Un’alternativa a Purple Knight con prove AD, Entra e limiti senza edulcorazioni
Questo benchmark confronta Purple Knight Community 5.0 ed ETC Collector v3.0.8 Pro su un ambiente Active Directory e un tenant Entra ID di produzione, eseguiti con la stessa configurazione di accesso il 10 aprile 2026. Lato Active Directory, ETC Collector copre 115 indicatori Purple Knight su 119, matcha l’integralità dei 49 IOE segnalati da Purple Knight e completa la scansione mediana in 1,01 secondi contro 2 minuti 55 di Purple Knight, cioè circa 173 volte più veloce.
Lato Entra ID il risultato è più sfumato: entrambi gli strumenti sono limitati da Microsoft Graph. ETC Collector termina comunque in 86 secondi mediani contro 1 minuto 58 di Purple Knight, con 92 finding Azure-category emessi contro 31 IOE Purple Knight — circa 3 volte più rilevazioni in un 40 per cento di tempo in meno. Purple Knight mantiene tuttavia 6 check Entra e 2 check AD in cui resta più forte, e questa pagina li elenca tutti.
Come è stato eseguito il side-by-side di Purple Knight
Le cifre di questa pagina provengono da un benchmark eseguito il 10 aprile 2026 dallo stesso team, su un ambiente Active Directory e un tenant Entra ID di produzione. Tutti gli identificativi tecnici (nome di dominio, domain controller, indirizzi IP, tenant ID, app registration, percorsi dei report) sono stati rimossi dalla versione pubblica.
Lato Active Directory, il report Purple Knight proviene da un run precedente eseguito dal domain controller con l’account Administrator e la selezione di indicatori AD predefinita; la misura del tempo proviene direttamente dal report Excel di Purple Knight. I run di ETC Collector sono stati lanciati da un host Linux, 5 volte di seguito, con network probes attivi. Viene utilizzata la mediana dei run ETC (1,03 s, 1,01 s, 1,02 s, 0,99 s, 1,00 s, ovvero 1,01 s).
Lato Entra ID, entrambi gli strumenti sono stati eseguiti il 10 aprile 2026 in una finestra di 30 minuti, con la stessa app registration e gli stessi 24 permessi Microsoft Graph (Application.Read.All, Directory.Read.All, IdentityRiskEvent.Read.All, Policy.Read.All, RoleManagement.Read.Directory, UserAuthenticationMethod.Read.All, ecc.). Purple Knight Community 5.0 ha selezionato 50 indicatori su 54: 4 non hanno potuto girare per mancanza di permessi aggiuntivi (perimetri PIM specifici, accesso mailbox e hash sync readiness). ETC Collector ha eseguito i suoi 158 detector con esattamente lo stesso set di 24 permessi.
Alcuni contatori reali del run ETC Collector del 10 aprile 2026, con gli indicatori Purple Knight equivalenti.
Quando Purple Knight non si adatta più al modello operativo
Purple Knight resta utile per review puntuali con reporting esecutivo Windows. I team cercano in genere un’alternativa quando vogliono automatizzare, coprire AD ed Entra insieme, o sfruttare finding strutturati invece di indicatori GUI.
Hai bisogno di un workflow Linux o CI
Purple Knight resta centrato su Windows e su una GUI interattiva. I team che lanciano audit da server Linux, container, job schedulati o CI hanno bisogno di una CLI o di una API headless.
Vuoi più profondità Entra sfruttabile
Purple Knight Community 5.0 ha veri indicatori Entra, ma il benchmark mostra ETC Collector con un catalogo più ampio, più finding Azure-category emessi, e categorie come Conditional Access, guest, applicazioni, risk protection e conformità.
Ti serve più di categorie PASS o FAIL
Purple Knight eccelle nel grading degli indicatori, ma molti operatori hanno anche bisogno di finding nominati, contesto di grafo e liste di oggetti precise dietro al voto.
Vuoi automatizzare e ripetere la review
Se il team di sicurezza vuole rilanciare la stessa review dopo una pulizia dei privilegi o un cambio di policy, un collector non interattivo si integra meglio di un flusso GUI-first.
Come valutare seriamente un’alternativa a Purple Knight
La copertura degli indicatori conta, ma la valutazione pratica deve anche guardare al match sugli IOE effettivamente trovati, ai limiti propri di ogni strumento, al supporto di piattaforma, allo scope Entra e alla sfruttabilità del risultato nell’operatività ricorrente.
