger Match auf den AD-IOEs zeigt, dass beide Tools bei den realen AD-Problemen der getesteten Domäne abgestimmt sind.
Auf Entra ID ist die Lücke eine Frage der Breadth, nicht ein 170-facher Unterschied
Auf Entra ID ist der limitierende Faktor für beide Tools Microsoft Graph: Netzwerklatenz, Pagination und Throttling. Der Geschwindigkeitsunterschied beträgt 1,4-fach und nicht 170-fach wie auf Active Directory. Aber innerhalb dieses Netzwerkbudgets führt ETC Collector rund dreimal so viele Detektoren aus und surface rund dreimal so viele Finding-Familien, weil er den Objektgraphen zwischen Detektoren teilt und unabhängige Graph-Aufrufe aggressiv parallelisiert.
Purple Knight Community 5.0 ist auf Entra nicht leer — es enthält insgesamt 57 AAD-Indikatoren. Die Benchmark-Frage ist kein Gefälle 2 gegen 158, sondern ein Gefälle 50 gegen 158 auf dem ausgeführten Set und ein Gefälle 31 gegen 92 bei den tatsächlich gemeldeten Findings. ETC Collector surfaced zusätzlich Kategorien, die im Purple-Knight-Community-Katalog fehlen: Emergency-Break-Glass-Konten und CA-Exclusion, B2B Cross-Tenant, Retention der Entra-Logs, CIS- und ANSSI-Compliance, Tenant-weite App-Consents, externe Service Principals usw.
Diese Seite verschweigt nicht, dass Purple Knight für manche Teams weiterhin relevant bleibt: vor allem wegen der Windows-GUI, des fertigen Executive-Reportings und einzelner tenant-seitiger Einstellungen wie allowedToCreateTenants oder der Anzeige bestimmter MFA-Push-Parameter. Die zuvor dokumentierten Lücken bei CBA-/SAML-Zertifikatszustand, unresolved privileged role members und verdächtiger MFA-Aktivität sind in ETC Collector v3.0.9 jedoch nicht mehr offen.
| Kennzahl | Purple Knight Community 5.0 | ETC Collector v3.0.8 Pro |
|---|---|---|
| Scan-Dauer | 1 Min 58 (118 s) | 86 s Median über 3 Runs (86,35 / 99,11 / 79,85 s) |
| Ausgeführte Detektoren | 50 von 54 ausgewählt (4 nicht ausgewählt: zusätzliche Berechtigungen erforderlich für PIM, Mailbox, Hash Sync) | 158 registrierte Entra-Detektoren, alle mit denselben 24 Graph-Berechtigungen ausgeführt |
| Ausgelöste Findings / IOEs | 31 gefundene IOEs, 18 pass, 1 not relevant | 92 Findings in Azure-Kategorien mit count größer 0 |
| Detektionen pro Sekunde | 0,42 Indikatoren pro Sekunde | 1,07 Detektoren pro Sekunde — rund 2,5-mal mehr Arbeit auf demselben Graph-Endpoint |
| Schweregrad der emittierten Detektionen | 2 critical, 15 high, 27 medium, 8 low, 2 info | 10 critical, 31 high, 44 medium, 6 low, 1 info |
| Abdeckung Purple Knight → ETC | 31 Referenz-IOEs | 22 direkt abgedeckt, 3 teilweise, 6 Purple-Knight-spezifisch |
| Zusätzliche ETC-Familien | — | 61 Issue-Familien, die kein Purple-Knight-Indikator abdeckt |
| Hauptkategorien | Identity, Applications, Conditional Access, Guests, PIM, Config, Groups, Hybrid | Identity, Applications und SP, Conditional Access, Guests, PIM und Emergency Accounts, Config und Logging, Groups, Risk Protection, Azure Compliance |
Was sich seit dem veröffentlichten v3.0.8-Vergleich geändert hat
Der veröffentlichte Benchmark wurde mit ETC Collector v3.0.8 erstellt. Seit v3.0.9 sind mehrere damals dokumentierte Lücken geschlossen. Die Karten unten fassen den aktuellen Stand zusammen, der für die Bewertung von Purple Knight gegen den heutigen ETC-Katalog relevant ist.
