Collector de segurança de identidade
Construído para auditorias repetíveis
O ETC Collector é o motor de prova por trás das revisões de Active Directory e Microsoft Entra ID da EtcSec. É um collector em Go que suporta operação local standalone, modo daemon registado em SaaS, acesso API REST e execução recorrente sem exigir agentes em controladores de domínio.
A documentação publicada posiciona-o como um pipeline de collection → parsing → analysis → graph → response, com suporte para LDAP ou LDAPS, SMB para SYSVOL e análise GPO, Microsoft Graph API, sondas de rede opcionais e saída JSON estruturada.
curl -fsSL https://get.etcsec.com/install-pro.sh | sudo bash -s -- --mode server --token="<verify-in-popup>"Verifique o seu email no popup e depois copie o comando server numa linha com um token de curta duração.
Porque o collector é mais do que um pequeno binário de auditoria
Recolha em leitura apenas sobre AD e Entra
LDAP ou LDAPS, SMB para SYSVOL e leituras Microsoft Graph são combinados no mesmo workflow. Não é necessária mutação do diretório para recolher a prova.
- Utilizadores, grupos, computadores, GPO, trusts, ACL e ADCS
- Aplicações, service principals, políticas CA e funções privilegiadas
- As sondas de rede opcionais mantêm-se como controlos opt-in explícitos
Motor de deteção modular
A documentação de arquitetura descreve um sistema modular de providers e detetores com execução concorrente e análise de grafos de ataque sobre os objetos recolhidos.
- Execução paralela de detetores
- Saída JSON estruturada
- Suporte de attack graph em workflows Pro
Operação local produtiva
O modo standalone server expõe uma GUI web local e uma API REST na porta 8443, permitindo usar o collector mesmo sem ligação SaaS.
- GUI local com dashboard e histórico de jobs
- API REST sob /api/v1
- Geração de JWT de automação via GUI token
Um collector que também escala para frotas geridas
O modo daemon faz polling da plataforma SaaS, executa comandos, reporta health e pode atualizar-se mantendo a recolha local ao ambiente do cliente.
- Loop de polling a cada 30 segundos por defeito
- Armazenamento local cifrado de credenciais após enrollment
- Pensado para um collector por site ou domínio
Dois modos operacionais, um único motor de recolha
Use o modo standalone server quando tudo deve permanecer local, ou registe o daemon quando quiser que a plataforma SaaS orquestre e acompanhe o collector.
Abrir o popup de instalação
Introduza o seu email, valide o código de seis dígitos e copie um comando server numa linha com um token temporário.
Configurar as fontes de dados
Aponte o collector para LDAP ou LDAPS, SYSVOL e opcionalmente Microsoft Graph. Em modo daemon, a plataforma também pode enviar configuração.
Executar server ou daemon
O modo standalone inicia a GUI local e a API. O modo daemon regista-se na plataforma SaaS e faz polling de comandos mantendo a recolha local.
O collector foi desenhado para ser explicável em revisão
Entradas em leitura apenas
A documentação publicada descreve LDAP ou LDAPS e leituras SMB para AD, além de leituras Graph para Entra. O collector não foi pensado para escrever de volta nestes sistemas durante a auditoria normal.
- Sem agentes instalados em controladores de domínio
- Sem mutações de GPO ou diretório
- As sondas de rede continuam opt-in
Controlos de exposição local-first
O modo standalone corre com API e GUI locais. Em modo daemon, a GUI local fica ligada a 127.0.0.1 por defeito, salvo se o operador abrir explicitamente a exposição em rede.
- GUI e API standalone em :8443
- GUI do daemon desativada por defeito nas interfaces de rede
- A automação JWT usa o fluxo de GUI token
Gestão de credenciais e operação em frota
O enrollment armazena credenciais localmente em formato cifrado. A documentação descreve também staging de updates binários e lógica de watcher restart para o modo daemon.
- O token de enrollment não é guardado em claro
- Caminho de unenroll best-effort
- Fluxo de update automático com validação de checksum
Como o ETC Collector corre em ambientes reais
Modo standalone server
Execute `etc-collector server` para expor a GUI local e a API REST. Este modo é útil para revisão local, workflows air-gapped e avaliações pontuais orientadas por API.
Modo daemon para collectors geridos
Execute `etc-collector daemon` após o enrollment para fazer polling da plataforma SaaS, executar auditorias localmente e reportar resultados e health de forma central.
API e automação
A API local sob `/api/v1` suporta criação de JWT e lançamentos programáticos de auditoria, tornando o collector utilizável a partir de scripts, SIEM e pipelines CI.
Acompanhamento central via EtcSec
O collector continua local ao ambiente, enquanto a EtcSec fornece dashboards, scheduling e acompanhamento histórico para organizações que o necessitam.
Cobertura e interfaces expostas pelo collector
Detection providers
Active Directory
Ativo · 340 deteções · Pro / Full editionMicrosoft Entra ID
Ativo · 158 deteções · Pro / Full editionOperating modes
API standalone
AtivoExpose the local REST API and web GUI for standalone, local-first audits.
Modo daemon de frota
AtivoEnroll the collector as a SaaS daemon to run centrally managed recurring audits while collection stays local.
Como o ETC Collector corre, se integra e escala
A documentação mostra como o ETC Collector é implantado, que interfaces expõe e como a recolha Community se articula com a camada operacional da EtcSec.
