Что такое Wazuh и чем он отличается от антивируса?

Wazuh — это SIEM + XDR: собирает события со всех серверов и рабочих станций, применяет правила корреляции, ловит подозрительную активность. Антивирус видит только файлы, Wazuh видит события входа, сетевой трафик, изменения конфигов, запуски процессов и анализирует их в связке.

Справится ли Wazuh с офисом на 35 рабочих мест?

Легко. Один сервер на 8 vCPU / 16 ГБ RAM / 500 ГБ SSD обрабатывает 35 агентов + 5–10 серверов без напряжения. У нас есть клиенты и на 150 РМ — работает на 16 vCPU / 32 ГБ RAM.

Нужен ли отдельный специалист для Wazuh?

Для разворачивания — да, нужен админ с опытом Linux и SIEM-систем. Для ежедневной работы — нет, хватит проверки алертов в Telegram и еженедельного разбора случаев. Мы в АйТи Фреш обычно берём эту роль на себя для клиентов на абонентке.

Сколько стоит Wazuh и внедрение?

Wazuh open source — бесплатно. Лицензий нет. Внедрение АйТи Фреш для офиса 30–50 РМ — от 110 000 руб., срок 5 рабочих дней. Включает настройку правил под AD и 1С, интеграцию с Telegram, обучение админа.

SIEM и ИБ8 августа 2025· 15 мин чтения

Wazuh SIEM для офиса 35 РМ: свой SOC без миллионных лицензий

Я Семёнов Евгений Сергеевич, директор АйТи Фреш, 15 лет делаю IT-аутсорсинг для юрлиц в Москве. Расскажу про кейс августа 2025: у клиента — производственной компании с 35 РМ — ночью зашифровали файловый сервер и три рабочих места. Антивирус проспал, логи события не сохранили, следов входа мало. После инцидента мы поставили Wazuh — open source SIEM. Через 10 дней поймали первую реальную попытку подбора пароля RDP. Через месяц — ещё три. И это в небольшом офисе, где «никто нас не атакует».

Почему SIEM нужен даже небольшому офису

Два года назад я честно говорил клиентам: «До 50 РМ SIEM — это пушка по воробьям». Ошибался. С 2024–2025 картина изменилась радикально. Ботнеты стали автоматически искать уязвимые офисы по всему интернету, российские компании попали под особое внимание Conti-подобных групп, и теперь одна незакрытая уязвимость в маленькой сети превращается в инцидент за сутки.

У нашего клиента атака выглядела так:

Где-то в июле злоумышленник подобрал пароль к RDP сотрудника отдела продаж (стандартный слабый пароль «Sales2024!»).
Две недели никто не делал ничего — только периодически проверяли, что учётка работает.
В ночь с пятницы на субботу зашли на рабочую станцию, с неё — на файловый сервер (доменные права обычного пользователя позволяли читать большинство папок).
Скачали всё важное (договоры, прайсы, чертежи) — около 180 ГБ.
Запустили шифровальщик на трёх рабочих станциях и файловом сервере.
Утром администратор увидел заблокированный диск и записку о выкупе на 0.8 BTC.

Платили не стали — выручил недельный бэкап на ленте, потеряли только пятницу. Но данные уже утекли. И главное — никто не заметил двух недель «тихого» присутствия атакующего. Ни антивирус, ни Windows Event Viewer, ни HR — никто.

SIEM вроде Wazuh этот сценарий ловит в первый день: 100 неудачных попыток входа на RDP подряд — и алерт в Telegram.

Что такое Wazuh и из чего состоит

Wazuh — это развилка популярного OSSEC, которая с 2015 года стала самостоятельной платформой. По функциям сейчас это SIEM + XDR + HIDS + FIM + vulnerability scanner. Бесплатная, open source, без ограничений по количеству агентов.

Архитектура простая:

Wazuh Manager — центральный сервер, принимает события от агентов, прогоняет через правила, генерирует алерты.
Wazuh Indexer — OpenSearch-кластер для хранения и поиска событий (по сути — база логов).
Wazuh Dashboard — веб-интерфейс на базе OpenSearch Dashboards для просмотра и анализа.
Wazuh Agent — ставится на рабочие станции (Windows/macOS/Linux) и серверы. Собирает логи, отправляет на manager по защищённому каналу.

В минимальной конфигурации для SMB всё живёт на одной VM — manager, indexer и dashboard вместе. Это совершенно нормально для 50–100 агентов. Для больших инсталляций их разносят на разные узлы.

Что Wazuh ловит «из коробки»

Событие	Источник
Подбор пароля на RDP (5+ неудач за минуту)	Windows Event Log 4625
Логин с нового IP или в нерабочие часы	Windows/Linux auth логи
Изменение критичных файлов (hosts, /etc/passwd, реестр)	File Integrity Monitoring
Запуск подозрительных процессов (powershell -enc, certutil, etc.)	Sysmon
Изменения групповых политик в AD	Windows Event Log
Новые учётные записи в AD	4720/4728/4732
Отключение Windows Defender	Event ID 5001
Уязвимости в установленном ПО (CVE по базе NVD)	Vulnerability Detector
Несоответствие CIS Benchmark (SCA)	Security Configuration Assessment
MITRE ATT&CK-техники по событиям	встроенные правила

Из специфичного для российского бизнеса — мы добавляем правила под:

Запуск выгрузок из 1С размером больше 100 МБ в нерабочее время.
Подключение новых USB-накопителей к серверам.
Открытие портов 3389 (RDP) или 445 (SMB) извне офисной сети.
Изменение GPO на контроллерах домена.
Попытки чтения файла NTDS.dit (попытка кражи хэшей AD).

