Uma alternativa ao Purple Knight com provas AD, Entra e limites sem edulcorar
Este benchmark compara o Purple Knight Community 5.0 e o ETC Collector v3.0.8 Pro num ambiente Active Directory e num tenant Entra ID de produção, executados com a mesma configuração de acesso a 10 de abril de 2026. Do lado do Active Directory, o ETC Collector cobre 115 indicadores Purple Knight em 119, faz match da totalidade dos 49 IOEs que o Purple Knight assinala e termina o scan mediano em 1,01 segundos contra 2 minutos 55 do Purple Knight, ou seja, cerca de 173 vezes mais rápido.
Do lado do Entra ID, o resultado é mais matizado: ambas as ferramentas são limitadas pelo Microsoft Graph. Ainda assim, o ETC Collector termina em 86 segundos medianos contra 1 minuto 58 do Purple Knight, com 92 findings Azure-category emitidos contra 31 IOEs do Purple Knight — cerca de 3 vezes mais deteções em 40 por cento menos de tempo. O Purple Knight mantém contudo 6 checks Entra e 2 checks AD onde continua a ser mais forte, e esta página lista-os integralmente.
Como foi executado o side-by-side do Purple Knight
Os números desta página vêm de um benchmark executado a 10 de abril de 2026 pela mesma equipa, num ambiente Active Directory e num tenant Entra ID de produção. Todos os identificadores técnicos (nome de domínio, controladores, endereços IP, tenant ID, app registration, caminhos de relatórios) foram removidos desta versão pública.
Do lado do Active Directory, o relatório Purple Knight provém de um run anterior executado a partir do controlador de domínio com a conta Administrator e a seleção de indicadores AD por omissão; a medição do tempo vem diretamente do relatório Excel do Purple Knight. Os runs ETC Collector foram lançados a partir de um host Linux, 5 vezes consecutivas, com network probes ativadas. É usada a mediana dos runs ETC (1,03 s, 1,01 s, 1,02 s, 0,99 s, 1,00 s, isto é, 1,01 s).
Do lado do Entra ID, ambas as ferramentas foram executadas a 10 de abril de 2026 numa janela de 30 minutos, com a mesma app registration e as mesmas 24 permissões Microsoft Graph (Application.Read.All, Directory.Read.All, IdentityRiskEvent.Read.All, Policy.Read.All, RoleManagement.Read.Directory, UserAuthenticationMethod.Read.All, etc.). O Purple Knight Community 5.0 selecionou 50 indicadores em 54: 4 não puderam correr por falta de permissões adicionais (âmbitos PIM específicos, acesso a mailbox e hash sync readiness). O ETC Collector executou os seus 158 detetores com exatamente o mesmo conjunto de 24 permissões.
Alguns contadores reais do run ETC Collector de 10 de abril de 2026, com os indicadores Purple Knight equivalentes.
Quando o Purple Knight deixa de encaixar no modelo operacional
O Purple Knight continua útil para revisões pontuais com reporting executivo Windows. As equipas procuram normalmente uma alternativa quando querem automatizar, cobrir AD e Entra em conjunto, ou explorar findings estruturados em vez de indicadores GUI.
Precisa de um workflow Linux ou CI
O Purple Knight mantém-se centrado em Windows e numa GUI interativa. As equipas que lançam auditorias a partir de servidores Linux, contentores, jobs agendados ou CI precisam de uma CLI ou de uma API headless.
Quer mais profundidade Entra acionável
O Purple Knight Community 5.0 tem indicadores Entra reais, mas o benchmark mostra o ETC Collector com um catálogo mais vasto, mais findings Azure-category emitidos, e categorias como Conditional Access, guests, aplicações, risk protection e conformidade.
Precisa de mais do que categorias PASS ou FAIL
O Purple Knight destaca-se na classificação por indicador, mas muitos operadores precisam também de findings nomeados, contexto de grafo e listas precisas de objetos por trás da nota.
Quer automatizar e repetir a revisão
Se a equipa de segurança quer voltar a correr a mesma revisão após uma limpeza de privilégios ou uma alteração de policy, um collector não interativo integra-se melhor do que um fluxo GUI-first.
Como avaliar seriamente uma alternativa ao Purple Knight
A cobertura de indicadores conta, mas a avaliação prática também tem de olhar para o match nos IOEs realmente encontrados, os limites próprios de cada ferramenta, o suporte de plataforma, o âmbito Entra e a explorabilidade do resultado em operação recorrente.
Cobertura do conjunto de indicadores publicado
O benchmark documenta 115 indicadores AD Purple Knight em 119 totalmente cobertos, dois parcialmente cobertos e dois indicadores Hybrid não aplicáveis no run AD.
