Wazuh SIEM для офиса 35 РМ: свой SOC без миллионных лицензий

Привет! Я Семёнов Евгений Сергеевич, директор АйТи Фреш, и уже целых 15 лет занимаюсь IT-аутсорсингом для юрлиц в Москве. Хочу рассказать вам про один интересный кейс, который случился в августе 2025-го. У нашего клиента, это производственная компания на 35 РМ, посреди ночи зашифровали файловый сервер и сразу три рабочих места. Представляете? Антивирус, как назло, всё это пропустил, логи событие так и не сохранили, а следов входа было, что называется, кот наплакал. После этого досадного инцидента мы сразу же поставили Wazuh — это такая open source SIEM-система. И что вы думаете? Уже через 10 дней она поймала первую настоящую попытку подбора пароля RDP. А через месяц — ещё три! И это, заметьте, в небольшом офисе, где постоянно говорят: «Да кому мы вообще нужны?»

Почему SIEM нужен даже небольшому офису

Ещё пару лет назад я бы честно сказал клиентам: «До 50 РМ SIEM — это перебор, всё равно что из пушки по воробьям». И, как оказалось, очень сильно ошибался! С 2024–2025 годов ситуация изменилась просто радикально. Теперь ботнеты сами без устали шерстят весь интернет, выискивая уязвимые офисы. Российские компании вообще попали под особое внимание таких групп, как Conti-подобные, и теперь любая, даже самая маленькая, незакрытая дыра в небольшой сети за сутки может обернуться серьёзным инцидентом.

У нашего клиента атака разворачивалась так:

1. Где-то в июле злоумышленник подобрал пароль к RDP сотрудника отдела продаж (стандартный слабый пароль «Sales2024!»).
2. Две недели никто не делал ничего — только периодически проверяли, что учётка работает.
3. В ночь с пятницы на субботу зашли на рабочую станцию, с неё — на файловый сервер (доменные права обычного пользователя позволяли читать большинство папок).
4. Скачали всё важное (договоры, прайсы, чертежи) — около 180 ГБ.
5. Запустили шифровальщик на трёх рабочих станциях и файловом сервере.
6. Утром администратор увидел заблокированный диск и записку о выкупе на 0.8 BTC.

Платить, к счастью, не стали — нас спас недельный бэкап на ленте. Потеряли мы, слава богу, только пятницу. Но вот данные-то уже утекли! И самое ужасное во всей этой истории: две недели «тихого» присутствия атакующего никто даже не заметил. Ни антивирус, ни Windows Event Viewer, ни даже HR-отдел — вообще никто ничего не видел.

А SIEM вроде Wazuh такой сценарий ловит в первый же день: 100 неудачных попыток входа на RDP подряд — и алерт прилетает в Telegram.

Что такое Wazuh и из чего состоит

Wazuh — это, по сути, ответвление от очень популярного проекта OSSEC, который с 2015 года вырос в мощную самостоятельную платформу. По своим функциям сегодня это настоящий комбайн: SIEM + XDR + HIDS + FIM + vulnerability scanner в одном флаконе. И что самое приятное — он бесплатный, open source, да ещё и без всяких ограничений по количеству агентов.

Архитектура несложная:

• Wazuh Manager — центральный сервер, принимает события от агентов, прогоняет через правила, генерирует алерты.
• Wazuh Indexer — OpenSearch-кластер для хранения и поиска событий (по сути — база логов).
• Wazuh Dashboard — веб-интерфейс на базе OpenSearch Dashboards для просмотра и анализа.
• Wazuh Agent — ставится на рабочие станции (Windows/macOS/Linux) и серверы. Собирает логи, отправляет на manager по защищённому каналу.

В минимальной конфигурации для SMB всё живёт на одной VM — manager, indexer и dashboard вместе. Для 50–100 агентов это абсолютно нормально. А вот в больших инсталляциях их уже разносят по разным узлам.

Что Wazuh ловит «из коробки»

Из специфики под российский бизнес мы докидываем правила под:

• Запуск выгрузок из 1С размером больше 100 МБ в нерабочее время.
• Подключение новых USB-накопителей к серверам.
• Открытие портов 3389 (RDP) или 445 (SMB) извне офисной сети.
• Изменение GPO на контроллерах домена.
• Попытки чтения файла NTDS.dit (попытка кражи хэшей AD).

Как мы разворачивали Wazuh клиенту

Весь проект укладывается в пять рабочих дней.

