17 octubre 2013

New release of Bellator - Parte I

"Habemus" nueva versión de Bellator, estimados amigos y colegas.

Para los que no lo sepáis o no os acordéis del anterior artículo, Bellator es una herramienta para auditar sistemas Microsoft en función de unas plantillas de entrada (.INF y .POL). Lo que hace es que los parámetros (registro, permisos de ficheros, servicios, claves de registro, eventos del sistema, plantillas administrativas, etc.) que son pasados como entradas son comparados con los que posee la máquina, de tal modo que comprueba el cumplimiento de dichas políticas.

Tras más tiempo del que hubiera deseado, he podido “robar” horas a la familia para dedicarlo a Bellator, y así corregir, mejorar y añadir nuevas funcionalidades, que buena falta le hacía :).

La principal mejora es la de proporcionar soporte para arquitecturas de 64 bits. Hasta ahora ciertos módulos de auditoría no ofrecían resultados por lo que el informe de resultados final era erróneo. Pues bien, asunto arreglado :P.

Se han corregido algunos errores en la parte de permisos de los ficheros, puesto que en determinadas circunstancias no interpretara correctamente los datos obtenidos del equipo.

Por otra parte, ya se pueden realizar auditorías aun sin contar con los ficheros correspondientes a las plantillas administrativas (tanto de usuarios como de equipos -.POL-). De esta forma sólo auditarán los apartados correspondientes a las plantillas de seguridad (.INF).

Con respecto a este punto decir que para auditar las plantillas de usuarios, que aplicarán a usuarios no administradores, sería conveniente crear un usuario de auditoría, también sin privilegios, a modo de un usuario estándar pero con la excepción de poder acceder al registro (si es que éstos no pudieran hacer “uso” del mismo, como sería recomendable). En este caso sería necesario que dicho usuario de auditoría tenga esta posibilidad (acceso al registro) para poder comprobar los parámetros correspondientes a las plantillas administrativas de usuarios. Ya que éstos parámetros no suelen estar asociados a los usuarios privilegiados y por tanto no pueden ser comprobados por éstos al no estar aplicados en el equipo cuando se loga un administrador.

Las plantillas administrativas de equipo afectan, como se puede deducir, al equipo independientemente de a qué grupo pertenezca el usuario que está logado en la máquina.

Las plantillas administrativas de usuarios, en el caso de equipos fuera de un dominio, pueden distinguir usuarios y administradores. No hace ninguna otra distinción, cualquier usuario no administrador estará dentro del mismo “saco”.

En el caso de equipos en dominio, se pueden configurar y asociar a unidades organizativas a gusto del consumidor y por tanto asociar según requerimientos de distintos perfiles.



En cualquier caso habrá que asegurarse de tener deshabilitada o sin configurar (ojo! no haya otra política con mayor jerarquía que machaque esta opción).


Otra mejora, se produce en la funcionalidad de comprobación de hotfix instalados en el sistema, añadiendo nuevas localizaciones y por tanto poder de búsqueda.

Por último dos sorpresas, dos nuevas funcionalidades.

1. Por una parte Bellator se integra con Babel, para complementar la parte de auditoría que no puede efectuar ésta herramienta. Si bien es cierto que esta característica ya se había anunciado hace tiempo, no ha sido hasta ahora que no se ha materializado, debido a diversos problemas surgidos durante la integración.

Para los que no la conozcan, Babel Enterprise es una herramienta Open Source desarrollada por la compañía Ártica ST (responsables entre otros proyectos de Pandora FMS, Integria IMS, etc.) que permite automatizar las auditorías de sistemas.



Con Babel se puede medir el riesgo del sistema en base a los distintos resultados aportados por las auditorías ya realizadas y evaluar así el cumplimiento de los sistemas con respecto a las políticas de seguridad establecidas. Babel almacena todos los datos de auditoría de cada host en una base de datos. 

Con esta información, ofrece unos informes y vistas detallados, permitiendo obtener tendencias y datos históricos relativos al riesgo del sistema. Todo ello accesible mediante un interfaz web.


Babel permite realizar auditorías de forma local o remota sobre los sistemas UNIX y Microsoft Windows. En este caso, la integración de Bellator usa los agentes de Babel Enterprise para sistemas Windows para realizar la auditoría y enviar los datos al servidor central. En la siguiente imagen se puede ver el resultado de la auditoría realizada con Bellator.

Babel contabiliza todas las comprobaciones realizadas por Bellator y muestra si ha encontrado elementos nuevos, repetidos, borrados o sin cambios, y calculando el nivel de riesgo para el host.


Además de los datos globales de la auditoría se puede consultar los datos pormenorizados enviados por Bellator. La siguiente imagen muestra el resultado detallado de la auditoría anterior con todas las comprobaciones realizadas por Bellator a bajo nivel.


Con esta integración se intenta ofrecer una forma sencilla de guardar y consultar la información de Bellator junto con el resto de información de auditoría de los sistemas.

2. La segunda nueva funcionalidad consiste en que Bellator sirve los datos de auditoría para que puedan ser “analizados” por la aplicación ArcSight. Pero esta parte la dejaré para el siguiente artículo ;).

Bellator se puede descargar en:


Espero que sea de vuestra utilidad.

Artículo cortesía de Ricardo Ramos