Una alternativa a Purple Knight con evidencia AD, Entra y límites sin edulcorar
Este benchmark compara Purple Knight Community 5.0 y ETC Collector v3.0.8 Pro sobre un entorno Active Directory y un tenant Entra ID de producción, ejecutados con la misma configuración de acceso el 10 de abril de 2026. En el lado Active Directory, ETC Collector cubre 115 indicadores Purple Knight de 119, empareja la totalidad de los 49 IOEs que Purple Knight señala y termina el escaneo con una mediana de 1,01 segundos frente a 2 minutos 55 de Purple Knight, es decir, unas 173 veces más rápido.
En el lado Entra ID, el resultado es más matizado: ambas herramientas están limitadas por Microsoft Graph. Aun así, ETC Collector termina con una mediana de 86 segundos frente a 1 minuto 58 de Purple Knight, con 92 findings Azure-category emitidos frente a 31 IOEs de Purple Knight — aproximadamente 3 veces más detecciones en un 40 por ciento menos de tiempo. Purple Knight conserva, sin embargo, 6 checks Entra y 2 checks AD donde sigue siendo más fuerte, y esta página los enumera íntegramente.
Cómo se ejecutó el side-by-side de Purple Knight
Las cifras de esta página provienen de un benchmark ejecutado el 10 de abril de 2026 por el mismo equipo, sobre un entorno Active Directory y un tenant Entra ID de producción. Todos los identificadores técnicos (nombre de dominio, controladores, direcciones IP, tenant ID, app registration, rutas de informes) se han eliminado de la versión pública.
En el lado Active Directory, el informe Purple Knight proviene de una ejecución anterior realizada desde el controlador de dominio con la cuenta Administrator y la selección de indicadores AD por defecto; la medición del tiempo se toma directamente del informe Excel de Purple Knight. Las ejecuciones de ETC Collector se lanzaron desde un host Linux, 5 veces seguidas, con network probes activados. Se utiliza la mediana de las ejecuciones ETC (1,03 s, 1,01 s, 1,02 s, 0,99 s, 1,00 s, es decir, 1,01 s).
En el lado Entra ID, ambas herramientas se ejecutaron el 10 de abril de 2026 dentro de una ventana de 30 minutos, con la misma app registration y los mismos 24 permisos de Microsoft Graph (Application.Read.All, Directory.Read.All, IdentityRiskEvent.Read.All, Policy.Read.All, RoleManagement.Read.Directory, UserAuthenticationMethod.Read.All, etc.). Purple Knight Community 5.0 seleccionó 50 indicadores de 54: 4 no pudieron ejecutarse por falta de permisos adicionales (ámbitos PIM específicos, acceso a mailbox y hash sync readiness). ETC Collector ejecutó sus 158 detectores con exactamente el mismo conjunto de 24 permisos.
Algunos contadores reales de la ejecución ETC Collector del 10 de abril de 2026, con los indicadores Purple Knight equivalentes.
Cuándo Purple Knight deja de encajar en el modelo operativo
Purple Knight sigue siendo útil para revisiones puntuales con reporting ejecutivo Windows. Los equipos suelen buscar una alternativa cuando quieren automatizar, cubrir AD y Entra juntos o explotar findings estructurados en lugar de indicadores GUI.
Necesita un workflow Linux o CI
Purple Knight sigue centrado en Windows y una GUI interactiva. Los equipos que lanzan auditorías desde servidores Linux, contenedores, trabajos planificados o CI necesitan una CLI o API headless.
Quiere más profundidad Entra explotable
Purple Knight Community 5.0 tiene indicadores Entra reales, pero el benchmark muestra a ETC Collector con un catálogo más amplio, más findings Azure-category emitidos y categorías como Conditional Access, guests, aplicaciones, risk protection y cumplimiento.