1. День 1. Поставили VM (8 vCPU, 16 ГБ RAM, 500 ГБ NVMe) у клиента на гипервизоре, установили Wazuh 4.x одной командой через all-in-one скрипт. Через 40 минут поднялся веб-интерфейс.
2. День 2. Настроили интеграцию с Active Directory: правила для подбора паролей, для изменений в OU Administrators, для выгрузок в AD. Подключили MITRE ATT&CK mapping.
3. День 3. Раскатка агентов: 35 рабочих станций через GPO, 5 серверов — вручную (им доверия больше). Установили Sysmon на все хосты для углублённого аудита.
4. День 4. Включили File Integrity Monitoring на критичных папках: 1С Bases, \\fs01\Docs\Contracts, реестр HKLM\SOFTWARE. Настроили vulnerability scanner — он сразу показал 47 устаревших программ на рабочих станциях.
5. День 5. Интеграция с Telegram через webhooks: любой алерт уровня ≥12 (высокий) шлётся в приватный канал админа и директора. Обучение админа клиента — 4 часа с разбором интерфейса и сценариев реагирования.

Первый месяц в эфире

Что отловили на практике:

• 3-й день: агент на одном ноутбуке показал попытку запуска powershell с base64-кодированным скриптом. Оказалось — бухгалтер загрузила макрос из письма от «партнёра». Изолировали ноутбук, почистили, заменили пароли. Если бы не Wazuh — через день в сети был бы шифровальщик.
• 10-й день: 230 неудачных попыток RDP с китайского IP за 15 минут. Сработал алерт, админ заблокировал IP на фаерволе и включил правило гео-блокировки на уровне шлюза.
• 15-й день: обнаружили, что на двух рабочих станциях не обновлялся Windows с января. Vulnerability Detector показал 12 критичных CVE. Обновили в тот же день.
• 23-й день: агент на контроллере домена увидел создание новой привилегированной учётки, которую никто не создавал. Проверили — оказался сбой системы управления, «мусорный» артефакт, но могло быть и иначе.
• 29-й день: поймали ещё одну волну RDP-подбора, уже с российского IP. В этот раз заблокировали за 4 минуты.

Всего за месяц Wazuh реально помог предотвратить один крупный инцидент и закрыть целых 14 уязвимостей, о которых мы даже и не подозревали! Это, могу сказать точно, куда ценнее, чем вся стоимость самого проекта.

Что не умеет Wazuh

Чтобы не было завышенных ожиданий:

• Wazuh не заменяет антивирус. Это комплементарный инструмент — нужно оставлять Microsoft Defender или корпоративный AV.
• Wazuh не блокирует атаки автоматически в базовом варианте. Есть функция Active Response, но её надо настраивать аккуратно, чтобы не положить свою же сеть.
• Wazuh не покажет атаки на уровне сети (нужен отдельный IDS, например Suricata) — хотя интеграция с Suricata простая.
• Wazuh не умеет анализировать поведение пользователей с ML из коробки. Для UEBA-функций нужно докручивать.
• Первый месяц после внедрения будет много ложных срабатываний. Нужна калибровка правил, это нормально.

Стоимость

Что мы ведём на абонентке

• Ежедневный просмотр алертов высокой важности.
• Еженедельный разбор среднеприоритетных случаев.
• Ежемесячный отчёт директору: что ловили, что закрыли, тренды.
• Обновление Wazuh-правил при появлении новых CVE и методов атак.
• Реагирование на критические алерты в рабочее время — 15 минут.
• Обновление Wazuh и агентов раз в квартал.

FAQ

Что такое Wazuh и чем он отличается от антивируса?

Wazuh — это SIEM + XDR: собирает события со всех серверов и рабочих станций, применяет правила корреляции, ловит подозрительную активность. Антивирус видит только файлы, Wazuh видит события входа, сетевой трафик, изменения конфигов, запуски процессов.

Справится ли Wazuh с офисом на 35 рабочих мест?

Легко. Один сервер на 8 vCPU / 16 ГБ RAM / 500 ГБ SSD обрабатывает 35 агентов + 5–10 серверов без напряжения.

Нужен ли отдельный специалист для Wazuh?

Для разворачивания — да, нужен админ с опытом Linux и SIEM. Для ежедневной работы — нет, хватит проверки алертов в Telegram. Мы в АйТи Фреш обычно берём эту роль на себя на абонентке.

Сколько стоит Wazuh и внедрение?

Wazuh open source — бесплатно. Внедрение для офиса 30–50 РМ — от 110 000 ₽, срок 5 рабочих дней. Включает настройку правил под AD и 1С, интеграцию с Telegram, обучение админа.