Qualidade do match nos IOEs realmente encontrados
A métrica mais útil para decidir é o match nos IOEs: do lado AD, o ETC Collector faz match dos 49 indicadores que disparavam no run do Purple Knight.
O que a alternativa acrescenta para além das classificações
As famílias ADCS ESC, os grafos de ataque, os findings Entra mais amplos, as ACL granulares, os GPOs e os mappings de conformidade estendem a revisão muito para lá das categorias PASS ou FAIL.
Adequação ao deployment real
Uma CLI cross-platform pode ser instalada em Linux, macOS, Windows ou Docker. Isso altera quem pode operar a ferramenta e com que frequência a revisão pode ser relançada.
Onde o ETC Collector encaixa e onde o Purple Knight mantém forças
O Purple Knight continua útil quando uma equipa quer uma revisão Windows GUI reconhecível e um relatório executivo pronto a partilhar. O ETC Collector torna-se mais adequado a partir do momento em que a necessidade passa por automação, ADCS, Entra ID, grafos de ataque ou findings estruturados.
O ETC Collector encaixa numa revisão operacional repetível
Se a revisão tiver de correr a partir de Linux, Docker, CI ou workflows API, o ETC Collector é mais simples de industrializar.
O Purple Knight mantém checks precisos que o benchmark reconhece
O Purple Knight diferencia-se hoje sobretudo pela experiência Windows nativa, pelo relatório executivo e por alguns controlos tenant-side como allowedToCreateTenants ou certos parâmetros de apresentação MFA.
A questão da migração depende da plataforma e do âmbito
A maioria das equipas muda quando precisa de execução cross-platform, de profundidade Entra ou de mais detalhe técnico por trás da camada de indicadores.
A EtcSec acrescenta a camada operacional em torno do collector
O trending histórico, a orquestração central, os dashboards e o workflow de remediação vêm da EtcSec por cima do ETC Collector.
O que o benchmark Purple Knight atualizado realmente mostra
O benchmark Purple Knight na documentação do ETC Collector desagrega a cobertura AD, os parciais, os findings exclusivos do ETC, a comparação Entra ID, as performances e os limites das duas ferramentas. Esta página retoma esses dados sem publicar os identificadores do ambiente.
A cobertura por categoria do Purple Knight do lado Active Directory
É isto que torna o comparativo mais útil do que um simples “temos mais checks”. O Purple Knight e o ETC Collector sobrepõem-se fortemente nos findings AD que realmente disparavam no ambiente publicado. O comparativo diz por isso algo concreto sobre a viabilidade de uma substituição do lado AD.
Os parciais estão documentados sem maquilhagem. As diferenças AD antes destacadas sobre leitores de passwords gMSA e RODC credential caching estão fechadas no ETC Collector v3.0.9, pelo que as diferenças restantes se situam mais na apresentação, no workflow e em alguns controlos tenant-side.
| Área Purple Knight | Indicadores totais | Cobertos | Parciais | Não cobertos / N.A. |
|---|---|---|---|---|
| AD Delegation | 19 | 18 | 1 | 0 |
| Account Security | 34 | 34 | 0 | 0 |
| AD Infrastructure | 34 | 33 | 1 | 0 |
| Group Policy | 11 | 11 | 0 | 0 |
| Kerberos | 19 | 19 | 0 | 0 |
| Hybrid | 2 | 0 | 0 | 2 N/A |
O match completo dos IOEs AD é o sinal de migração mais forte
As percentagens de cobertura são úteis, mas a métrica operacional decisiva é o match nos indicadores em IOE Found. O run publicado mostra o ETC Collector alinhado com cada indicador Purple Knight que realmente disparava do lado AD.
A diferença importa porque muitos catálogos contêm PASS ou N/A que não alteram a próxima remediação. Um match completo nos IOEs AD mostra que ambas as ferramentas estão alinhadas com os verdadeiros problemas AD do domínio testado.
No Entra ID, a diferença é uma questão de breadth, não uma diferença de 170x
No Entra ID, o fator limitante de ambas as ferramentas é o Microsoft Graph: latência de rede, paginação e throttling. A diferença de velocidade é de 1,4 vezes e não de 170 vezes como no Active Directory. Mas, dentro do mesmo budget de rede, o ETC Collector executa cerca de 3 vezes mais detetores e traz à superfície aproximadamente 3 vezes mais famílias de findings, porque partilha o grafo de objetos entre detetores e paraleliza agressivamente as chamadas Graph independentes.