Necesita más que categorías PASS o FAIL
Purple Knight destaca en la puntuación de indicadores, pero muchos operadores también necesitan findings nombrados, contexto de grafo y listas de objetos precisas detrás de la nota.
Quiere automatizar y repetir la revisión
Si el equipo de seguridad quiere relanzar la misma revisión tras una limpieza de privilegios o un cambio de policy, un collector no interactivo se integra mejor que un flujo GUI-first.
Cómo evaluar seriamente una alternativa a Purple Knight
La cobertura de indicadores importa, pero la evaluación práctica también debe mirar el match sobre los IOEs realmente encontrados, los límites propios de cada herramienta, el soporte de plataforma, el alcance Entra y la explotabilidad del resultado en operación recurrente.
Cobertura del conjunto de indicadores publicado
El benchmark documenta 115 indicadores AD Purple Knight de 119 plenamente cubiertos, dos cubiertos parcialmente y dos indicadores Hybrid no aplicables en la ejecución AD.
Calidad del match sobre los IOEs realmente encontrados
La métrica más útil para decidir es el match sobre los IOEs: en el lado AD, ETC Collector empareja los 49 indicadores que disparaban en la ejecución de Purple Knight.
Lo que añade la alternativa más allá de las notas
Las familias ADCS ESC, los grafos de ataque, los findings Entra más amplios, las ACL granulares, los GPO y los mapeos de cumplimiento amplían la revisión más allá de las categorías PASS o FAIL.
Adecuación al despliegue real
Una CLI multiplataforma puede instalarse en Linux, macOS, Windows o Docker. Eso cambia quién puede operar la herramienta y con qué frecuencia puede relanzarse la revisión.
Dónde encaja ETC Collector y dónde conserva fortalezas Purple Knight
Purple Knight sigue siendo útil cuando un equipo quiere una revisión Windows GUI reconocible y un informe ejecutivo listo para compartir. ETC Collector se vuelve más adecuado en cuanto la necesidad se orienta a la automatización, ADCS, Entra ID, los grafos de ataque o findings estructurados.
ETC Collector encaja en una revisión operativa repetible
Si la revisión debe ejecutarse desde Linux, Docker, CI o workflows API, ETC Collector es más sencillo de industrializar.
Purple Knight conserva checks precisos que el benchmark reconoce
Purple Knight se diferencia hoy sobre todo por su experiencia Windows nativa, su informe ejecutivo y algunos controles tenant-side como allowedToCreateTenants o ciertos parámetros de presentación MFA.
La cuestión de la migración depende de la plataforma y el alcance
La mayoría de los equipos se mueve cuando necesita ejecución multiplataforma, profundidad Entra o más detalle técnico detrás de la capa de indicadores.
EtcSec añade la capa de explotación alrededor del collector
El trending histórico, la orquestación central, los dashboards y el workflow de remediación vienen de EtcSec por encima de ETC Collector.
Lo que realmente muestra el benchmark Purple Knight actualizado
El benchmark Purple Knight en la documentación de ETC Collector desglosa la cobertura AD, los parciales, los findings exclusivos de ETC, la comparación Entra ID, el rendimiento y los límites de ambas herramientas. Esta página reproduce esos datos sin publicar los identificadores del entorno.
La cobertura por categoría Purple Knight en el lado Active Directory
Esto es lo que hace la comparativa más útil que un simple “tenemos más checks”. Purple Knight y ETC Collector se solapan fuertemente en los findings AD que realmente estaban disparando en el entorno publicado. La comparativa dice por tanto algo concreto sobre la viabilidad de un reemplazo en el lado AD.