Copertura del set di indicatori pubblicato
Il benchmark documenta 115 indicatori AD Purple Knight su 119 pienamente coperti, due coperti parzialmente e due indicatori Hybrid non applicabili nel run AD.
Qualità del match sugli IOE realmente trovati
La metrica più utile per la decisione è il match sugli IOE: lato AD, ETC Collector matcha i 49 indicatori che scattavano nel run di Purple Knight.
Cosa aggiunge l’alternativa oltre ai voti
Le famiglie ADCS ESC, i grafi di attacco, i finding Entra più ampi, le ACL granulari, i GPO e i mapping di conformità estendono la review ben oltre le categorie PASS o FAIL.
Adeguatezza al deployment reale
Una CLI cross-platform può essere installata su Linux, macOS, Windows o Docker. Questo cambia chi può operare lo strumento e con quale frequenza la review può essere rilanciata.
Dove si inserisce ETC Collector e dove Purple Knight mantiene punti di forza
Purple Knight resta utile quando un team desidera una review GUI Windows riconoscibile e un report esecutivo pronto da condividere. ETC Collector diventa più adatto non appena il bisogno riguarda automazione, ADCS, Entra ID, grafi di attacco o finding strutturati.
ETC Collector si adatta a una review operativa ripetibile
Se la review deve girare da Linux, Docker, CI o workflow API, ETC Collector è più semplice da industrializzare.
Purple Knight mantiene check precisi che il benchmark riconosce
Purple Knight si differenzia oggi soprattutto per l’esperienza Windows nativa, il report esecutivo e alcuni controlli tenant-side come allowedToCreateTenants o certi parametri di presentazione MFA.
La questione della migrazione dipende da piattaforma e scope
La maggior parte dei team si muove quando ha bisogno di esecuzione cross-platform, profondità Entra o più dettaglio tecnico dietro lo strato degli indicatori.
EtcSec aggiunge l’operating layer attorno al collector
Trending storico, orchestrazione centrale, dashboard e workflow di remediation vengono da EtcSec sopra ETC Collector.
Cosa mostra davvero il benchmark Purple Knight aggiornato
Il benchmark Purple Knight nella documentazione ETC Collector scompone copertura AD, parziali, finding esclusivi ETC, confronto Entra ID, performance e limiti dei due strumenti. Questa pagina riprende questi dati senza pubblicare gli identificativi dell’ambiente.
La copertura per categoria Purple Knight lato Active Directory
Questo è ciò che rende il confronto più utile del semplice claim “abbiamo più check”. Purple Knight ed ETC Collector si sovrappongono fortemente sui finding AD che realmente scattavano nell’ambiente pubblicato. Il confronto dice quindi qualcosa di pratico sulla fattibilità di sostituzione.
Anche i parziali sono documentati senza maquillage. Le differenze AD prima evidenziate su lettori di password gMSA e RODC credential caching sono ormai chiuse in ETC Collector v3.0.9, quindi le differenze residue stanno soprattutto nella presentazione, nel workflow e in alcuni controlli tenant-side.
| Area Purple Knight | Indicatori totali | Coperti | Parziali | Non coperti / N.A. |
|---|---|---|---|---|
| AD Delegation | 19 | 18 | 1 | 0 |
| Account Security | 34 | 34 | 0 | 0 |
| AD Infrastructure | 34 | 33 | 1 | 0 |
| Group Policy | 11 | 11 | 0 | 0 |
| Kerberos | 19 | 19 | 0 | 0 |
| Hybrid | 2 | 0 | 0 | 2 N/A |
Il match completo degli IOE AD è il segnale di migrazione più forte
Le percentuali di copertura sono utili, ma la metrica operativamente decisiva è il match sugli indicatori in IOE Found. Il run pubblicato mostra ETC Collector allineato con ogni indicatore Purple Knight che stava realmente scattando lato AD.
La differenza conta perché molti cataloghi contengono PASS o N/A che non cambiano il prossimo passo di remediation. Un match completo sugli IOE AD mostra che i due strumenti sono allineati sui problemi reali del dominio testato.
Su Entra ID, la differenza è una questione di breadth, non un divario di 170x
Su Entra ID, il fattore limitante dei due strumenti è Microsoft Graph: latenza di rete, paginazione e throttling. La differenza di velocità è 1,4x, non 170x come su Active Directory. Dentro lo stesso budget di rete, ETC Collector esegue però circa 3 volte più detector e porta in superficie circa 3 volte più famiglie di finding, perché condivide il grafo degli oggetti tra detector e parallelizza aggressivamente le chiamate Graph indipendenti.