Как мы разворачивали Wazuh клиенту

Сроки проекта — пять рабочих дней.

День 1. Поставили VM (8 vCPU, 16 ГБ RAM, 500 ГБ NVMe) у клиента на гипервизоре, установили Wazuh 4.x одной командой через all-in-one скрипт. Через 40 минут поднялся веб-интерфейс.
День 2. Настроили интеграцию с Active Directory: правила для подбора паролей, для изменений в OU Administrators, для выгрузок в AD. Подключили MITRE ATT&CK mapping.
День 3. Раскатка агентов: 35 рабочих станций через GPO, 5 серверов — вручную (им доверия больше). Установили Sysmon на все хосты для углублённого аудита.
День 4. Включили File Integrity Monitoring на критичных папках: 1С Bases, \\fs01\Docs\Contracts, реестр HKLM\SOFTWARE. Настроили vulnerability scanner — он сразу показал 47 устаревших программ на рабочих станциях.
День 5. Интеграция с Telegram через webhooks: любой алерт уровня ≥12 (высокий) шлётся в приватный канал админа и директора. Обучение админа клиента — 4 часа с разбором интерфейса и сценариев реагирования.

Первый месяц в эфире

Что реально отловили:

3-й день: агент на одном ноутбуке показал попытку запуска powershell с base64-кодированным скриптом. Оказалось — бухгалтер загрузила макрос из письма от «партнёра». Изолировали ноутбук, почистили, заменили пароли. Если бы не Wazuh — через день в сети был бы шифровальщик.
10-й день: 230 неудачных попыток RDP с китайского IP за 15 минут. Сработал алерт, админ заблокировал IP на фаерволе и включил правило гео-блокировки на уровне шлюза.
15-й день: обнаружили, что на двух рабочих станциях не обновлялся Windows с января. Vulnerability Detector показал 12 критичных CVE. Обновили в тот же день.
23-й день: агент на контроллере домена увидел создание новой привилегированной учётки, которую никто не создавал. Проверили — оказался сбой системы управления, «мусорный» артефакт, но могло быть и иначе.
29-й день: поймали ещё одну волну RDP-подбора, уже с российского IP. В этот раз заблокировали за 4 минуты.

За месяц Wazuh реально предотвратил один инцидент и помог закрыть 14 уязвимостей, про которые никто не знал. Это гораздо больше, чем стоимость проекта.

Что не умеет Wazuh

Чтобы не было завышенных ожиданий:

Wazuh не заменяет антивирус. Это комплементарный инструмент — нужно оставлять Microsoft Defender или корпоративный AV.
Wazuh не блокирует атаки автоматически в базовом варианте. Есть функция Active Response, но её надо настраивать аккуратно, чтобы не положить свою же сеть.
Wazuh не покажет атаки на уровне сети (нужен отдельный IDS, например Suricata) — хотя интеграция с Suricata простая.
Wazuh не умеет анализировать поведение пользователей с ML из коробки. Для UEBA-функций нужно докручивать.
Первый месяц после внедрения будет много ложных срабатываний. Нужна калибровка правил, это нормально.

Стоимость

Этап	Срок	Стоимость
Аудит логов и событий, проектирование	0.5 дня	10 000 ₽
Развёртывание Wazuh + OpenSearch	1 день	20 000 ₽
Настройка правил под AD, 1С, инфраструктуру	1 день	22 000 ₽
Раскатка агентов на все хосты	1 день	20 000 ₽
Интеграция с Telegram, настройка Sysmon, FIM	1 день	22 000 ₽
Обучение и документация	0.5 дня	16 000 ₽
Итого	5 рабочих дней	110 000 ₽
Лицензии	0 ₽ (open source)	0 ₽
Сервер (при внедрении на железо клиента)	0 ₽	0 ₽

Что мы ведём на абонентке

Ежедневный просмотр алертов высокой важности.
Еженедельный разбор среднеприоритетных случаев.
Ежемесячный отчёт директору: что ловили, что закрыли, тренды.
Обновление Wazuh-правил при появлении новых CVE и методов атак.
Реагирование на критические алерты в рабочее время — 15 минут.
Обновление Wazuh и агентов раз в квартал.

Хотите посмотреть, что реально происходит в вашей сети?

Приеду на бесплатный аудит, проверю логи серверов и контроллера домена за последний месяц. В 8 из 10 офисов находится хотя бы одна неприятная неожиданность. Аудит бесплатный, в Москве и МО.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ

Что такое Wazuh и чем он отличается от антивируса?: Wazuh — это SIEM + XDR: собирает события со всех серверов и рабочих станций, применяет правила корреляции, ловит подозрительную активность. Антивирус видит только файлы, Wazuh видит события входа, сетевой трафик, изменения конфигов, запуски процессов.
Справится ли Wazuh с офисом на 35 рабочих мест?: Легко. Один сервер на 8 vCPU / 16 ГБ RAM / 500 ГБ SSD обрабатывает 35 агентов + 5–10 серверов без напряжения.
Нужен ли отдельный специалист для Wazuh?: Для разворачивания — да, нужен админ с опытом Linux и SIEM. Для ежедневной работы — нет, хватит проверки алертов в Telegram. Мы в АйТи Фреш обычно берём эту роль на себя на абонентке.
Сколько стоит Wazuh и внедрение?: Wazuh open source — бесплатно. Внедрение для офиса 30–50 РМ — от 110 000 ₽, срок 5 рабочих дней. Включает настройку правил под AD и 1С, интеграцию с Telegram, обучение админа.