Los parciales están documentados sin maquillaje. Las diferencias AD antes resaltadas sobre lectores de contraseñas gMSA y RODC credential caching ya están cerradas en ETC Collector v3.0.9, así que las diferencias restantes están más en la presentación, el workflow y algunos ajustes tenant-side.
| Área Purple Knight | Indicadores totales | Cubiertos | Parciales | No cubiertos / N.A. |
|---|---|---|---|---|
| AD Delegation | 19 | 18 | 1 | 0 |
| Account Security | 34 | 34 | 0 | 0 |
| AD Infrastructure | 34 | 33 | 1 | 0 |
| Group Policy | 11 | 11 | 0 | 0 |
| Kerberos | 19 | 19 | 0 | 0 |
| Hybrid | 2 | 0 | 0 | 2 N/A |
El match completo de los IOEs AD es la señal de migración más fuerte
Los porcentajes de cobertura son útiles, pero la métrica operativamente decisiva es el match sobre los indicadores en IOE Found. La ejecución publicada muestra a ETC Collector alineado con cada indicador Purple Knight que realmente disparaba en el lado AD.
La diferencia es importante porque muchos catálogos contienen PASS o N/A que no cambian la siguiente remediación. Un match completo sobre los IOEs AD muestra que ambas herramientas están alineadas sobre los problemas reales del dominio probado.
En Entra ID, la diferencia es de breadth, no una brecha de 170x
En Entra ID, el factor limitante de ambas herramientas es Microsoft Graph: latencia de red, paginación y throttling. La diferencia de velocidad es de 1,4 veces y no de 170 veces como en Active Directory. Pero dentro de ese mismo presupuesto de red, ETC Collector ejecuta unas 3 veces más detectores y surface unas 3 veces más familias de findings, porque comparte el grafo de objetos entre detectores y paraleliza agresivamente las llamadas Graph independientes.
Purple Knight Community 5.0 no está vacío en Entra — contiene 57 indicadores AAD en total. La cuestión del benchmark no es una diferencia de 2 frente a 158, sino una diferencia de 50 frente a 158 sobre el conjunto ejecutado, y una diferencia de 31 frente a 92 sobre los findings realmente remontados. ETC Collector surface además categorías ausentes del catálogo Purple Knight Community: cuentas emergency break-glass y exclusión CA, B2B cross-tenant, retención de los logs Entra, cumplimiento CIS y ANSSI, app consents tenant-wide, service principals externos, etc.
Esta página no oculta que Purple Knight sigue siendo pertinente para ciertos equipos: sobre todo por su GUI Windows, su reporting ejecutivo y algunos ajustes tenant-side como allowedToCreateTenants o la presentación de determinados prompts MFA. Pero las brechas antes documentadas en torno a CBA/SAML, unresolved privileged role members y actividad MFA sospechosa ya no siguen abiertas en ETC Collector v3.0.9.
| Métrica | Purple Knight Community 5.0 | ETC Collector v3.0.8 Pro |
|---|---|---|
| Duración del escaneo | 1 min 58 (118 s) | 86 s mediana sobre 3 ejecuciones (86,35 / 99,11 / 79,85 s) |
| Detectores ejecutados | 50 seleccionados de 54 (4 no seleccionados: permisos adicionales requeridos para PIM, mailbox, hash sync) | 158 detectores Entra registrados, todos ejecutados con los mismos 24 permisos Graph |
| Findings / IOEs emitidos | 31 IOEs encontrados, 18 pass, 1 not relevant | 92 findings Azure-category con count mayor que 0 |
| Detecciones por segundo | 0,42 indicadores por segundo | 1,07 detectores por segundo — unas 2,5x más trabajo sobre el mismo endpoint Graph |
| Severidad de las detecciones emitidas | 2 critical, 15 high, 27 medium, 8 low, 2 info | 10 critical, 31 high, 44 medium, 6 low, 1 info |
| Cobertura Purple Knight → ETC | 31 IOEs de referencia | 22 cubiertos directamente, 3 parcialmente, 6 específicos de Purple Knight |
| Familias adicionales ETC | — | 61 familias de issues que ningún indicador Purple Knight cubre |
| Categorías principales | Identity, Applications, Conditional Access, Guests, PIM, Config, Groups, Hybrid | Identity, Applications y SP, Conditional Access, Guests, PIM y emergency accounts, Config y logging, Groups, Risk Protection, Azure Compliance |
Qué cambió desde la comparación publicada en v3.0.8
El benchmark publicado se produjo con ETC Collector v3.0.8. Desde v3.0.9, varias de las brechas documentadas entonces ya están cerradas. Las tarjetas de abajo resumen el estado vivo que importa al evaluar Purple Knight frente al catálogo ETC actual.