Standalone server versus SaaS daemon
O modo standalone é útil quando tudo tem de permanecer local ou quando a equipa de segurança quer automatizar diretamente em torno da API local. O modo daemon é útil quando uma equipa central quer orquestrar vários collectors por sites ou domínios sem abdicar da recolha local.
O mais importante é que ambos os modos partilham o mesmo motor de recolha. A diferença está na forma como o collector é operado e onde o workflow é observado, não em ter uma base de prova diferente.
| Modo | O que faz | Melhor fit |
|---|---|---|
| Standalone server | Expõe uma GUI local e uma API REST na porta 8443 sem dependência SaaS | Air-gapped, local-only ou revisões pontuais guiadas por API |
| SaaS daemon | Faz polling da plataforma por comandos, executa localmente e reporta resultados e health de forma central | Frotas geridas, auditorias recorrentes, operação multi-site |
A arquitetura publicada é collection, parsing, analysis, graph, response
A documentação de arquitetura descreve explicitamente um sistema modular de providers e detetores com execução concorrente. Do ponto de vista de produto, isto mostra que o ETC Collector não é um script ad hoc, mas um motor de auditoria modular com abstração por provider e análise de grafos sobre os objetos recolhidos.
Para os operadores, o benefício prático é a clareza. É possível explicar exatamente o que o collector faz, que objetos recolhe e como os findings emergem desses objetos. Isso é mais defensável em change control do que uma mensagem vaga do tipo “confie, isto faz scan ao domínio”.
O que o collector recolhe realmente e porque isso conta
Esta mistura de fontes explica porque o collector pode falar tanto da configuração de identidade como dos controlos em redor da identidade. Não fica apenas nos metadados do diretório; chega também às camadas de GPO e policy que tornam roubo de credenciais ou execução remota mais fáceis.
| Fonte | Exemplos | Porque importa |
|---|---|---|
| Active Directory via LDAP | Utilizadores, grupos, computadores, trusts, domínios e ACL | Relações centrais de identidade e privilégio |
| SYSVOL via SMB | registry.pol, GptTmpl.inf e scripts | Visibilidade de GPO, hardening e fuga de credenciais |
| Microsoft Graph API | Utilizadores, grupos, aplicações, políticas CA e atribuições de funções | Postura cloud e segurança do plano de controlo |
| Sondas opcionais | Spooler, TLS, DNS ou superfícies de web enrollment | Deteção de relay e transportes fracos |
Onde termina a edição Community e onde começam workflows mais ricos
A distinção de produto importante não é apenas um feature gate. A pergunta real é se precisa apenas do motor de recolha ou também da camada operacional à volta: dashboards, orquestração multi-site e workflow de remediação.
| Capacidade | Community | Pro / EtcSec |
|---|---|---|
| Deteções de Active Directory | Sim | Sim |
| Deteções de Microsoft Entra ID | Sim | Sim |
| Modo local standalone | Sim | Sim |
| Gestão daemon lado SaaS | Funciona com EtcSec | Sim |
| Análise ADCS ESC | Estendida em workflows Pro | Sim |
| Análise de grafo de ataque | Estendida em workflows Pro | Sim |
| Dashboards, histórico, scheduling | Não | Sim |
Porque a superfície API e o fluxo daemon contam na prática
O standalone server expõe `/api/v1` e suporta geração de JWT através do GUI token. Isto torna o collector utilizável a partir de scripts, pipelines CI ou integrações SIEM. O fluxo daemon acrescenta reporting de health, comandos remotos e gestão de updates para equipas que administram vários collectors.
Isto conta porque muitas ferramentas open-source de segurança são práticas apenas para uso manual. O ETC Collector está documentado como um componente integrável em operações sem perder explicabilidade nem controlo local-first.
Onde a EtcSec acrescenta mais do que o collector sozinho
O collector é o motor de prova. A EtcSec acrescenta dashboards, trending histórico, scheduling e uma camada operacional mais ampla para equipas que precisam de acompanhamento central em vez de apenas execução local.
- Acompanhamento histórico e revisão de tendência
- Orquestração multi-site
- Agendamento de auditorias recorrentes
- Dashboard e workflow de remediação
- Visibilidade transversal para além da saída JSON local
- Uma camada central à volta do mesmo motor de recolha
Explore as paginas de identidade que sustentam este tema
Explore páginas detalhadas sobre Active Directory, Entra ID, deployment do ETC Collector e comparações diretas de produto.
Veja a landing page focada em Tier 0, Kerberos, delegacao, ADCS e prioridades de remediacao.
Veja a pagina Entra ID sobre Conditional Access, MFA, PIM, permissoes de aplicacoes e exposicao de convidados.
Compare o PingCastle com o ETC Collector para auditorias AD recorrentes e workflows de coleta em modo standalone.
Compare o Purple Knight com o ETC Collector para revisoes AD e Entra ID com acompanhamento recorrente.
Revise o ETC Collector, os seus modos de deploy local e como as equipas executam auditorias standalone ou recorrentes.
Explore o collector antes de decidir até onde o quer operacionalizar
Comece com o collector open-source se precisa de recolha local de evidência. Acrescente a EtcSec quando esse mesmo motor também tiver de fornecer dashboard, scheduling e acompanhamento central de remediação.