Purple Knight Community 5.0 non è vuoto su Entra: contiene 57 indicatori AAD totali. La questione del benchmark non è un delta 2 contro 158, ma un delta 50 contro 158 sul set eseguito e un delta 31 contro 92 sui finding effettivamente emessi. ETC Collector porta inoltre categorie assenti dal catalogo Purple Knight Community: emergency break-glass accounts ed esclusione CA, B2B cross-tenant, retention dei log Entra, conformità CIS e ANSSI, app consents tenant-wide, service principal esterni, ecc.
Questa pagina non nasconde che Purple Knight resta pertinente per alcuni team: soprattutto per la GUI Windows, il reporting esecutivo e alcuni controlli tenant-side come allowedToCreateTenants o la presentazione di certi prompt MFA. Ma i gap prima documentati su CBA/SAML, unresolved privileged role members e attività MFA sospette non sono più aperti in ETC Collector v3.0.9.
| Metrica | Purple Knight Community 5.0 | ETC Collector v3.0.8 Pro |
|---|---|---|
| Durata scansione | 1 min 58 (118 s) | 86 s mediani su 3 run (86,35 / 99,11 / 79,85 s) |
| Detector eseguiti | 50 selezionati su 54 (4 non selezionati: permessi aggiuntivi richiesti per PIM, mailbox, hash sync) | 158 detector Entra registrati, tutti eseguiti con gli stessi 24 permessi Graph |
| Finding / IOE emessi | 31 IOE trovati, 18 pass, 1 not relevant | 92 finding Azure-category con count superiore a 0 |
| Rilevazioni al secondo | 0,42 indicatori al secondo | 1,07 detector al secondo, circa 2,5x più lavoro sullo stesso endpoint Graph |
| Severità delle rilevazioni emesse | 2 critical, 15 high, 27 medium, 8 low, 2 info | 10 critical, 31 high, 44 medium, 6 low, 1 info |
| Copertura Purple Knight → ETC | 31 IOE di riferimento | 22 coperti direttamente, 3 parzialmente, 6 specifici Purple Knight |
| Famiglie aggiuntive ETC | — | 61 famiglie di issue che nessun indicatore Purple Knight copre |
| Categorie principali | Identity, Applications, Conditional Access, Guests, PIM, Config, Groups, Hybrid | Identity, Applications e SP, Conditional Access, Guests, PIM ed emergency accounts, Config e logging, Groups, Risk Protection, Azure Compliance |
Che cosa è cambiato dal confronto pubblicato in v3.0.8
Il benchmark pubblicato è stato prodotto con ETC Collector v3.0.8. Dalla v3.0.9 in poi, diversi gap allora documentati sono stati chiusi. Le card sotto riassumono lo stato corrente utile quando si valuta Purple Knight rispetto al catalogo ETC attuale.
AD / SI000083 — Lettori di password gMSA
ETC Collector v3.0.9 include ora un detector autonomo GMSA_PASSWORD_READERS oltre agli archi di takeover gMSA già presenti nel grafo di attacco. Se volevi un finding diretto per coppia (principal, gMSA), Purple Knight non è più necessario per questo controllo specifico.
AD / SI000022 — RODC credential caching
ETC Collector v3.0.9 rileva ora il caching di credenziali privilegiate sui Read-Only Domain Controller tramite il finding RODC_PRIVILEGED_CACHING. Se gestisci RODC, questo gap non è più un motivo per tenere solo Purple Knight.
Entra / SI000206 — Nome app e geolocalizzazione su MFA push
Purple Knight verifica se Microsoft Authenticator è configurato per mostrare il nome dell’applicazione target e la localizzazione geografica della richiesta di accesso nelle notifiche push. ETC Collector non segnala questo parametro Authenticator specifico.
Entra / SI000235 — Certificate-Based Authentication persistence
ETC Collector v3.0.9 aggiunge copertura dedicata per la certificate-based authentication sulle applicazioni e per la salute dei certificati SAML. Questo riduce in modo sostanziale il gap di governance sui certificati, anche se Purple Knight conserva la propria presentazione tenant-side.
Entra / SI000207 — Creazione di tenant da parte di non-admin
Purple Knight legge il flag allowedToCreateTenants nella authorization policy. ETC Collector verifica allowedToCreateApps tramite AZ_APP_REGISTRATION_OPEN ma non la creazione di tenant.
Entra / SI000093 — Report suspicious activity disattivato
ETC Collector v3.0.9 aggiunge MFA_SUSPICIOUS_ACTIVITY e MFA_UNUSUAL_LOCATION. Non replica esattamente il flag tenant di Purple Knight, ma chiude buona parte del gap pratico sulla rilevazione MFA sospetta.
