Une alternative à Purple Knight avec preuves AD, Entra et limites sans édulcoration
Ce benchmark compare Purple Knight Community 5.0 et ETC Collector v3.0.8 Pro sur un environnement Active Directory et un tenant Entra ID de production, exécutés avec la même configuration d’accès le 10 avril 2026. Côté Active Directory, ETC Collector couvre 115 indicateurs Purple Knight sur 119, matche l’intégralité des 49 IOEs que Purple Knight signale et termine le scan médian en 1,01 seconde contre 2 minutes 55 pour Purple Knight, soit environ 173 fois plus rapide.
Côté Entra ID, le résultat est plus nuancé : les deux outils sont limités par Microsoft Graph. ETC Collector termine tout de même en 86 secondes médianes contre 1 minute 58 pour Purple Knight, avec 92 findings Azure-category émis contre 31 IOEs Purple Knight — environ 3 fois plus de détections en 40 pour cent de temps en moins. Purple Knight conserve toutefois 6 checks Entra et 2 checks AD où il reste plus fort, et cette page les liste intégralement.
Comment le side-by-side Purple Knight a été exécuté
Les chiffres de cette page viennent d’un benchmark exécuté le 10 avril 2026 par la même équipe, sur un environnement Active Directory et un tenant Entra ID de production. Tous les identifiants techniques (nom de domaine, contrôleurs, adresses IP, tenant ID, app registration, chemins de rapports) ont été retirés de la version publique.
Côté Active Directory, le rapport Purple Knight provient d’un run antérieur réalisé depuis le contrôleur de domaine avec le compte Administrator et la sélection d’indicateurs AD par défaut ; la mesure du temps vient directement du rapport Excel Purple Knight. Les runs ETC Collector ont été lancés depuis un hôte Linux, 5 fois de suite, avec network probes activés. La médiane des runs ETC est utilisée (1,03 s, 1,01 s, 1,02 s, 0,99 s, 1,00 s, soit 1,01 s).
Côté Entra ID, les deux outils ont été exécutés le 10 avril 2026 dans une fenêtre de 30 minutes, avec la même app registration et les mêmes 24 permissions Microsoft Graph (Application.Read.All, Directory.Read.All, IdentityRiskEvent.Read.All, Policy.Read.All, RoleManagement.Read.Directory, UserAuthenticationMethod.Read.All, etc.). Purple Knight Community 5.0 a sélectionné 50 indicateurs sur 54 : 4 n’ont pas pu tourner faute de permissions supplémentaires (périmètres PIM spécifiques, accès mailbox et hash sync readiness). ETC Collector a exécuté ses 158 détecteurs avec exactement le même jeu de 24 permissions.
Quelques compteurs réels du run ETC Collector du 10 avril 2026, avec les indicateurs Purple Knight équivalents.
Quand Purple Knight ne colle plus au modèle d’exploitation
Purple Knight reste utile pour des revues ponctuelles avec reporting exécutif Windows. Les équipes cherchent généralement une alternative lorsqu’elles veulent automatiser, couvrir AD et Entra ensemble, ou exploiter des findings structurés plutôt que des indicateurs GUI.
Vous avez besoin d’un workflow Linux ou CI
Purple Knight reste centré sur Windows et une GUI interactive. Les équipes qui lancent des audits depuis des serveurs Linux, des conteneurs, des jobs planifiés ou du CI ont besoin d’une CLI ou d’une API headless.
Vous voulez plus de profondeur Entra exploitable
Purple Knight Community 5.0 a de vrais indicateurs Entra, mais le benchmark montre ETC Collector avec un catalogue plus large, plus de findings Azure-category émis, et des catégories comme Conditional Access, guests, applications, risk protection et conformité.
Il vous faut plus que des catégories PASS ou FAIL
Purple Knight excelle dans la notation d’indicateurs, mais beaucoup d’opérateurs ont aussi besoin de findings nommés, de contexte graphe et de listes d’objets précises derrière la note.