O Purple Knight Community 5.0 não está vazio em Entra — contém 57 indicadores AAD no total. A questão do benchmark não é uma diferença de 2 contra 158, é uma diferença de 50 contra 158 no conjunto executado, e uma diferença de 31 contra 92 nos findings efetivamente devolvidos. O ETC Collector traz ainda à superfície categorias ausentes do catálogo Purple Knight Community: emergency break-glass accounts e exclusão CA, B2B cross-tenant, retenção dos logs Entra, conformidade CIS e ANSSI, app consents tenant-wide, service principals externos, etc.
Esta página não esconde que o Purple Knight continua pertinente para algumas equipas: sobretudo pela GUI Windows, pelo reporting executivo e por alguns controlos tenant-side como allowedToCreateTenants ou a apresentação de certos prompts MFA. Mas os gaps antes documentados em torno de CBA/SAML, unresolved privileged role members e atividade MFA suspeita já não permanecem abertos no ETC Collector v3.0.9.
| Métrica | Purple Knight Community 5.0 | ETC Collector v3.0.8 Pro |
|---|---|---|
| Duração do scan | 1 min 58 (118 s) | 86 s medianos em 3 runs (86,35 / 99,11 / 79,85 s) |
| Detetores executados | 50 selecionados em 54 (4 não selecionados: permissões adicionais necessárias para PIM, mailbox, hash sync) | 158 detetores Entra registados, todos executados com as mesmas 24 permissões Graph |
| Findings / IOEs emitidos | 31 IOEs encontrados, 18 pass, 1 not relevant | 92 findings Azure-category com count superior a 0 |
| Deteções por segundo | 0,42 indicadores por segundo | 1,07 detetores por segundo — cerca de 2,5x mais trabalho no mesmo endpoint Graph |
| Severidade das deteções emitidas | 2 critical, 15 high, 27 medium, 8 low, 2 info | 10 critical, 31 high, 44 medium, 6 low, 1 info |
| Cobertura Purple Knight → ETC | 31 IOEs de referência | 22 cobertos diretamente, 3 parcialmente, 6 específicos do Purple Knight |
| Famílias adicionais ETC | — | 61 famílias de issues que nenhum indicador Purple Knight cobre |
| Categorias principais | Identity, Applications, Conditional Access, Guests, PIM, Config, Groups, Hybrid | Identity, Applications e SP, Conditional Access, Guests, PIM e emergency accounts, Config e logging, Groups, Risk Protection, Azure Compliance |
O que mudou desde a comparação publicada em v3.0.8
O benchmark publicado foi produzido com o ETC Collector v3.0.8. Desde a v3.0.9, vários dos gaps então documentados foram fechados. Os cartões abaixo resumem o estado atual relevante quando se avalia o Purple Knight face ao catálogo ETC atual.
AD / SI000083 — Leitores de passwords gMSA
O ETC Collector v3.0.9 passa agora a incluir um detetor autónomo GMSA_PASSWORD_READERS além das arestas de takeover gMSA já presentes no grafo de ataque. Quem queria um finding direto por par (principal, gMSA) já não precisa do Purple Knight para este controlo específico.
AD / SI000022 — RODC credential caching
O ETC Collector v3.0.9 deteta agora caching de credentials privilegiadas em Read-Only Domain Controllers através do finding RODC_PRIVILEGED_CACHING. Se operar RODCs, esta lacuna já não é motivo para ficar apenas com o Purple Knight.
Entra / SI000206 — Nome de app e geolocalização em MFA push
O Purple Knight verifica se o Microsoft Authenticator está configurado para mostrar o nome da aplicação alvo e a localização geográfica do pedido de login nas notificações push. O ETC Collector não assinala este parâmetro Authenticator específico.
Entra / SI000235 — Persistência Certificate-Based Authentication
O ETC Collector v3.0.9 adiciona cobertura dedicada para certificate-based authentication nas aplicações e para a saúde dos certificados SAML. Isso reduz de forma material o gap de governação de certificados, mesmo que o Purple Knight mantenha a sua própria apresentação tenant-side.
Entra / SI000207 — Criação de tenants por não-admins
O Purple Knight lê a flag allowedToCreateTenants na authorization policy. O ETC Collector verifica allowedToCreateApps via AZ_APP_REGISTRATION_OPEN mas não a criação de tenants.
Entra / SI000093 — Report suspicious activity desativado
O ETC Collector v3.0.9 adiciona MFA_SUSPICIOUS_ACTIVITY e MFA_UNUSUAL_LOCATION. Isso não replica exatamente a flag tenant do Purple Knight, mas fecha grande parte do gap prático em torno da deteção MFA suspeita.