AD / SI000083 — Lectores de contraseñas gMSA
ETC Collector v3.0.9 ya incorpora un detector autónomo GMSA_PASSWORD_READERS además de las aristas de takeover gMSA presentes en el grafo de ataque. Si necesitaba un hallazgo directo por pareja (principal, gMSA), Purple Knight ya no es necesario para este control concreto.
AD / SI000022 — RODC credential caching
ETC Collector v3.0.9 detecta ahora el caché de credenciales privilegiadas en Read-Only Domain Controllers mediante el hallazgo RODC_PRIVILEGED_CACHING. Si opera RODCs, este hueco ya no es un motivo para quedarse solo con Purple Knight.
Entra / SI000206 — Nombre de app y geolocalización en MFA push
Purple Knight comprueba si Microsoft Authenticator está configurado para mostrar el nombre de la aplicación objetivo y la localización geográfica de la solicitud de inicio de sesión en las notificaciones push. ETC Collector no marca este parámetro Authenticator específico.
Entra / SI000235 — Certificate-Based Authentication persistence
ETC Collector v3.0.9 añade cobertura dedicada para la autenticación basada en certificados en aplicaciones y para la salud de certificados SAML. Eso reduce de forma sustancial la brecha de gobernanza de certificados, aunque Purple Knight conserve su propia presentación tenant-side.
Entra / SI000207 — Creación de tenants por no administradores
Purple Knight lee el flag allowedToCreateTenants en la policy de autorización. ETC Collector comprueba allowedToCreateApps vía AZ_APP_REGISTRATION_OPEN pero no la creación de tenants.
Entra / SI000093 — Report suspicious activity desactivado
ETC Collector v3.0.9 añade MFA_SUSPICIOUS_ACTIVITY y MFA_UNUSUAL_LOCATION. No replica exactamente el flag tenant de Purple Knight, pero sí cierra buena parte de la brecha práctica sobre MFA sospechoso.
Entra / SI000215 — Revisión de los certificados SAML SSO
ETC Collector v3.0.9 añade SAML_CERTIFICATE_EXPIRED, SAML_CERTIFICATE_EXPIRING_SOON y SAML_CERTIFICATE_LONG_LIFETIME, dando cobertura dedicada a la salud de certificados en aplicaciones SAML.
Entra / SI000237 — Unresolved privileged role members
ETC Collector v3.0.9 añade UNRESOLVED_PRIVILEGED_MEMBERS y cierra así la brecha antes documentada sobre asignaciones de roles privilegiados que ya no resuelven contra un principal válido.
La profundidad adicional viene de ADCS, grafos, Entra, ACLs y GPOs
Taxonomía ADCS ESC1 a ESC11
Purple Knight Community dispone de 3 checks ADCS genéricos (SI000090, SI000156, SI000157) que pasaron todos en esta ejecución — dicho de otro modo, Purple Knight dio un A+ a la infraestructura de certificados mientras que ETC Collector identificó 6 familias de primitivas de explotación SpecterOps y 24 instancias: ESC1 (EnrolleeSuppliesSubject sobre template con client auth), ESC2 (Any Purpose EKU sobre 3 templates), ESC3 (Enrollment Agent sin restricción sobre 4 templates), ESC4 (ACL peligrosas sobre 12 templates), ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2 sobre el CA), ESC11 (bypass RPC enforcement). Cada clase ESC tiene su propia remediación — lo que la nota A+ de Purple Knight no dice.