AD / SI000083 — gMSA-Passwortleser
ETC Collector v3.0.9 liefert jetzt einen eigenständigen GMSA_PASSWORD_READERS-Detektor zusätzlich zu den bereits vorhandenen gMSA-Takeover-Kanten im Angriffsgraphen. Wer einen direkten Befund pro (Principal, gMSA) wollte, braucht Purple Knight für diese Kontrolle nicht mehr.
AD / SI000022 — RODC Credential Caching
ETC Collector v3.0.9 erkennt jetzt privilegiertes Credential Caching auf Read-Only Domain Controllern über den Befund RODC_PRIVILEGED_CACHING. Wenn Sie RODCs betreiben, ist diese Lücke kein Grund mehr, Purple Knight allein zu behalten.
Entra / SI000206 — App-Name und Geolokalisierung bei MFA Push
Purple Knight prüft, ob Microsoft Authenticator so konfiguriert ist, dass er den Namen der Zielanwendung und die geografische Lokalisierung der Anmeldeanfrage in den Push-Benachrichtigungen anzeigt. ETC Collector flaggt diese spezifische Authenticator-Einstellung nicht.
Entra / SI000235 — Persistenz durch Certificate-Based Authentication
ETC Collector v3.0.9 ergänzt dedizierte Abdeckung für Certificate-Based Authentication auf Anwendungen und für den Gesundheitszustand von SAML-Zertifikaten. Damit schrumpft die Lücke rund um Zertifikats-Governance deutlich, auch wenn Purple Knight seine eigene tenant-seitige Darstellung behält.
Entra / SI000207 — Tenant-Erstellung durch Nicht-Admins
Purple Knight liest das Flag allowedToCreateTenants in der Authorization Policy. ETC Collector prüft allowedToCreateApps via AZ_APP_REGISTRATION_OPEN, aber nicht die Tenant-Erstellung.
Entra / SI000093 — Report suspicious activity deaktiviert
ETC Collector v3.0.9 ergänzt MFA_SUSPICIOUS_ACTIVITY und MFA_UNUSUAL_LOCATION. Das spiegelt Purple Knights Tenant-Flag nicht exakt, schließt aber einen großen Teil der praktischen Lücke bei verdächtigem MFA-Verhalten.
Entra / SI000215 — Prüfung der SAML-SSO-Zertifikate
ETC Collector v3.0.9 ergänzt SAML_CERTIFICATE_EXPIRED, SAML_CERTIFICATE_EXPIRING_SOON und SAML_CERTIFICATE_LONG_LIFETIME. Damit erhalten SAML-Enterprise-Anwendungen eine dedizierte Zertifikatszustands-Abdeckung.
Entra / SI000237 — Unresolved privileged role members
ETC Collector v3.0.9 ergänzt UNRESOLVED_PRIVILEGED_MEMBERS und schließt damit die zuvor dokumentierte Lücke bei privilegierten Rollenzuweisungen, die sich nicht mehr auf ein gültiges Principal auflösen lassen.
Die zusätzliche Tiefe kommt aus ADCS, Graphen, Entra, ACLs und GPOs
ADCS-Taxonomie ESC1 bis ESC11
Purple Knight Community verfügt über 3 generische ADCS-Checks (SI000090, SI000156, SI000157), die in diesem Run alle Pass ergeben haben — anders gesagt, Purple Knight hat der Zertifikatsinfrastruktur ein A+ gegeben, während ETC Collector 6 Familien von SpecterOps-Exploitation-Primitives und 24 Instanzen identifiziert hat: ESC1 (EnrolleeSuppliesSubject auf Template mit Client Auth), ESC2 (Any Purpose EKU auf 3 Templates), ESC3 (Enrollment Agent ohne Einschränkung auf 4 Templates), ESC4 (gefährliche ACLs auf 12 Templates), ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2 auf der CA), ESC11 (Bypass RPC Enforcement). Jede ESC-Klasse hat ihre eigene Remediation — was die A+-Note von Purple Knight nicht sagt.
Angriffsgraph mit BFS und ACL Chains
ETC Collector dokumentiert 58 Angriffspfade auf der getesteten Domäne: 8 kritische und 50 high, mit 50 ACL_ABUSE-Ketten (GenericAll, WriteDACL, WriteOwner) und 8 DCSYNC-Ketten. Durchschnitt 1,1 Sprünge, Maximum 3 Sprünge, 41 unterschiedliche erreichte privilegierte Ziele. Purple Knight modelliert keine Angriffspfade: Seine 119 Indikatoren werden einzeln bewertet, ohne Verkettung. Wenn Sie diesen Level in Purple Knight wollen, brauchen Sie ein separates Tool wie BloodHound oder Forest Druid.
