Collecteur en lecture seule · standalone ou daemon SaaS

Audits de sécurité des identités pour
Active Directory et Entra ID

Exécutez des audits factuels pour l’identité on-prem et cloud dans le même workflow.
472 détections Community et 498 détections au total. Gardez les données en local en mode standalone, ou connectez un daemon SaaS pour le suivi centralisé.

Try it free — no signup Lancer votre audit

472 Community · 498 détections au total

Standalone + daemon SaaS

Collecteur lecture seule · API + GUI

Voyez la plateforme

en action

Pas de signup. Pas de connecteur à installer. Cliquez, explorez.

nordis-industries.demo

Analyse en direct

Généré en 6.2sAudit AD + Entra ID

Bon

218

Découvertes

178

Types

592

Utilisateurs

686

Ordinateurs

345

Groupes

Critiques ouvertes

Findings critiques non résolues

Critique

↓ 6 depuis le dernier audit

Couverture MFA

462 sur 592 utilisateurs inscrits

Moyen

78%

recommandé ≥ 95 %

Admins privilégiés

Comptes admin Tier-0

Bon

recommandé ≤ 20

Conformité

7 référentiels sous le seuil

Critique

47%

moyenne sur 9 référentiels

Dernier audit

Collecteur le plus récent

Bon

1dago

+8vs précédent

Évolution du risque90d

+2 nouveaux-140 sur la période

358

Feb 1May 1

Risques business prioritaires5/15

Triés par étendue d'impact

FILTRE

NoRéférentielCodeContrôleFindings

#1NIS2 (FR)Art.21(2)(e)Sécurité de l'acquisition et du développement

#2ANSSI PA-099R52Privilèges Tier-0 nominatifs

#3CIS v8.1§1.1Inventaire des actifs autorisés

#4NIS2 (FR)Art.21(2)(h)Chiffrement et authentification

#5ANSSI PA-099R72Surveillance des comptes privilégiés

Alertes de sécurité

4 config1 warning31 comptes

31 comptes avec un score de risque CRITIQUE (50+). Action immédiate requise.

wilson.olivia8719 problèmes

luo.lan8417 problèmes

jackson.john8216 problèmes

shimizu.hana7815 problèmes

thompson.naomi7614 problèmes

Machine Account Quota50

Tout utilisateur du domaine peut joindre jusqu'à 50 machines — passer ms-DS-MachineAccountQuota à 0.

KRBTGT Password Age412 jours

Rotation à effectuer tous les 90-180 jours pour mitiger les Golden Ticket.

Anonymous LDAPAutorisé

Reconnaissance LDAP non-authentifiée possible — désactiver.

Pre-Win2000 Compatible AccessActivé

Groupe legacy qui donne un accès lecture étendu à tous les utilisateurs authentifiés.

Last AD Backupil y a 28 jours

L'Active Directory devrait être sauvegardé régulièrement.

Tendance vs audit précédent

+8 pts

Score : 76 → 84 (+8 pts)

Critique :18 → 126

Élevé :45 → 387

Détail par catégorie

Permissions

18 → 246

Account Status

62 → 653

Group Analysis

61 → 61Inchangé

Network Security

43 → 474

Service Accounts

67 → 643

Advanced Security

46 → 46Inchangé

Computer Security

59 → 59Inchangé

Kerberos Security

49 → 49Inchangé

Password Security

45 → 45Inchangé

Privileged Accounts

57 → 592

Des audits en lecture seule pour Active Directory et Entra ID, avec sortie structurée, workflows répétables et modes de déploiement adaptés aux équipes locales ou centralisées.

EtcSec

—

Collecteur open-source et workflow SaaS

498

détections Pro / Full

techniques MITRE

<8s

temps de benchmark

modes opératoires

systèmes supportés

Aligné avec les frameworks du marché

NIST

GDPR

MITRE ATT&CK

CIS

ANSSI

Pourquoi les équipes utilisent EtcSec

Auditer ce qui existe vraiment aujourd’hui, garder le collecteur au plus près de l’environnement, puis rendre les résultats exploitables pour la remédiation et le suivi.

Lecture seule par design

Collectez Active Directory en LDAP/LDAPS et SYSVOL, et Entra ID via Microsoft Graph, sans agent sur les contrôleurs de domaine.