Entra / SI000215 — Revisione certificati SAML SSO
ETC Collector v3.0.9 aggiunge SAML_CERTIFICATE_EXPIRED, SAML_CERTIFICATE_EXPIRING_SOON e SAML_CERTIFICATE_LONG_LIFETIME, offrendo una copertura dedicata allo stato dei certificati per le applicazioni SAML.
Entra / SI000237 — Unresolved privileged role members
ETC Collector v3.0.9 aggiunge UNRESOLVED_PRIVILEGED_MEMBERS e chiude così il gap precedentemente documentato sulle assegnazioni di ruoli privilegiati che non si risolvono più verso un principal valido.
La profondità aggiuntiva arriva da ADCS, grafi, Entra, ACL e GPO
Tassonomia ADCS ESC1 a ESC11
Purple Knight Community dispone di 3 check ADCS generici (SI000090, SI000156, SI000157) che hanno tutti restituito Pass in questo run: in altre parole, Purple Knight ha dato un A+ all’infrastruttura certificati mentre ETC Collector ha identificato 6 famiglie di primitive di exploit SpecterOps e 24 istanze: ESC1 (EnrolleeSuppliesSubject su template con client auth), ESC2 (Any Purpose EKU su 3 template), ESC3 (Enrollment Agent senza restrizione su 4 template), ESC4 (ACL pericolose su 12 template), ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2 sulla CA), ESC11 (bypass RPC enforcement). Ogni classe ESC ha una remediation propria, che il voto A+ di Purple Knight non indica.
Grafo di attacco con BFS e catene ACL
ETC Collector documenta 58 percorsi di attacco sul dominio testato: 8 critici e 50 high, con 50 catene ACL_ABUSE (GenericAll, WriteDACL, WriteOwner) e 8 catene DCSYNC. Media 1,1 hop, massimo 3 hop, 41 target privilegiati distinti raggiunti. Purple Knight non modella i percorsi di attacco: i suoi 119 indicatori sono valutati individualmente, senza concatenamento. Per ottenere questo livello con Purple Knight serve uno strumento separato come BloodHound o Forest Druid.
Profondità Entra specifica di ETC
Con gli stessi 24 permessi Graph, ETC Collector ha emesso 61 famiglie di finding che nessun indicatore Purple Knight Community copre: 944 service principal provenienti da tenant terzi, 935 senza proprietario, 1.099 gruppi Entra orfani, 38 app senza proprietario, 29 app con implicit flow, 22 consents concessi a livello tenant, 14 app multi-tenant, 14 risky sign-in non investigati, 9 risky user non rimediati, assenza di account break-glass, assenza di review degli accessi guest, un guest con ruolo privilegiato, nessuna policy CA che blocca la legacy auth, 6 policy CA bloccate in report-only, ecc.
Granularità ACL e GPO su tutto il dominio
ETC Collector ha prodotto 6.029 istanze di finding ACL-related sul dominio testato, distribuite su 14 tipi di detector: 1.193 ACL_WRITEDACL, 1.193 ACL_WRITEOWNER, 1.160 ACL_GENERICALL, 1.193 EVERYONE_IN_ACL, 100 COMPUTER_ACL_GENERICALL, 97 WRITESPN_ABUSE e altro. È la materia prima del grafo di attacco. Lato GPO, 21 tipi di finding hanno scattato, coprendo protezione delle credenziali (WDigest, LSA, Credential Guard), hardening registry (LLMNR, NBT-NS, Hardened UNC, NetCease), Defender ASR, policy firewall e script logon pericolosi. Purple Knight ha segnalato 1 IOE GPO (SI000032) e 11 indicatori GPO totali.
Conformità CIS, NIST, ANSSI e DISA STIG
ETC Collector include 23 detector di conformità dedicati che valutano il dominio contro CIS Microsoft Windows Server Benchmark, NIST 800-53 Rev 5 / 800-171, guida ANSSI AD e DISA STIG Windows Server. Ogni finding di conformità è riportato con l’identificativo del controllo violato. Purple Knight tagga alcuni indicatori con TTP MITRE ATT&CK e riferimenti ANSSI nelle colonne del report, ma non valuta il dominio contro un framework completo. Per un’organizzazione regolata, è il delta più strutturante.