Grafo de ataque con BFS y ACL chains
ETC Collector documenta 58 rutas de ataque sobre el dominio probado: 8 críticas y 50 high, con 50 cadenas ACL_ABUSE (GenericAll, WriteDACL, WriteOwner) y 8 cadenas DCSYNC. Media de 1,1 saltos, máximo 3 saltos, 41 objetivos privilegiados distintos alcanzados. Purple Knight no modela las rutas de ataque: sus 119 indicadores se puntúan individualmente, sin encadenado. Si quiere este nivel en Purple Knight, hace falta una herramienta separada como BloodHound o Forest Druid.
Profundidad Entra específica de ETC
Sobre los mismos 24 permisos Graph, ETC Collector remontó 61 familias de findings que ningún indicador Purple Knight Community cubre: 944 service principals procedentes de tenants terceros, 935 sin propietario, 1 099 grupos Entra huérfanos, 38 apps sin propietario, 29 apps con implicit flow, 22 consents concedidos a nivel de tenant, 14 multi-tenant apps, 14 risky sign-ins no investigados, 9 risky users no remediados, ausencia de cuentas break-glass, ausencia de revisión de accesos invitados, un guest con un rol privilegiado, ninguna estrategia CA bloqueando la legacy auth, 6 políticas CA atascadas en report-only, etc.
Granularidad ACL y GPO sobre la totalidad del dominio
ETC Collector produjo 6 029 instancias de findings ACL-related sobre el dominio probado, repartidas en 14 tipos de detectores: 1 193 ACL_WRITEDACL, 1 193 ACL_WRITEOWNER, 1 160 ACL_GENERICALL, 1 193 EVERYONE_IN_ACL, 100 COMPUTER_ACL_GENERICALL, 97 WRITESPN_ABUSE, y más. Es la materia prima del grafo de ataque. En el lado GPO, dispararon 21 tipos de findings, cubriendo la protección de las credenciales (WDigest, LSA, Credential Guard), el hardening de registro (LLMNR, NBT-NS, Hardened UNC, NetCease), Defender ASR, la policy de firewall y los scripts logon peligrosos. Purple Knight marcó 1 IOE GPO (SI000032) y 11 indicadores GPO en total.
Cumplimiento CIS, NIST, ANSSI y DISA STIG
ETC Collector embarca 23 detectores de cumplimiento dedicados que puntúan el dominio contra CIS Microsoft Windows Server Benchmark, NIST 800-53 Rev 5 / 800-171, ANSSI AD guide y DISA STIG Windows Server. Cada finding de cumplimiento se reporta con el identificador de control que viola. Purple Knight etiqueta algunos indicadores con TTPs MITRE ATT&CK y referencias ANSSI en las columnas del informe, pero no puntúa el dominio contra un referencial completo. Para una organización regulada, es el delta más estructurante.
Licencia y modelo open source
Purple Knight Community es un binario cerrado distribuido bajo EULA Semperis — el código fuente no es público, no se permite ninguna modificación. ETC Collector Community se publica bajo licencia Apache 2.0 con código fuente completo en GitHub: uso comercial autorizado, modificaciones autorizadas, redistribución autorizada, auditoría posible del código que se ejecuta en sus DCs. ETC Collector Pro añade los detectores ADCS ESC1–ESC11, los grafos de ataque y los 10 detectores Risk Protection de Entra ID bajo una licencia propietaria distinta.
Velocidad y modelo de entrega cambian quién puede lanzar la revisión
Una GUI Windows no es un defecto por sí misma, pero limita quién puede operar la herramienta. Si la revisión de identidad la lleva un equipo muy Windows y se ejecuta ocasionalmente, Purple Knight puede seguir siendo cómoda. Si el workflow debe ejecutarse en servidores, contenedores o CI, ese modelo se convierte rápidamente en fricción.
