Collector de seguridad de identidad
Diseñado para auditorías repetibles
ETC Collector es el motor de evidencia detrás de las revisiones de Active Directory y Microsoft Entra ID de EtcSec. Es un collector en Go que soporta operación local standalone, modo daemon enrolado en SaaS, acceso API REST y ejecución recurrente sin requerir agentes en controladores de dominio.
La documentación publicada lo presenta como un pipeline de collection → parsing → analysis → graph → response, con soporte para LDAP o LDAPS, SMB para SYSVOL y análisis GPO, Microsoft Graph API, sondas de red opcionales y salida JSON estructurada.
curl -fsSL https://get.etcsec.com/install-pro.sh | sudo bash -s -- --mode server --token="<verify-in-popup>"Verifique su correo en el popup y luego copie el comando server en una línea con un token de corta duración.
Por qué el collector es más que un pequeño binario de auditoría
Recopilación en solo lectura en AD y Entra
LDAP o LDAPS, SMB para SYSVOL y lecturas Microsoft Graph se combinan en el mismo workflow. No se requiere mutación del directorio para recopilar la evidencia.
- Usuarios, grupos, equipos, GPO, trusts, ACL y ADCS
- Aplicaciones, service principals, políticas de CA y roles privilegiados
- Las sondas de red opcionales siguen siendo controles opt-in explícitos
Motor de detección modular
La documentación de arquitectura describe un sistema modular de providers y detectores con ejecución concurrente y análisis de grafos de ataque sobre los objetos recopilados.
- Ejecución paralela de detectores
- Salida JSON estructurada
- Soporte de attack graph en workflows Pro
Operación local productiva
El modo standalone server expone una GUI web local y una API REST en el puerto 8443, lo que permite usar el collector sin conexión SaaS.
- GUI local con dashboard e historial de jobs
- API REST bajo /api/v1
- Generación de JWT de automatización mediante GUI token
Un collector que también escala a flotas gestionadas
El modo daemon consulta la plataforma SaaS, ejecuta comandos, reporta salud y puede actualizarse a sí mismo manteniendo la recopilación local en el entorno del cliente.
- Bucle de polling cada 30 segundos por defecto
- Almacenamiento cifrado local de credenciales tras el enrolamiento
- Pensado para un collector por sitio o dominio
Dos modos operativos, un único motor de recopilación
Use el modo standalone server cuando todo deba permanecer local, o enrole el daemon cuando quiera que la plataforma SaaS orqueste y siga el collector.
Abrir el popup de instalación
Introduzca su correo, valide el código de seis dígitos y copie un comando server en una línea con un token temporal.
Configurar las fuentes
Apunte el collector a LDAP o LDAPS, SYSVOL y, opcionalmente, Microsoft Graph. El modo daemon también puede recibir configuración desde la plataforma.
Ejecutar server o daemon
El modo standalone inicia la GUI local y la API. El modo daemon se enrola en la plataforma SaaS y consulta comandos manteniendo la recopilación local.
El collector está diseñado para ser explicable bajo revisión
Entradas en solo lectura
La documentación publicada describe LDAP o LDAPS y lecturas SMB para AD, además de lecturas Graph para Entra. El collector no está pensado para escribir de vuelta en esos sistemas durante la auditoría normal.
- Sin agentes instalados en controladores de dominio
- Sin mutación de GPO ni del directorio
- Las sondas de red siguen siendo opt-in
Controles de exposición local-first
El modo standalone ejecuta una API y GUI locales. En modo daemon, la GUI local se liga a 127.0.0.1 por defecto salvo que el operador habilite explícitamente exposición en red.
- GUI y API standalone en :8443
- GUI del daemon desactivada en interfaces de red por defecto
- La automatización JWT utiliza el flujo de GUI token
Gestión de credenciales y operación de flota
El enrolamiento almacena credenciales localmente en forma cifrada. La documentación también describe staging de actualizaciones binarias y lógica de watcher restart para el modo daemon.
- El token de enrolamiento no se guarda en texto plano
- Ruta de unenroll best-effort
- Flujo de actualización automática con validación de checksum
Cómo se ejecuta ETC Collector en entornos reales
Modo standalone server
Ejecute `etc-collector server` para exponer la GUI local y la API REST. Este modo resulta útil para revisión local, entornos air-gapped y evaluaciones puntuales guiadas por API.
Modo daemon para collectors gestionados
Ejecute `etc-collector daemon` tras el enrolamiento para consultar la plataforma SaaS, ejecutar auditorías localmente y reportar resultados y salud de forma centralizada.
API y automatización
La API local bajo `/api/v1` soporta creación de JWT y lanzamientos de auditoría programáticos, lo que hace que el collector sea usable desde scripts, SIEM y pipelines CI.
Seguimiento central a través de EtcSec
El collector permanece local al entorno, mientras EtcSec aporta dashboards, scheduling y seguimiento histórico para las organizaciones que lo necesitan.
Cobertura e interfaces expuestas por el collector
Detection providers
Active Directory
Activo · 340 detecciones · Pro / Full editionMicrosoft Entra ID
Activo · 158 detecciones · Pro / Full editionOperating modes
API standalone
ActivoExpose the local REST API and web GUI for standalone, local-first audits.
Modo daemon de flota
ActivoEnroll the collector as a SaaS daemon to run centrally managed recurring audits while collection stays local.