Licenza e modello open source
Purple Knight Community è un binario chiuso distribuito sotto EULA Semperis: il codice sorgente non è pubblico e non sono consentite modifiche. ETC Collector Community è pubblicato sotto licenza Apache 2.0 con codice sorgente completo su GitHub: uso commerciale autorizzato, modifiche autorizzate, redistribuzione autorizzata e audit possibile del codice che gira sui tuoi DC. ETC Collector Pro aggiunge i detector ADCS ESC1–ESC11, i grafi di attacco e i 10 detector Risk Protection di Entra ID sotto una licenza proprietaria separata.
Velocità e modello di delivery cambiano chi può eseguire la review
Una GUI Windows non è un difetto di per sé, ma restringe chi può operare lo strumento. Se la review identitaria è gestita da un team molto Windows e viene lanciata solo occasionalmente, Purple Knight può restare comodo. Se il workflow deve girare su server, container o CI, quel modello diventa rapidamente attrito.
La differenza di velocità cambia soprattutto la cadenza lato AD. Un run mediano a 1,01 secondi è abbastanza rapido da diventare una fase di validazione dopo hardening o change, e non solo un rituale periodico. Lato Entra, il beneficio principale è la breadth dei check più che la velocità pura.
| Domanda | Purple Knight | ETC Collector |
|---|---|---|
| Runtime AD osservato | 2 min 55 | 1,01 s mediani |
| Runtime Entra osservato | 1 min 58 | 86 s mediani |
| Modello principale | GUI Windows | CLI cross-platform |
| Supporto Linux/macOS | No | Sì |
| Automazione headless | Limitata | Sì |
| Tassonomia ADCS ESC | Generica / parziale | ESC1 a ESC11 lato Pro |
| Profondità Entra | Indicatori Entra reali, con diversi PK-only | Catalogo più ampio e finding più granulari |
Quando Purple Knight continua ad avere senso e quando ETC diventa più forte
Purple Knight continua ad avere senso quando un team valorizza una GUI Windows familiare, i voti per categoria e alcuni check specifici più dell’automazione o dell’estensione dello scope. ETC diventa più forte quando la review deve girare fuori da Windows, quando l’organizzazione vuole più dettaglio a livello oggetto o quando lo stesso workflow deve coprire AD ed Entra con output strutturato.
La vera domanda non è quindi “quale brand è migliore”, ma se modello operativo e scope del programma hanno superato ciò che una review di indicatori con GUI Windows può sostenere comodamente.
- Mantieni Purple Knight se il requisito principale è una review Windows con GUI guidata per categorie o se i check PK-only elencati sopra sono bloccanti.
- Scegli ETC Collector se hai bisogno di automazione, cross-platform, ADCS ESC, grafi di attacco o profondità Entra più ampia.
- Usa EtcSec quando il collector deve fornire anche dashboard, storico, scheduling e vista centralizzata della remediation.
Domande frequenti
Quanto di Purple Knight copre ETC Collector?
Lato AD, il benchmark documenta 115 indicatori Purple Knight su 119 pienamente coperti, 2 parziali, 2 Hybrid non applicabili e i 49 IOE Purple Knight matchati da ETC Collector.
Qual è la metrica più importante?
Lato AD, il match completo degli IOE: ETC Collector matcha ogni indicatore Purple Knight in IOE Found nel run pubblicato. Lato Entra, la metrica più utile è la combinazione di breadth e limiti: 92 finding Azure-category lato ETC, con 22 IOE Purple Knight coperti direttamente, 3 parzialmente e 6 PK-only.
Cosa aggiunge ETC Collector oltre a Purple Knight?
Il benchmark evidenzia analisi ADCS ESC1 a ESC11, grafi di attacco, copertura Entra più ampia, finding ACL e GPO granulari, modello CLI/API cross-platform e mapping di conformità.
Quando Purple Knight continua a essere adatto?
Resta adatto ai team che preferiscono una GUI Windows, un report esecutivo già rifinito o controlli tenant-side come allowedToCreateTenants e certi parametri di presentazione MFA.
Pagine correlate alla sicurezza dell’identità
Guarda la copertura AD più ampia dietro ai finding tecnici citati in questo confronto.
Rivedi la profondità cloud e i finding Entra strutturati citati in questo benchmark.
Comprendi le modalità del collector, la superficie API e perché il modello CLI conta.
Confronta il motore di raccolta con il layer SaaS di trending e follow-up.
Confronta il tuo workflow attuale di Purple Knight con ETC Collector
Usa il match IOE AD, le metriche Entra e i limiti documentati di ogni strumento come baseline, poi verifica se un collector cross-platform si adatta meglio al tuo modello operativo di una review con GUI Windows.