ETC-spezifische Entra-Tiefe
Mit denselben 24 Graph-Berechtigungen hat ETC Collector 61 Finding-Familien gemeldet, die kein Purple-Knight-Community-Indikator abdeckt: 944 Service Principals aus Drittanbieter-Tenants, 935 ohne Eigentümer, 1.099 verwaiste Entra-Gruppen, 38 Apps ohne Eigentümer, 29 Apps mit Implicit Flow, 22 Tenant-weit gewährte Consents, 14 Multi-Tenant-Apps, 14 nicht untersuchte risky sign-ins, 9 nicht remediierte Risikobenutzer, fehlende Break-Glass-Konten, fehlende Gast-Access-Review, ein Gast mit privilegierter Rolle, keine CA-Richtlinie, die Legacy Auth blockiert, 6 in Report-only festsitzende CA-Richtlinien usw.
ACL- und GPO-Granularität über die gesamte Domäne
ETC Collector hat 6.029 Instanzen ACL-bezogener Findings auf der getesteten Domäne produziert, verteilt auf 14 Detektor-Typen: 1.193 ACL_WRITEDACL, 1.193 ACL_WRITEOWNER, 1.160 ACL_GENERICALL, 1.193 EVERYONE_IN_ACL, 100 COMPUTER_ACL_GENERICALL, 97 WRITESPN_ABUSE und mehr. Das ist das Rohmaterial des Angriffsgraphen. Auf GPO-Seite haben 21 Finding-Typen ausgelöst, die den Schutz von Credentials (WDigest, LSA, Credential Guard), das Registry-Hardening (LLMNR, NBT-NS, Hardened UNC, NetCease), Defender ASR, Firewall-Policy und gefährliche Logon-Skripte abdecken. Purple Knight hat 1 GPO-IOE (SI000032) und insgesamt 11 GPO-Indikatoren geflaggt.
Compliance CIS, NIST, ANSSI und DISA STIG
ETC Collector enthält 23 dedizierte Compliance-Detektoren, die die Domäne gegen CIS Microsoft Windows Server Benchmark, NIST 800-53 Rev 5 / 800-171, ANSSI-AD-Guide und DISA STIG Windows Server bewerten. Jedes Compliance-Finding wird mit der Kontroll-ID gemeldet, die es verletzt. Purple Knight taggt einige Indikatoren in den Report-Spalten mit MITRE-ATT&CK-TTPs und ANSSI-Referenzen, bewertet die Domäne aber nicht gegen ein vollständiges Framework. Für eine regulierte Organisation ist das der strukturierendste Unterschied.
Lizenz und Open-Source-Modell
Purple Knight Community ist ein geschlossenes Binary, das unter Semperis-EULA verteilt wird — der Quellcode ist nicht öffentlich, keine Modifikation erlaubt. ETC Collector Community wird unter Apache-2.0-Lizenz mit vollständigem Quellcode auf GitHub veröffentlicht: kommerzielle Nutzung erlaubt, Modifikation erlaubt, Weiterverbreitung erlaubt, Audit des Codes, der auf Ihren DCs läuft, möglich. ETC Collector Pro fügt die ADCS-ESC1–ESC11-Detektoren, die Angriffsgraphen und die 10 Risk-Protection-Detektoren von Entra ID unter einer separaten proprietären Lizenz hinzu.
Geschwindigkeit und Delivery-Modell verändern, wer den Review starten kann
Eine Windows-GUI ist nicht per se ein Defekt, aber sie begrenzt, wer das Tool bedienen kann. Wenn der Identity-Review von einem stark Windows-orientierten Team getragen und gelegentlich gestartet wird, kann Purple Knight weiterhin komfortabel bleiben. Muss der Workflow auf Servern, in Containern oder im CI laufen, wird dieses Modell schnell zur Reibung.