Vous voulez automatiser et répéter la revue
Si l’équipe sécurité veut relancer la même revue après un nettoyage de privilèges ou un changement de policy, un collector non interactif s’intègre mieux qu’un flux GUI-first.
Comment évaluer sérieusement une alternative à Purple Knight
La couverture des indicateurs compte, mais l’évaluation pratique doit aussi regarder le match sur les IOEs réellement trouvés, les limites propres à chaque outil, le support de plateforme, le scope Entra et l’exploitabilité du résultat en opération récurrente.
Couverture du jeu d’indicateurs publié
Le benchmark documente 115 indicateurs AD Purple Knight sur 119 pleinement couverts, deux couverts partiellement et deux indicateurs Hybrid non applicables dans le run AD.
Qualité du match sur les IOEs réellement trouvés
La métrique la plus utile à la décision est le match sur les IOEs : côté AD, ETC Collector matche les 49 indicateurs qui déclenchaient dans le run Purple Knight.
Ce que l’alternative ajoute au-delà des grades
Les familles ADCS ESC, les graphes d’attaque, les findings Entra plus larges, les ACL granulaires, les GPO et les mappings conformité étendent la revue au-delà des catégories PASS ou FAIL.
Adéquation au déploiement réel
Une CLI cross-platform peut être installée sur Linux, macOS, Windows ou Docker. Cela change qui peut opérer l’outil et à quelle fréquence le review peut être relancé.
Où ETC Collector s’insère, et où Purple Knight garde des forces
Purple Knight reste utile lorsqu’une équipe veut une revue Windows GUI reconnaissable et un rapport exécutif prêt à partager. ETC Collector devient plus adapté dès que le besoin porte sur l’automatisation, ADCS, Entra ID, les graphes d’attaque ou des findings structurés.
ETC Collector convient à une revue opérationnelle répétable
Si la revue doit tourner depuis Linux, Docker, le CI ou des workflows API, ETC Collector est plus simple à industrialiser.
Purple Knight garde des checks précis que le benchmark reconnaît
Purple Knight se différencie désormais surtout par sa revue Windows native et quelques checks de paramètres tenant-side, tandis qu’ETC Collector v3.0.9 ferme les écarts gMSA, RODC, SAML et unresolved members.
La question de migration dépend de la plateforme et du périmètre
La plupart des équipes bougent lorsqu’elles ont besoin d’exécution cross-platform, de profondeur Entra ou de plus de détail technique derrière la couche indicateurs.
EtcSec ajoute la couche d’exploitation autour du collector
Le trending historique, l’orchestration centrale, les dashboards et le workflow de remédiation viennent d’EtcSec par-dessus ETC Collector.
Ce que montre réellement le benchmark Purple Knight mis à jour
Le benchmark Purple Knight dans la documentation ETC Collector ventile la couverture AD, les partiels, les findings exclusifs ETC, la comparaison Entra ID, les performances et les limites des deux outils. Cette page reprend ces données sans publier les identifiants de l’environnement.
La couverture par catégorie Purple Knight côté Active Directory
C’est ce qui rend le comparatif plus utile qu’un simple “on a plus de checks”. Purple Knight et ETC Collector se recouvrent fortement sur les findings AD qui déclenchaient réellement dans l’environnement publié. Le comparatif dit donc quelque chose de concret sur la faisabilité d’un remplacement côté AD.