Exécutions rapides et répétables

Les benchmarks se terminent en quelques secondes, ce qui rend les audits récurrents réalistes après chaque correction ou changement de privilèges.

Contexte MITRE ATT&CK

Reliez les findings à des techniques d’attaque pour expliquer pourquoi un contrôle compte, pas seulement qu’il échoue.

Workflow de remédiation structuré

Passez de détections brutes à des correctifs priorisés, des exports et des revues de suivi sans reconstruire l’audit.

Comment ça marche

Un workflow répétable pour les audits AD et Entra ID

ÉTAPE 01

Déployez le collecteur

Installez ETC Collector sur Linux, macOS, Windows ou Docker, puis configurez les providers Active Directory et Entra ID.

ÉTAPE 02

Lancez l'audit

Lancez l’audit en mode standalone ou via le daemon SaaS. Le moteur vérifie des détections nommées sur AD et Entra ID.

ÉTAPE 03

Obtenez un rapport actionnable

Consultez les findings priorisés, le mapping MITRE ATT&CK, les exports et la remédiation depuis le même workflow.

etcsec.com

Rejouer automatiquement

Environnement isolé ?

Pour les réseaux isolés, gardez le serveur standalone en local ou exportez les résultats JSON pour une revue aval sans exposer le collecteur à Internet.

Collecteur open-source

ETC CollectorStandalone ou daemon SaaS

Un collecteur Go multiplateforme pour Active Directory et Entra ID. La Community couvre 472 détections avec 324 AD et 148 Entra. La Pro / Full monte à 498 détections au total en ajoutant 16 checks AD (ADCS et chemins d'attaque) et 10 détections Entra Risk Protection.

Collecte en lecture seule

Le collecteur lit AD via LDAP/LDAPS et SYSVOL, et Entra ID via Microsoft Graph, puis produit du JSON structuré pour la GUI locale, l’API ou l’automatisation.

Deux modes opératoires

Utilisez un serveur standalone totalement local avec GUI embarquée et API REST, ou enrôlez un daemon SaaS pour des audits récurrents gérés centralement.

Multiplateforme et léger

Un binaire statique unique pour Linux, macOS et Windows, autour de 20 Mo sans runtime externe, avec en plus les workflows Docker et installation en service.

Découvrir ETC Collector GitHub

Installation en une ligne

curl -fsSL https://get.etcsec.com/install-pro.sh | sudo bash -s -- --mode server --token="<verify-in-popup>"

Installation Linux en une ligne, plus guides macOS, Windows et Docker

API REST embarquée et GUI web locale sur le port 8443

Community : 324 détections AD + 148 détections Entra. Pro / Full : 340 détections AD + 158 détections Entra

Gratuit pour un usage personnel, éducatif et non commercial. L’usage commercial nécessite une licence — [email protected]

472

Édition Community

Modes opératoires

OS supportés

~20MB

Binaire statique

Couverture complète

Ce que la plateforme recherche dans AD et Entra ID

De l’exposition des mots de passe et des abus Kerberos aux dérives Conditional Access, PIM, permissions applicatives et exposition des invités, les détections restent liées à des findings nommés.

CRITIQUE

Exposition des mots de passe et credentials

Politiques faibles, chiffrement réversible, flags password-not-required et attributs en clair.

CRITIQUE

Abus Kerberos et délégation

AS-REP roasting, Kerberoasting, délégation non contrainte et risques de protocol transition.

ÉLEVÉ

ADCS et services de certificats

Chemins ESC ADCS, mappings certificats faibles et exposition du web enrollment.

ÉLEVÉ

ACL dangereuses et DCSync

GenericAll, WriteDACL, backdoors AdminSDHolder, droits de réplication et chemins RBCD.

ÉLEVÉ

Lacunes Conditional Access

MFA manquante, dérives legacy auth et exclusions de politiques qui affaiblissent le tenant.

ÉLEVÉ

Dérive des accès privilégiés

Configuration PIM, rôles admins excessifs, foreign principals et comptes privilégiés stale.

ÉLEVÉ

Applications et identités externes

Permissions des service principals, credentials obsolètes, apps multi-tenant et exposition des invités.