Der Geschwindigkeitsunterschied verändert vor allem die Taktung auf AD-Seite. Ein Median-Run von 1,01 Sekunden ist schnell genug, um nach einem Hardening oder einer Änderung zum Validierungsschritt zu werden und nicht nur ein periodisches Ritual zu bleiben. Auf Entra ist der Hauptnutzen die Breadth der Checks und nicht die reine Geschwindigkeit.
| Frage | Purple Knight | ETC Collector |
|---|---|---|
| Beobachtete AD-Runtime | 2 Min 55 | 1,01 s Median |
| Beobachtete Entra-Runtime | 1 Min 58 | 86 s Median |
| Primäres Modell | Windows-GUI | Plattformübergreifende CLI |
| Linux/macOS-Support | Nein | Ja |
| Headless-Automatisierung | Begrenzt | Ja |
| ADCS-ESC-Taxonomie | Generisch / partiell | ESC1 bis ESC11 auf Pro |
| Entra-Tiefe | Echte Entra-Indikatoren, einige PK-only | Breiterer Katalog und granularere Findings |
Wann Purple Knight weiter Sinn ergibt und wann ETC stärker wird
Purple Knight ergibt weiter Sinn, wenn ein Team eine vertraute Windows-GUI, Kategoriebewertungen und bestimmte spezifische Checks höher bewertet als Automatisierung oder Scope-Erweiterung. ETC wird stärker, wenn der Review außerhalb von Windows laufen muss, wenn die Organisation mehr Objektdetails will oder wenn derselbe Workflow AD und Entra mit strukturierter Ausgabe abdecken muss.
Die eigentliche Frage ist daher nicht „welche Marke ist besser“, sondern ob Betriebsmodell und Programmperimeter über das hinausgewachsen sind, was ein Windows-GUI-Indikator-Review komfortabel leisten kann.
- Behalten Sie Purple Knight, wenn die Hauptanforderung ein Windows-GUI-Review mit Kategoriefokus ist oder wenn die oben aufgelisteten PK-only-Checks blockieren.
- Wählen Sie ETC Collector, wenn Sie Automatisierung, Cross-Platform-Ausführung, ADCS ESC, Angriffsgraphen oder breitere Entra-Tiefe brauchen.
- Nutzen Sie EtcSec, wenn der Collector zusätzlich Dashboard, Historie, Scheduling und zentrale Remediation-Sicht liefern soll.
Häufige Fragen
Welchen Anteil von Purple Knight deckt ETC Collector ab?
Auf AD-Seite dokumentiert der Benchmark 115 von 119 Purple-Knight-Indikatoren als vollständig abgedeckt, 2 teilweise, 2 Hybrid nicht anwendbar und alle 49 Purple-Knight-IOEs als von ETC Collector gematcht.
Welches ist die wichtigste Kennzahl?
Auf AD-Seite der vollständige IOE-Match: ETC Collector matcht jeden Purple-Knight-Indikator in IOE Found im veröffentlichten Run. Auf Entra-Seite ist die nützlichste Kennzahl die Kombination aus Breadth und Grenzen: 92 Findings in Azure-Kategorien auf ETC-Seite, mit 22 direkt abgedeckten Purple-Knight-IOEs, 3 teilweise und 6 PK-only.
Was fügt ETC Collector über Purple Knight hinaus hinzu?
Der Benchmark hebt die ADCS-ESC1-bis-ESC11-Analyse, Angriffsgraphen, breitere Entra-Abdeckung, granulare ACL- und GPO-Findings, ein plattformübergreifendes CLI/API-Modell und Compliance-Mappings hervor.
In welchen Fällen bleibt Purple Knight passend?
Es bleibt passend für Teams, die eine Windows-GUI, einen bereits polierten Executive-Report oder tenant-seitige Einstellungen wie allowedToCreateTenants und bestimmte MFA-Prompt-Parameter priorisieren.
Verwandte Seiten zur Identity Security
Sehen Sie die breitere AD-Abdeckung hinter den in diesem Vergleich erwähnten technischen Findings.
Prüfen Sie die Cloud-Tiefe und die strukturierten Entra-Findings, die in diesem Benchmark erwähnt werden.
Verstehen Sie die Collector-Modi, die API-Oberfläche und warum das CLI-Modell zählt.
Vergleichen Sie die Collection-Engine mit der SaaS-Schicht für Trending und Tracking.
Vergleichen Sie Ihren aktuellen Purple-Knight-Workflow mit ETC Collector
Nutzen Sie den AD-IOE-Match, die Entra-Kennzahlen und die dokumentierten Grenzen jedes Tools als Baseline und testen Sie dann, ob ein plattformübergreifender Collector besser zu Ihrem Betriebsmodell passt als ein Windows-GUI-Review.