Le benchmark publié pointait initialement deux écarts AD : l’énumération standalone des lecteurs de mots de passe gMSA et le RODC credential caching. ETC Collector v3.0.9 couvre désormais les deux avec des détecteurs dédiés, donc ces contrôles ne séparent plus le catalogue actuel.
| Zone Purple Knight | Indicateurs totaux | Couverts | Partiels | Non couverts / N.A. |
|---|---|---|---|---|
| AD Delegation | 19 | 18 | 1 | 0 |
| Account Security | 34 | 34 | 0 | 0 |
| AD Infrastructure | 34 | 33 | 1 | 0 |
| Group Policy | 11 | 11 | 0 | 0 |
| Kerberos | 19 | 19 | 0 | 0 |
| Hybrid | 2 | 0 | 0 | 2 N/A |
Le match complet des IOEs AD est le signal de migration le plus fort
Les pourcentages de couverture sont utiles, mais la métrique opérationnelle décisive est le match sur les indicateurs en IOE Found. Le run publié montre ETC Collector aligné sur chaque indicateur Purple Knight qui déclenchait réellement côté AD.
La différence est importante parce que beaucoup de catalogues contiennent des PASS ou des N/A qui ne changent pas la prochaine remédiation. Un match complet sur les IOEs AD montre que les deux outils sont alignés sur les vrais problèmes AD du domaine testé.
Sur Entra ID, l’écart est une affaire de breadth, pas un écart de 170x
Sur Entra ID, le facteur limitant des deux outils est Microsoft Graph : latence réseau, pagination et throttling. L’écart de vitesse est de 1,4 fois et non de 170 fois comme sur Active Directory. Mais dans ce même budget réseau, ETC Collector exécute environ 3 fois plus de détecteurs et surface ~3 fois plus de familles de findings, parce qu’il partage le graphe d’objets entre détecteurs et qu’il parallélise agressivement les appels Graph indépendants.
Purple Knight Community 5.0 n’est pas vide sur Entra — il contient 57 indicateurs AAD au total. La question du benchmark n’est pas un écart 2 contre 158, c’est un écart 50 contre 158 sur le jeu exécuté, et un écart 31 contre 92 sur les findings effectivement remontés. ETC Collector surface en plus des catégories absentes du catalogue Purple Knight Community : emergency break-glass accounts et exclusion CA, B2B cross-tenant, rétention des logs Entra, conformité CIS et ANSSI, app consents tenant-wide, service principals externes, etc.
Depuis ETC Collector v3.0.9, il existe aussi une couverture dédiée pour la santé des certificats SAML, les privileged role members non résolus, l’activité MFA suspecte, les signaux MFA inhabituels et plusieurs cas de sur-attribution de rôles privilégiés. Purple Knight garde de la valeur pour les équipes qui veulent sa GUI Windows et des checks tenant-side comme allowedToCreateTenants ou la présentation MFA push.
| Métrique | Purple Knight Community 5.0 | ETC Collector v3.0.8 Pro |
|---|---|---|
| Durée de scan | 1 min 58 (118 s) | 86 s médianes sur 3 runs (86,35 / 99,11 / 79,85 s) |
| Détecteurs exécutés | 50 sélectionnés sur 54 (4 non sélectionnés : permissions supplémentaires requises pour PIM, mailbox, hash sync) | 158 détecteurs Entra enregistrés, tous exécutés avec les mêmes 24 permissions Graph |
| Findings / IOEs émis | 31 IOEs trouvés, 18 pass, 1 not relevant | 92 findings Azure-category avec count supérieur à 0 |
| Détections par seconde | 0,42 indicateur par seconde | 1,07 détecteur par seconde — environ 2,5x plus de travail sur le même endpoint Graph |
| Sévérité des détections émises | 2 critical, 15 high, 27 medium, 8 low, 2 info | 10 critical, 31 high, 44 medium, 6 low, 1 info |
| Couverture Purple Knight → ETC | 31 IOEs de référence | 22 couverts directement, 3 partiellement, 6 spécifiques Purple Knight |
| Familles supplémentaires ETC | — | 61 familles d’issues qu’aucun indicateur Purple Knight ne couvre |
| Catégories principales | Identity, Applications, Conditional Access, Guests, PIM, Config, Groups, Hybrid | Identity, Applications et SP, Conditional Access, Guests, PIM et emergency accounts, Config et logging, Groups, Risk Protection, Azure Compliance |
Ce qui a changé depuis le comparatif publié en v3.0.8
Le benchmark publié a été produit sur ETC Collector v3.0.8. Depuis v3.0.9, plusieurs écarts documentés à l’époque sont fermés. Les cartes ci-dessous résument l’état courant utile quand vous évaluez Purple Knight face au catalogue ETC actuel.