La diferencia de velocidad cambia sobre todo la cadencia AD. Una ejecución mediana de 1,01 segundos es lo bastante rápida como para convertirse en un paso de validación después de un endurecimiento o un cambio, y no solo en un ritual periódico. En Entra, la principal ventaja es la amplitud de checks más que la velocidad bruta.
| Pregunta | Purple Knight | ETC Collector |
|---|---|---|
| Runtime AD observado | 2 min 55 | Mediana 1,01 s |
| Runtime Entra observado | 1 min 58 | Mediana 86 s |
| Modelo principal | GUI Windows | CLI multiplataforma |
| Soporte Linux/macOS | No | Sí |
| Automatización headless | Limitada | Sí |
| Taxonomía ADCS ESC | Genérica / parcial | ESC1 a ESC11 en Pro |
| Profundidad Entra | Indicadores Entra reales, varios PK-only | Catálogo más amplio y findings más granulares |
Cuándo Purple Knight sigue teniendo sentido y cuándo ETC se vuelve más fuerte
Purple Knight sigue teniendo sentido cuando un equipo valora una GUI Windows conocida, las notas por categoría y checks específicos más que la automatización o la extensión de alcance. ETC se vuelve más fuerte cuando la revisión debe ejecutarse fuera de Windows, cuando la organización quiere más detalle a nivel de objeto o cuando el mismo workflow debe cubrir AD y Entra con salida estructurada.
La pregunta real no es, por tanto, "qué marca es mejor", sino si el modelo operativo y el alcance del programa han superado lo que una revisión de indicadores con GUI Windows puede soportar cómodamente.
- Mantenga Purple Knight si la exigencia principal es una GUI Windows, una revisión guiada por categorías o si los checks PK-only enumerados arriba son bloqueantes.
- Elija ETC Collector si necesita automatización, ejecución multiplataforma, ADCS ESC, grafos de ataque o una profundidad Entra más amplia.
- Use EtcSec cuando el collector también deba aportar dashboard, histórico, scheduling y una vista central de remediación.
Preguntas frecuentes
¿Cuánto de Purple Knight cubre ETC Collector?
En el lado AD, el benchmark documenta 115 indicadores Purple Knight de 119 plenamente cubiertos, 2 parciales, 2 Hybrid N/A y los 49 IOEs Purple Knight emparejados por ETC Collector.
¿Cuál es la métrica más importante?
En AD, el match completo de los IOEs: ETC Collector empareja cada indicador Purple Knight en IOE Found en la ejecución publicada. En Entra, la métrica más útil es la combinación de amplitud y límites: 92 findings Azure-category en el lado ETC, con 22 IOEs Purple Knight cubiertos directamente, 3 parcialmente y 6 PK-only.
¿Qué añade ETC Collector más allá de Purple Knight?
El benchmark destaca el análisis ADCS ESC1 a ESC11, los grafos de ataque, una cobertura Entra más amplia, findings ACL y GPO granulares, un modelo CLI/API multiplataforma y mapeos de cumplimiento.
¿Cuándo sigue encajando Purple Knight?
Sigue encajando para equipos que prefieren una GUI Windows, un informe ejecutivo pulido o ajustes tenant-side como allowedToCreateTenants y ciertos parámetros de presentación MFA.
Páginas relacionadas con la seguridad de identidad
Vea la cobertura AD más amplia detrás de los hallazgos técnicos citados en esta comparativa.
Revise la profundidad cloud y los findings Entra estructurados citados en este benchmark.
Comprenda los modos del collector, la superficie API y por qué importa el modelo operativo CLI.
Compare el motor de recopilación con la capa SaaS de trending y seguimiento.
Compare su workflow actual de Purple Knight con ETC Collector
Use el match de IOEs AD, las métricas Entra y los límites documentados de cada herramienta como línea base, y luego pruebe si un collector multiplataforma encaja mejor en su modelo operativo que una revisión con GUI Windows.