Collector di sicurezza delle identità
Costruito per audit ripetibili
ETC Collector è l’evidence engine dietro le review Active Directory e Microsoft Entra ID di EtcSec. È un collector basato su Go che supporta operatività locale standalone, modalità daemon registrata in SaaS, accesso REST API ed esecuzione ricorrente senza richiedere agent sui domain controller.
La documentazione pubblicata lo descrive come una pipeline collection → parsing → analysis → graph → response, con supporto a LDAP o LDAPS, SMB per SYSVOL e analisi GPO, Microsoft Graph API, sonde di rete opzionali e output JSON strutturato.
curl -fsSL https://get.etcsec.com/install-pro.sh | sudo bash -s -- --mode server --token="<verify-in-popup>"Verifica la tua email nel popup e poi copia il comando server in una riga con un token a breve durata.
Perché il collector è più di un piccolo binary di audit
Raccolta in sola lettura su AD ed Entra
LDAP o LDAPS, SMB per SYSVOL e letture Microsoft Graph vengono combinati nello stesso workflow. Non è richiesta alcuna mutazione della directory per raccogliere l’evidenza.
- Utenti, gruppi, computer, GPO, trust, ACL e ADCS
- Applicazioni, service principal, criteri CA e ruoli privilegiati
- Le sonde di rete opzionali restano controlli opt-in espliciti
Motore di detection modulare
La documentazione di architettura descrive un sistema modulare di provider e detector con esecuzione concorrente e analisi di grafi di attacco sugli oggetti raccolti.
- Esecuzione parallela dei detector
- Output JSON strutturato
- Supporto attack graph nei workflow Pro
Operatività locale produttiva
La modalità standalone server espone una GUI web locale e una REST API sulla porta 8443, permettendo di usare il collector anche senza una connessione SaaS.
- GUI locale con dashboard e storico dei job
- REST API sotto /api/v1
- Generazione di JWT per automazione tramite GUI token
Un collector che scala anche in flotte gestite
La modalità daemon effettua polling della piattaforma SaaS, esegue comandi, riporta health e può auto-aggiornarsi mantenendo locale la raccolta nell’ambiente del cliente.
- Loop di polling ogni 30 secondi per default
- Storage locale cifrato delle credenziali dopo enrollment
- Pensato per un collector per sito o dominio
Due modalità operative, un unico motore di raccolta
Usa la modalità standalone server quando tutto deve restare locale, oppure registra il daemon quando vuoi che la piattaforma SaaS orchestri e segua il collector.
Apri il popup di installazione
Inserisci la tua email, conferma il codice a sei cifre e copia un comando server in una riga con un token temporaneo.
Configura le fonti dati
Punta il collector verso LDAP o LDAPS, SYSVOL e opzionalmente Microsoft Graph. La modalità daemon può anche ricevere configurazione dalla piattaforma.
Esegui server o daemon
La modalità standalone avvia GUI locale e API. La modalità daemon si registra nella piattaforma SaaS e fa polling dei comandi mantenendo locale la raccolta.
Il collector è progettato per essere spiegabile in review
Input in sola lettura
La documentazione pubblicata descrive LDAP o LDAPS e letture SMB per AD, oltre a letture Graph per Entra. Il collector non è pensato per scrivere su questi sistemi durante il normale funzionamento di audit.
- Nessun agent installato sui domain controller
- Nessuna mutazione di GPO o directory
- Le sonde di rete restano opt-in
Controlli di esposizione local-first
La modalità standalone esegue API e GUI locali. In modalità daemon, la GUI locale è bindata a 127.0.0.1 per default salvo esplicita apertura dell’accesso di rete da parte dell’operatore.
- GUI e API standalone su :8443
- GUI daemon disabilitata sulle interfacce di rete per default
- L’automazione JWT passa dal workflow GUI token
Gestione credenziali e operation di flotta
L’enrollment memorizza le credenziali localmente in forma cifrata. La documentazione descrive anche binary update staging e watcher restart logic per la modalità daemon.
- L’enrollment token non viene salvato in chiaro
- Percorso di unenroll best-effort
- Flusso di aggiornamento automatico con validazione checksum
Come ETC Collector gira negli ambienti reali
Modalità standalone server
Esegui `etc-collector server` per esporre GUI locale e REST API. Questa modalità è utile per review locali, workflow air-gapped e valutazioni one-off guidate via API.
Modalità daemon per collector gestiti
Esegui `etc-collector daemon` dopo l’enrollment per fare polling della piattaforma SaaS, eseguire audit localmente e riportare risultati e health in modo centralizzato.
API e automazione
La API locale sotto `/api/v1` supporta creazione di JWT e avvio programmatico degli audit, rendendo il collector utilizzabile da script, SIEM e pipeline CI.
Follow-up centralizzato tramite EtcSec
Il collector resta locale all’ambiente, mentre EtcSec fornisce dashboard, scheduling e follow-up storico per le organizzazioni che ne hanno bisogno.
Copertura e interfacce esposte dal collector
Detection providers
Active Directory
Attivo · 340 rilevazioni · Pro / Full editionMicrosoft Entra ID
Attivo · 158 rilevazioni · Pro / Full editionOperating modes
API standalone
AttivoExpose the local REST API and web GUI for standalone, local-first audits.
Modalità daemon di flotta
AttivoEnroll the collector as a SaaS daemon to run centrally managed recurring audits while collection stays local.