Cómo ETC Collector se ejecuta, se integra y escala
La documentación muestra cómo se despliega ETC Collector, qué interfaces expone y cómo se articulan la recolección Community y la capa operativa de EtcSec.
Standalone server frente a SaaS daemon
El modo standalone es útil cuando todo debe permanecer local o cuando el equipo de seguridad quiere automatizar directamente alrededor de la API local. El modo daemon es útil cuando un equipo central quiere orquestar varios collectors en múltiples sitios o dominios sin renunciar a la recopilación local.
Lo importante es que ambos modos comparten el mismo motor de recopilación. La diferencia está en cómo se opera el collector y dónde se observa el workflow, no en si uno de los modos tiene una base de evidencia distinta.
| Modo | Qué hace | Mejor encaje |
|---|---|---|
| Standalone server | Expone una GUI local y una API REST en el puerto 8443 sin dependencia SaaS | Air-gapped, solo local o revisiones puntuales guiadas por API |
| SaaS daemon | Consulta la plataforma para comandos, ejecuta localmente y reporta resultados y salud de forma central | Flotas gestionadas, auditorías recurrentes, operación multisede |
La arquitectura publicada es collection, parsing, analysis, graph, response
La documentación de arquitectura describe explícitamente un sistema modular de providers y detectores con ejecución concurrente. Desde la perspectiva de producto, eso muestra que ETC Collector no es un script ad hoc, sino un motor de auditoría modular con abstracción por provider y análisis de grafos sobre los objetos recopilados.
Para los operadores, el beneficio práctico es la claridad. Se puede explicar exactamente qué hace el collector, qué objetos recupera y cómo emergen los hallazgos de esos objetos. Eso resulta más defendible en change control que un mensaje difuso del tipo “confíe en nosotros, escanea el dominio”.
Qué recopila realmente el collector y por qué importa
Esta mezcla de fuentes explica por qué el collector puede hablar tanto de configuración de identidad como de los controles alrededor de la identidad. No se queda en metadatos de directorio: también alcanza la capa de GPO y policy que determina si el robo de credenciales o la ejecución remota son fáciles.
| Fuente | Ejemplos | Por qué importa |
|---|---|---|
| Active Directory vía LDAP | Usuarios, grupos, equipos, trusts, dominios y ACL | Relaciones núcleo de identidad y privilegio |
| SYSVOL vía SMB | registry.pol, GptTmpl.inf y scripts | Visibilidad de GPO, hardening y fuga de credenciales |
| Microsoft Graph API | Usuarios, grupos, aplicaciones, políticas de CA y asignaciones de roles | Postura cloud y seguridad del plano de control |
| Sondas opcionales | Spooler, TLS, DNS o superficies de web enrollment | Detección de relay y transportes débiles |
Dónde termina la edición Community y dónde empiezan workflows más ricos
La distinción importante de producto no es solo una puerta de funciones. La pregunta real es si solo necesita el motor de recopilación o también la capa operativa alrededor: dashboards, orquestación multisede y workflow de remediación.
| Capacidad | Community | Pro / EtcSec |
|---|---|---|
| Detecciones de Active Directory | Sí | Sí |
| Detecciones de Microsoft Entra ID | Sí | Sí |
| Modo local standalone | Sí | Sí |
| Gestión daemon desde SaaS | Funciona con EtcSec | Sí |
| Análisis ADCS ESC | Ampliado en workflows Pro | Sí |
| Análisis de grafos de ataque | Ampliado en workflows Pro | Sí |
| Dashboards, histórico, scheduling | No | Sí |
Por qué la superficie API y el flujo daemon importan en la práctica
El standalone server expone `/api/v1` y soporta generación de JWT mediante el GUI token. Eso hace que el collector pueda utilizarse desde scripts, pipelines CI o integraciones SIEM. El flujo daemon añade reporting de salud, comandos remotos y gestión de actualizaciones para equipos que administran múltiples collectors.
Con ello, el collector sigue siendo útil para revisiones recurrentes, automatización y modelos local-first sin perder control sobre la recolección.
Dónde EtcSec aporta más que el collector por sí solo
El collector es el motor de evidencia. EtcSec añade dashboards, trending histórico, scheduling y una capa operativa más amplia para equipos que necesitan seguimiento central y no solo ejecución local.
- Seguimiento histórico y revisión de tendencias
- Orquestación multisede
- Programación de auditorías recurrentes
- Dashboard y workflow de remediación
- Visibilidad transversal más allá del JSON local
- Una capa central alrededor del mismo motor de recopilación
Explore las páginas de identidad que apoyan este tema
Explore páginas detalladas sobre Active Directory, Entra ID, el despliegue de ETC Collector y comparativas directas de producto.
Revise la landing page centrada en Tier 0, Kerberos, delegación, ADCS y prioridades de remediación.
Vea la página de Entra ID sobre Conditional Access, MFA, PIM, permisos de aplicaciones y exposición de invitados.
Compare PingCastle con ETC Collector para auditorías AD recurrentes y flujos de colección en modo standalone.
Compare Purple Knight con ETC Collector para revisiones AD y Entra ID con seguimiento recurrente.
Revise ETC Collector, sus modos de despliegue local y cómo los equipos ejecutan auditorías standalone o recurrentes.
Explore el collector antes de decidir hasta dónde industrializarlo
Empiece con el collector open-source si necesita recopilación local de evidencia. Añada EtcSec cuando ese mismo motor también deba aportar dashboard, scheduling y seguimiento central de remediación.