Entra / SI000215 — Revisão dos certificados SAML SSO
O ETC Collector v3.0.9 adiciona SAML_CERTIFICATE_EXPIRED, SAML_CERTIFICATE_EXPIRING_SOON e SAML_CERTIFICATE_LONG_LIFETIME, dando cobertura dedicada ao estado dos certificados nas aplicações SAML.
Entra / SI000237 — Unresolved privileged role members
O ETC Collector v3.0.9 adiciona UNRESOLVED_PRIVILEGED_MEMBERS e fecha assim a lacuna anteriormente documentada nas atribuições de papéis privilegiados que já não se resolvem contra um principal válido.
A profundidade adicional vem de ADCS, dos grafos, de Entra, das ACL e dos GPO
Taxonomia ADCS ESC1 a ESC11
O Purple Knight Community dispõe de 3 checks ADCS genéricos (SI000090, SI000156, SI000157) que deram todos Pass neste run — por outras palavras, o Purple Knight atribuiu um A+ à infraestrutura de certificados, enquanto o ETC Collector identificou 6 famílias de primitivas de exploração SpecterOps e 24 instâncias: ESC1 (EnrolleeSuppliesSubject em template com client auth), ESC2 (Any Purpose EKU em 3 templates), ESC3 (Enrollment Agent sem restrição em 4 templates), ESC4 (ACL perigosas em 12 templates), ESC6 (EDITF_ATTRIBUTESUBJECTALTNAME2 na CA), ESC11 (bypass RPC enforcement). Cada classe ESC tem a sua própria remediação — o que a nota A+ do Purple Knight não diz.
Grafo de ataque com BFS e cadeias ACL
O ETC Collector documenta 58 caminhos de ataque no domínio testado: 8 críticos e 50 high, com 50 cadeias ACL_ABUSE (GenericAll, WriteDACL, WriteOwner) e 8 cadeias DCSYNC. Média de 1,1 saltos, máximo de 3 saltos, 41 alvos privilegiados distintos alcançados. O Purple Knight não modela caminhos de ataque: os seus 119 indicadores são pontuados individualmente, sem encadeamento. Se quiser este nível no Purple Knight, é preciso uma ferramenta separada como o BloodHound ou o Forest Druid.
Profundidade Entra específica do ETC
Com as mesmas 24 permissões Graph, o ETC Collector devolveu 61 famílias de findings que nenhum indicador Purple Knight Community cobre: 944 service principals vindos de tenants de terceiros, 935 sem proprietário, 1 099 grupos Entra órfãos, 38 apps sem proprietário, 29 apps com implicit flow, 22 consents concedidos à escala do tenant, 14 multi-tenant apps, 14 risky sign-ins não investigados, 9 risky users não remediados, ausência de contas break-glass, ausência de revisão de acesso guest, um convidado com papel privilegiado, nenhuma política CA a bloquear a legacy auth, 6 políticas CA presas em report-only, etc.
Granularidade ACL e GPO em todo o domínio
O ETC Collector produziu 6 029 instâncias de findings ACL-related no domínio testado, distribuídas por 14 tipos de detetores: 1 193 ACL_WRITEDACL, 1 193 ACL_WRITEOWNER, 1 160 ACL_GENERICALL, 1 193 EVERYONE_IN_ACL, 100 COMPUTER_ACL_GENERICALL, 97 WRITESPN_ABUSE, e mais. É a matéria-prima do grafo de ataque. Do lado GPO, dispararam 21 tipos de findings, cobrindo a proteção de credenciais (WDigest, LSA, Credential Guard), o hardening de registo (LLMNR, NBT-NS, Hardened UNC, NetCease), Defender ASR, a política de firewall e os scripts logon perigosos. O Purple Knight assinalou 1 IOE GPO (SI000032) e 11 indicadores GPO no total.
Conformidade CIS, NIST, ANSSI e DISA STIG
O ETC Collector inclui 23 detetores de conformidade dedicados que pontuam o domínio face ao CIS Microsoft Windows Server Benchmark, NIST 800-53 Rev 5 / 800-171, ANSSI AD guide e DISA STIG Windows Server. Cada finding de conformidade é reportado com o identificador de controlo que viola. O Purple Knight etiqueta alguns indicadores com TTPs MITRE ATT&CK e referências ANSSI nas colunas do relatório, mas não pontua o domínio contra um referencial completo. Para uma organização regulada, é a diferença mais estruturante.