AD / SI000083 — Lecteurs de mots de passe gMSA
ETC Collector v3.0.9 embarque désormais un détecteur autonome GMSA_PASSWORD_READERS en plus des arêtes de takeover gMSA déjà présentes dans le graphe d’attaque. Si vous vouliez un finding direct par paire (principal, gMSA), Purple Knight n’est plus nécessaire pour ce contrôle précis.
AD / SI000022 — RODC credential caching
ETC Collector v3.0.9 détecte désormais le cache de credentials privilégiés sur les Read-Only Domain Controllers via le finding RODC_PRIVILEGED_CACHING. Si vous opérez des RODC, cet écart n’est plus une raison de garder Purple Knight seul.
Entra / SI000206 — Nom d’app et géolocalisation sur MFA push
Purple Knight vérifie si Microsoft Authenticator est configuré pour afficher le nom de l’application cible et la localisation géographique de la demande de connexion dans les notifications push. ETC Collector ne flague pas ce paramètre Authenticator spécifique.
Entra / SI000235 — Certificate-Based Authentication persistence
ETC Collector v3.0.9 ajoute désormais une couverture dédiée sur l’authentification basée certificat côté applications ainsi que sur la santé des certificats SAML, ce qui réduit fortement l’écart autour de la gouvernance certificat même si Purple Knight garde sa propre présentation tenant-side.
Entra / SI000207 — Création de tenants par non-admins
Purple Knight lit le flag allowedToCreateTenants sur la policy d’autorisation. ETC Collector vérifie allowedToCreateApps via AZ_APP_REGISTRATION_OPEN mais pas la création de tenants.
Entra / SI000093 — Report suspicious activity désactivé
ETC Collector v3.0.9 ajoute MFA_SUSPICIOUS_ACTIVITY et MFA_UNUSUAL_LOCATION. Cela ne reproduit pas exactement le flag tenant de Purple Knight, mais ferme une grande partie de l’écart pratique sur la détection MFA suspecte.
Entra / SI000215 — Revue des certificats SAML SSO
ETC Collector v3.0.9 ajoute SAML_CERTIFICATE_EXPIRED, SAML_CERTIFICATE_EXPIRING_SOON et SAML_CERTIFICATE_LONG_LIFETIME, donnant une couverture dédiée à la santé des certificats sur les applications SAML.
Entra / SI000237 — Unresolved privileged role members
ETC Collector v3.0.9 ajoute UNRESOLVED_PRIVILEGED_MEMBERS, ce qui ferme l’écart précédemment documenté sur les assignations de rôles privilégiés qui ne se résolvent plus vers un principal valide.
La profondeur supplémentaire vient d’ADCS, des graphes, d’Entra, des ACL et des GPO
Taxonomie ADCS ESC1 à ESC11
Purple Knight Community dispose de 3 checks ADCS génériques (SI000090, SI000156, SI000157) qui ont tous rendu Pass dans ce run — autrement dit, Purple Knight a donné un A+ à l’infrastructure de certificats alors qu’ETC Collector a identifié 6 familles de primitives d’exploitation SpecterOps et 24 instances : ESC1 (EnrolleeSuppliesSubject sur template avec client auth), ESC2 (Any Purpose EKU sur 3 templates), ESC3 (Enrollment Agent sans restriction sur 4 templates), ESC4 (ACL dangereuses sur 12 templates), ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2 sur le CA), ESC11 (bypass RPC enforcement). Chaque classe ESC a sa propre remédiation — ce que la note A+ de Purple Knight ne dit pas.