Come ETC Collector gira, si integra e scala
La documentazione mostra come ETC Collector viene distribuito, quali interfacce espone e come la raccolta Community si articola con il layer operativo di EtcSec.
Standalone server versus SaaS daemon
La modalità standalone è utile quando tutto deve rimanere locale o quando il team di sicurezza vuole automatizzare direttamente attorno alla API locale. La modalità daemon è utile quando un team centrale vuole orchestrare più collector su più siti o domini senza rinunciare alla raccolta locale.
Soprattutto, entrambe le modalità condividono la stessa collection engine. La differenza è nel modo in cui il collector viene operato e dove il workflow viene osservato, non nella qualità dell’evidenza.
| Modalità | Cosa fa | Fit migliore |
|---|---|---|
| Standalone server | Espone GUI locale e REST API sulla porta 8443 senza dipendenza SaaS | Air-gapped, local-only oppure review one-off guidate via API |
| SaaS daemon | Fa polling della piattaforma per comandi, esegue localmente e riporta risultati e health in modo centrale | Flotte gestite, audit ricorrenti, operation multi-site |
L’architettura pubblicata è collection, parsing, analysis, graph, response
La documentazione di architettura descrive esplicitamente un sistema modulare di provider e detector con esecuzione concorrente. Dal punto di vista prodotto, questo mostra che ETC Collector non è uno script ad hoc ma un motore di audit modulare con astrazione per provider e analisi di grafo sopra gli oggetti raccolti.
Per gli operatori, il beneficio pratico è la chiarezza. Puoi spiegare esattamente cosa fa il collector, quali oggetti raccoglie e come i finding emergono da quegli oggetti. Questo è più difendibile in change control rispetto a un messaggio vago del tipo “fidati, scansiona il dominio”.
Cosa raccoglie davvero il collector e perché conta
Questo mix di fonti spiega perché il collector può parlare sia di configurazione dell’identità sia dei controlli che circondano l’identità. Non si ferma ai metadati di directory; arriva anche ai layer GPO e policy che rendono praticabili il furto di credenziali o l’esecuzione remota.
| Fonte | Esempi | Perché conta |
|---|---|---|
| Active Directory via LDAP | Utenti, gruppi, computer, trust, domini e ACL | Relazioni centrali di identità e privilegio |
| SYSVOL via SMB | registry.pol, GptTmpl.inf e script | Visibilità su GPO, hardening e perdita di credenziali |
| Microsoft Graph API | Utenti, gruppi, applicazioni, criteri CA e assegnazioni di ruoli | Postura cloud e sicurezza del piano di controllo |
| Sonde opzionali | Spooler, TLS, DNS o superfici web enrollment | Rilevazione di relay e trasporti deboli |
Dove si ferma l’edizione Community e dove iniziano workflow più ricchi
La distinzione di prodotto importante non è solo un feature gate. La domanda reale è se ti serve soltanto il motore di raccolta oppure anche l’operating layer attorno: dashboard, orchestrazione multi-site e workflow di remediation.
| Capacità | Community | Pro / EtcSec |
|---|---|---|
| Rilevazioni Active Directory | Sì | Sì |
| Rilevazioni Microsoft Entra ID | Sì | Sì |
| Modalità locale standalone | Sì | Sì |
| Gestione daemon lato SaaS | Funziona con EtcSec | Sì |
| Analisi ADCS ESC | Estesa nei workflow Pro | Sì |
| Analisi attack graph | Estesa nei workflow Pro | Sì |
| Dashboard, storico, scheduling | No | Sì |
Perché la superficie API e il flusso daemon contano nella pratica
La modalità standalone server espone `/api/v1` e supporta la generazione di JWT tramite GUI token. Questo rende il collector utilizzabile da script, pipeline CI o integrazioni SIEM. Il flusso daemon aggiunge health reporting, remote command e gestione degli update per team che amministrano più collector.
Il collector resta così pratico per review ricorrenti, automazione e modelli local-first senza perdere controllo sulla raccolta.
Dove EtcSec aggiunge più del solo collector
Il collector è l’evidence engine. EtcSec aggiunge dashboard, trending storico, scheduling e un operating layer più ampio per i team che hanno bisogno di follow-up centralizzato invece della sola esecuzione locale.
- Tracciamento storico e review dei trend
- Orchestrazione multi-site
- Scheduling di audit ricorrenti
- Dashboard e workflow di remediation
- Visibilità trasversale oltre l’output JSON locale
- Un layer centrale attorno alla stessa collection engine
Esplora le pagine di identity security collegate a questo tema
Esplora pagine dettagliate su Active Directory, Entra ID, il deployment di ETC Collector e confronti diretti di prodotto.
Consulta la landing page focalizzata su Tier 0, Kerberos, delega, ADCS e priorita di remediation.
Consulta la pagina Entra ID su Conditional Access, MFA, PIM, permessi applicativi ed esposizione guest.
Confronta PingCastle con ETC Collector per audit AD ricorrenti e workflow di raccolta in modalita standalone.
Confronta Purple Knight con ETC Collector per review AD ed Entra ID con follow-up ricorrente.
Esamina ETC Collector, le sue modalità di deploy locale e come i team eseguono audit standalone o ricorrenti.
Esplora il collector prima di decidere fino a che punto operationalizzarlo
Inizia con il collector open-source se ti serve raccolta locale di evidenza. Aggiungi EtcSec quando lo stesso motore deve fornire anche dashboard, scheduling e follow-up centralizzato di remediation.