Licença e modelo open source
O Purple Knight Community é um binário fechado distribuído ao abrigo do EULA da Semperis — o código-fonte não é público, nenhuma modificação é autorizada. O ETC Collector Community é publicado sob licença Apache 2.0 com código-fonte completo no GitHub: utilização comercial autorizada, modificações autorizadas, redistribuição autorizada, auditoria do código que corre nos seus DCs possível. O ETC Collector Pro acrescenta os detetores ADCS ESC1–ESC11, os grafos de ataque e os 10 detetores Risk Protection do Entra ID sob uma licença proprietária distinta.
A velocidade e o modelo de entrega mudam quem pode correr a revisão
Uma GUI Windows não é um defeito por si só, mas reduz quem pode operar a ferramenta. Se a revisão de identidade é conduzida por uma equipa muito Windows e lançada ocasionalmente, o Purple Knight pode continuar confortável. Se o workflow precisa de correr em servidores, contentores ou CI, esse modelo torna-se rapidamente uma fricção.
A diferença de velocidade muda sobretudo a cadência do lado AD. Um run mediano a 1,01 segundos é suficientemente rápido para se tornar uma etapa de validação após hardening ou change, e não apenas um ritual periódico. Do lado Entra, o benefício principal é a breadth dos checks em vez da velocidade bruta.
| Pergunta | Purple Knight | ETC Collector |
|---|---|---|
| Runtime AD observado | 2 min 55 | 1,01 s medianos |
| Runtime Entra observado | 1 min 58 | 86 s medianos |
| Modelo principal | GUI Windows | CLI cross-platform |
| Suporte Linux/macOS | Não | Sim |
| Automação headless | Limitada | Sim |
| Taxonomia ADCS ESC | Genérica / parcial | ESC1 a ESC11 do lado Pro |
| Profundidade Entra | Indicadores Entra reais, com vários PK-only | Catálogo mais amplo e findings mais granulares |
Quando o Purple Knight continua a fazer sentido e quando o ETC se torna mais forte
O Purple Knight continua a fazer sentido quando uma equipa valoriza uma GUI Windows familiar, grades por categoria e certos checks específicos mais do que a automação ou a extensão do âmbito. O ETC torna-se mais forte quando a revisão tem de correr fora de Windows, quando a organização quer mais detalhe objeto, ou quando o mesmo workflow tem de cobrir AD e Entra com saída estruturada.
A verdadeira questão não é, portanto, «qual marca é melhor», mas se o modelo operacional e o âmbito do programa ultrapassaram aquilo que uma revisão de indicadores em GUI Windows consegue suportar confortavelmente.
- Mantenha o Purple Knight se a exigência principal for uma revisão Windows GUI guiada por categorias ou se os checks PK-only listados acima forem bloqueadores.
- Escolha o ETC Collector se precisar de automação, cross-platform, ADCS ESC, grafos de ataque ou profundidade Entra mais ampla.
- Use a EtcSec quando o collector também tiver de fornecer dashboard, histórico, scheduling e visão central de remediação.
Perguntas frequentes
Quanto do Purple Knight o ETC Collector cobre?
Do lado AD, o benchmark documenta 115 indicadores Purple Knight em 119 totalmente cobertos, 2 parciais, 2 Hybrid não aplicáveis, e os 49 IOEs Purple Knight emparelhados pelo ETC Collector.
Qual é a métrica mais importante?
Do lado AD, o match completo dos IOEs: o ETC Collector faz match de cada indicador Purple Knight em IOE Found no run publicado. Do lado Entra, a métrica mais útil é a combinação breadth e limites: 92 findings Azure-category do lado ETC, com 22 IOEs Purple Knight cobertos diretamente, 3 parcialmente e 6 PK-only.
O que acrescenta o ETC Collector para além do Purple Knight?
O benchmark destaca a análise ADCS ESC1 a ESC11, os grafos de ataque, uma cobertura Entra mais ampla, findings ACL e GPO granulares, um modelo CLI/API cross-platform e mappings de conformidade.
Em que casos o Purple Knight continua adequado?
Continua adequado para equipas que preferem uma GUI Windows, um relatório executivo já polido ou controlos tenant-side como allowedToCreateTenants e certos parâmetros de apresentação MFA.
Páginas relacionadas com segurança de identidade
Veja a cobertura AD mais ampla por trás dos findings técnicos referidos neste comparativo.
Analise a profundidade cloud e os findings Entra estruturados referidos neste benchmark.
Compreenda os modos do collector, a superfície API e porque o modelo CLI importa.
Compare o motor de recolha com a camada SaaS de trending e acompanhamento.
Compare o seu workflow atual de Purple Knight com o ETC Collector
Use o match IOE AD, as métricas Entra e os limites documentados de cada ferramenta como baseline, e depois teste se um collector cross-platform encaixa melhor no seu modelo operacional do que uma revisão em GUI Windows.