CATALOGUE COMPLET

Explorer le catalogue complet

Parcourez le catalogue public et les pages détaillées de couverture AD et Entra.

Voir tous les contrôles

Lancer votre audit

Collecteur read-only, mode standalone, workflow daemon SaaS, et pages de couverture détaillées plus bas.

Référentiel standard de l'industrie

MITRE ATT&CKCouverture intégrée

Mappé vers 49 techniques MITRE ATT&CK couvrant Credential Access, Persistence, Defense Evasion, Lateral Movement et Discovery.

21Accès aux identifiants techniques détectées

12Persistance techniques détectées

8Évasion de défense techniques détectées

6Mouvement latéral techniques détectées

2Découverte techniques détectées

En savoir plus sur MITRE ATT&CK

Exemples de découvertes avec mapping ATT&CK

Comptes Kerberoastables

Credential Access

T1558.003

Droits DCSync

Credential Access

T1003.006

Escalade via modèle de certificat

Credential Access

T1649

Permissions GPO dangereuses

Persistence

T1484.001

Contrôleur de domaine malveillant (DCShadow)

Defense Evasion

T1207

Délégation non contrainte

Lateral Movement

T1550

Contournement Conditional Access

Credential Access

T1556

Abus de relations d'approbation

Discovery

T1482

Cliquez sur les ID de technique pour voir les détails sur MITRE ATT&CK

Benchmarks comparatifs

Méthodologie publiée, résultats et détails complets

Consultez les conditions de test, la couverture documentée et les temps observés sur les pages comparatives PingCastle et Purple Knight.

Alternative à PingCastle

ETC Collector couvre l’essentiel des règles PingCastle sur le même domaine de test AD tout en ajoutant ADCS, attack paths et la couverture Entra ID.

59 des 61 règles de risque PingCastle publiées couvertes dans le run documenté
876/896 points de risque PingCastle couverts
6,58 s vs ~41 s avec network probes

Ouvrir la comparaison PingCastle

Alternative à Purple Knight

ETC Collector recouvre les signaux Purple Knight réellement bloquants et termine beaucoup plus vite, tout en restant multiplateforme et orienté CLI.

AD : 115/119 indicateurs couverts
AD : 49/49 IOEs Purple Knight matchés
AD : 1,01 s vs 2 min 55 ; Entra : 86 s vs 1 min 58

Ouvrir la comparaison Purple Knight

Notes de benchmark

Les comparatifs sont publiés avec des environnements anonymisés et les identifiants sensibles retirés.
ETC Collector a été lancé avec les network probes quand la méthodologie le demandait.
Les réserves, angles morts et captures restent sur les pages comparatives dédiées.
Les pages comparatives détaillent le breakdown par règles, les captures et les écarts restants des runs documentés.

Disponible aujourd’hui

Aujourd’hui, les providers d’audit réellement live sont Active Directory et Microsoft Entra ID. Les deux passent par le même workflow collector, la même GUI/API locale et le même modèle d’audits récurrents.

DISPONIBLE

Active Directory

Identité on-premises

340contrôles de sécurité

Revue Tier 0, politiques de mot de passe et groupes privilégiés
Exposition Kerberos, délégation et DCSync
Abus ACL, AdminSDHolder et chemins RBCD
Findings ADCS et analyse des templates de certificats
Priorités de remédiation nommées et exports

Lancer l'audit

DISPONIBLE

Microsoft Entra ID

Identité cloud

158contrôles de sécurité

Revue Conditional Access, MFA et legacy auth
Configuration PIM et dérive des accès privilégiés
Permissions applicatives, credentials et exposition multi-tenant
Visibilité sur les invités et risque d’identités externes
Workflow de remédiation nommé et exports

Lancer l'audit

Scope live actuel : Active Directory et Microsoft Entra ID.

Tarification simple et transparente

Choisissez votre plan

Commencez avec notre collecteur gratuit. Passez à la version supérieure quand vous avez besoin de fonctionnalités avancées comme la planification, les rapports de conformité et l'intégration SIEM.

Bêta — Premium 149€/mo · prix public 449€

Un plan, accès complet. 20% de remise à vie pour les utilisateurs bêta.

DISPONIBLE MAINTENANT