Graphe d’attaque avec BFS et ACL chains
ETC Collector documente 58 chemins d’attaque sur le domaine testé : 8 critiques et 50 high, avec 50 chaînes ACL_ABUSE (GenericAll, WriteDACL, WriteOwner) et 8 chaînes DCSYNC. Moyenne de 1,1 saut, maximum 3 sauts, 41 cibles privilégiées distinctes atteintes. Purple Knight ne modélise pas les chemins d’attaque : ses 119 indicateurs sont scorés individuellement, sans chaînage. Si vous voulez ce niveau dans Purple Knight, il faut un outil séparé comme BloodHound ou Forest Druid.
Profondeur Entra spécifique ETC
Sur les mêmes 24 permissions Graph, ETC Collector a remonté 61 familles de findings qu’aucun indicateur Purple Knight Community ne couvre : 944 service principals venant de tenants tiers, 935 sans propriétaire, 1 099 groupes Entra orphelins, 38 apps sans propriétaire, 29 apps avec implicit flow, 22 consents accordés à l’échelle du tenant, 14 multi-tenant apps, 14 risky sign-ins non investigués, 9 risky users non remédiés, absence de comptes break-glass, absence de revue d’accès invités, un guest avec un rôle privilégié, aucune stratégie CA bloquant la legacy auth, 6 politiques CA coincées en report-only, etc.
Granularité ACL et GPO sur l’intégralité du domaine
ETC Collector a produit 6 029 instances de findings ACL-related sur le domaine testé, réparties en 14 types de détecteurs : 1 193 ACL_WRITEDACL, 1 193 ACL_WRITEOWNER, 1 160 ACL_GENERICALL, 1 193 EVERYONE_IN_ACL, 100 COMPUTER_ACL_GENERICALL, 97 WRITESPN_ABUSE, et plus. C’est la matière première du graphe d’attaque. Côté GPO, 21 types de findings ont déclenché, couvrant la protection des credentials (WDigest, LSA, Credential Guard), le durcissement registre (LLMNR, NBT-NS, Hardened UNC, NetCease), Defender ASR, la politique firewall et les scripts logon dangereux. Purple Knight a flaggé 1 IOE GPO (SI000032) et 11 indicateurs GPO au total.
Conformité CIS, NIST, ANSSI et DISA STIG
ETC Collector embarque 23 détecteurs de conformité dédiés qui scorent le domaine contre CIS Microsoft Windows Server Benchmark, NIST 800-53 Rev 5 / 800-171, ANSSI AD guide et DISA STIG Windows Server. Chaque finding de conformité est reporté avec l’identifiant de contrôle qu’il viole. Purple Knight tague certains indicateurs avec des TTPs MITRE ATT&CK et des références ANSSI dans les colonnes du rapport, mais ne score pas le domaine contre un référentiel complet. Pour une organisation régulée, c’est le delta le plus structurant.
Licence et modèle open source
Purple Knight Community est un binaire fermé distribué sous EULA Semperis — le code source n’est pas public, aucune modification autorisée. ETC Collector Community est publié sous licence Apache 2.0 avec code source complet sur GitHub : utilisation commerciale autorisée, modifications autorisées, redistribution autorisée, audit du code qui tourne sur vos DC possible. ETC Collector Pro ajoute les détecteurs ADCS ESC1–ESC11, les graphes d’attaque et les 10 détecteurs Risk Protection d’Entra ID sous une licence propriétaire distincte.
Vitesse et modèle de livraison changent qui peut lancer la revue
Une GUI Windows n’est pas un défaut par elle-même, mais elle réduit qui peut exploiter l’outil. Si la revue identité est portée par une équipe très Windows et lancée occasionnellement, Purple Knight peut rester confortable. Si le workflow doit tourner sur serveurs, conteneurs ou CI, ce modèle devient rapidement une friction.
La différence de vitesse change surtout la cadence côté AD. Un run médian à 1,01 seconde est assez rapide pour devenir une étape de validation après durcissement ou changement, et pas seulement un rituel périodique. Côté Entra, le bénéfice principal est la breadth des checks plutôt que la vitesse brute.
| Question | Purple Knight | ETC Collector |
|---|---|---|
| Runtime AD observé | 2 min 55 | 1,01 s médiane |
| Runtime Entra observé | 1 min 58 | 86 s médianes |
| Modèle principal | GUI Windows | CLI cross-platform |
| Support Linux/macOS | Non | Oui |
| Automatisation headless | Limitée | Oui |
| Taxonomie ADCS ESC | Générique / partielle | ESC1 à ESC11 côté Pro |
| Profondeur Entra | Indicateurs Entra réels, avec plusieurs PK-only | Catalogue plus large et findings plus granulaires |
Quand Purple Knight garde du sens, et quand ETC devient plus fort
Purple Knight garde du sens lorsqu’une équipe valorise une GUI Windows familière, des grades par catégorie et certains checks spécifiques plus que l’automatisation ou l’extension du scope. ETC devient plus fort lorsque la revue doit tourner hors Windows, lorsque l’organisation veut plus de détails objets, ou lorsque le même workflow doit couvrir AD et Entra avec sortie structurée.
La vraie question n’est donc pas “quelle marque est meilleure”, mais si le modèle d’exploitation et le périmètre du programme ont dépassé ce qu’une revue Windows GUI d’indicateurs peut supporter confortablement.
- Gardez Purple Knight si l’exigence principale est une revue Windows GUI pilotée par catégories ou si les checks PK-only listés plus haut sont bloquants.
- Choisissez ETC Collector si vous avez besoin d’automatisation, de cross-platform, d’ADCS ESC, de graphes d’attaque ou de profondeur Entra plus large.
- Utilisez EtcSec lorsque le collector doit aussi fournir dashboard, historique, scheduling et vue centrale de remédiation.
Questions fréquentes
Quelle part de Purple Knight ETC Collector couvre-t-il ?
Côté AD, le benchmark documente 115 indicateurs Purple Knight sur 119 pleinement couverts, 2 partiels, 2 Hybrid non applicables, et les 49 IOEs Purple Knight matchés par ETC Collector.
Quelle est la métrique la plus importante ?
Côté AD, le match complet des IOEs : ETC Collector matche chaque indicateur Purple Knight en IOE Found dans le run publié. Côté Entra, la métrique la plus utile est la combinaison breadth et limites : 92 findings Azure-category côté ETC, avec 22 IOEs Purple Knight couverts directement, 3 partiellement et 6 PK-only.
Qu’ajoute ETC Collector au-delà de Purple Knight ?
Le benchmark met en avant l’analyse ADCS ESC1 à ESC11, les graphes d’attaque, une couverture Entra plus large, des findings ACL et GPO granulaires, un modèle CLI/API cross-platform et des mappings conformité.
Dans quel cas Purple Knight reste-t-il adapté ?
Il reste adapté aux équipes qui préfèrent une GUI Windows, un rapport exécutif déjà poli, ou une expérience opérateur Semperis-native. Les écarts historiques gMSA, RODC, SAML et unresolved members documentés dans le benchmark sont désormais fermés dans ETC Collector v3.0.9.
Pages liées à la sécurité identitaire
Voir la couverture AD plus large derrière les findings techniques évoqués dans ce comparatif.
Examiner la profondeur cloud et les findings Entra structurés évoqués dans ce benchmark.
Comprendre les modes collector, la surface API et pourquoi le modèle CLI compte.
Comparer le moteur de collecte avec la couche SaaS de trending et de suivi.
Comparez votre workflow Purple Knight actuel avec ETC Collector
Utilisez le match IOE AD, les métriques Entra et les limites documentées de chaque outil comme baseline, puis testez si un collector cross-platform convient mieux à votre modèle d’exploitation qu’une revue GUI Windows.