Чем Wazuh лучше платных SIEM вроде Splunk?

Wazuh полностью бесплатен, включает возможности EDR, HIDS, compliance и FIM из коробки. Splunk ES стоит от нескольких миллионов в год, а Wazuh — только стоимость железа. Для офиса до 200 агентов хватает одного сервера.

Сколько ресурсов нужно Wazuh-менеджеру на 100 агентов?

Минимум 8 vCPU, 16 ГБ RAM, 500 ГБ SSD для индексации. Для 200+ агентов лучше разнести manager и Elasticsearch на разные ноды.

Работает ли Wazuh с Windows и Linux одновременно?

Да, агенты существуют для Windows 7+, Linux, macOS, Solaris, AIX, HP-UX. Все собирают логи и отправляют на один manager.

Как Wazuh помогает с compliance?

Из коробки есть проверки соответствия PCI DSS, HIPAA, NIST 800-53, GDPR. SCA-модуль сканирует хосты на соответствие CIS Benchmarks.

Можно ли интегрировать Wazuh с Telegram для алертов?

Да, через custom integration скрипт на Python или Bash, который вызывается при срабатывании правил выше заданного уровня. Мы используем фильтр по level >= 10.

Информационная безопасность 12 сентября 2025 · 17 мин чтения

SOC на Wazuh: бесплатный SIEM и EDR для малого и среднего офиса

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. За 15 лет работы с корпоративными инфраструктурами я видел, как компании покупают коммерческие SIEM за миллионы рублей в год и почти никогда не выжимают из них больше 10% возможностей. А потом рядом стоит бесплатный Wazuh, который закрывает 80% задач SOC — от детектирования брутфорсов и подозрительных процессов до compliance-сканирования и FIM. Расскажу, как поднять его у себя за неделю и не утонуть в шумных алертах.

Почему Wazuh, а не что-то ещё

У нас на практике я перепробовал почти всё: бесплатную ELK-связку с ручной настройкой, OSSEC, Security Onion, AlienVault OSSIM. Wazuh выиграл по трём причинам: единый агент совмещает HIDS, FIM, SCA и vulnerability detector; есть активное сообщество и регулярные релизы; интеграция с OpenSearch/Elastic даёт полноценные дашборды без самописного кода.

Для офиса на 40–200 рабочих мест этого хватает с запасом. Более того, тот же агент можно ставить на серверы под высокой нагрузкой — потребление в штатном режиме редко превышает 1% CPU и 80 МБ RAM.

Архитектура развёртывания

Я всегда начинаю с простой all-in-one схемы: один сервер, на котором крутятся manager, indexer и dashboard. Для офиса до 150 агентов этого достаточно. Если нужен масштаб — разносим компоненты по отдельным виртуалкам.

Компонент	Назначение	Минимальные ресурсы
wazuh-manager	Приём событий от агентов, правила, алерты	4 vCPU / 8 ГБ RAM
wazuh-indexer	Хранение логов в OpenSearch	4 vCPU / 8 ГБ RAM / 500 ГБ SSD
wazuh-dashboard	Веб-интерфейс, графики, отчёты	2 vCPU / 4 ГБ RAM
agent	Сбор логов на конечной машине	1 CPU / 256 МБ RAM

Установка all-in-one на Ubuntu 22.04

Самый быстрый способ — официальный installer. Для продакшена я всегда развёртываю на Dell с Xeon Platinum 8280 в дата-центре МТС: стабильный NVMe, ECC-память, 40G Mellanox для связи между нодами.

curl -sO https://packages.wazuh.com/4.7/wazuh-install.sh
chmod +x wazuh-install.sh
sudo ./wazuh-install.sh -a

# После установки появится пароль admin для входа в Dashboard
sudo tar -axf wazuh-install-files.tar wazuh-install-files/wazuh-passwords.txt -O

Через 8–12 минут веб-интерфейс доступен на https://<IP>:443. Заходите под admin, меняете пароль в настройках и сразу переключаетесь на локализованный часовой пояс.

Подключение агентов Windows и Linux

Самое интересное начинается с агентов. На Windows я раскатываю MSI через GPO, на Linux — через Ansible. Ключ регистрации генерируется на менеджере:

sudo /var/ossec/bin/manage_agents -a 10.0.1.12 -n WS-BUH-01
sudo /var/ossec/bin/manage_agents -e 001

# На клиенте Windows
msiexec.exe /i wazuh-agent-4.7.0-1.msi /q WAZUH_MANAGER='siem.corp.local' ^
  WAZUH_AGENT_NAME='WS-BUH-01' WAZUH_REGISTRATION_SERVER='siem.corp.local' ^
  WAZUH_REGISTRATION_PASSWORD='securePWD123'
NET START WazuhSvc

Через 30 секунд хост появляется во вкладке Agents в статусе Active. Я всегда проверяю: заходит ли Sysmon, работает ли FIM на C:\Users, читаются ли Security-события с EventLog.

Правила и кастомные детекты

В Wazuh 3000+ встроенных правил. Но реальная ценность появляется, когда вы пишете свои под специфику клиента. Типичная задача — ловить множественный неудачный логин на RDP:

<group name="windows,rdp,">
  <rule id="110001" level="10" frequency="5" timeframe="120">
    <if_matched_sid>60122</if_matched_sid>
    <same_source_ip/>
    <description>RDP brute force: 5 неудачных входов за 2 минуты</description>
    <mitre><id>T1110</id></mitre>
  </rule>
</group>

Файл кладём в /var/ossec/etc/rules/local_rules.xml, перезапускаем manager и сразу видим сработки в дашборде.

Алерты в Telegram

Для малого офиса email-рассылка не работает — письма теряются. Я всегда вешаю Telegram-бота: всё критичное (level ≥ 10) прилетает мгновенно.

<integration>
  <name>custom-telegram</name>
  <level>10</level>
  <hook_url>https://api.telegram.org/bot123456:TOKEN/sendMessage</hook_url>
  <api_key>-1001234567890</api_key>
  <alert_format>json</alert_format>
</integration>

Сам скрипт /var/ossec/integrations/custom-telegram — 40 строк Python. Работает стабильно, за год ни разу не отказал.

Мини-кейс: производственная компания на 85 ПК

Летом 2025 года к нам обратился клиент из Химок — производитель упаковки. Узнали, что у них поймали крипто-локер на файловый сервер после фишингового письма. За 6 рабочих дней мы развернули Wazuh на Dell Xeon Platinum 8280 в дата-центре МТС: manager all-in-one, 85 агентов, Sysmon с конфигом SwiftOnSecurity, 42 кастомных правила под AD-домен, Telegram-алерты главному админу. В первый месяц система отловила 3 попытки RDP-брутфорса с внешних IP, один случай PowerShell-обфускации на ноутбуке бухгалтера и 12 срабатываний FIM на 1С-папках. Стоимость внедрения — 140 000 руб. против 1,2 млн за год лицензии коммерческого SIEM.

Compliance и vulnerability detector

Wazuh из коробки умеет SCA (Security Configuration Assessment) — проверяет хосты на соответствие CIS Benchmarks. Включается парой строк в ossec.conf:

<sca>
  <enabled>yes</enabled>
  <scan_on_start>yes</scan_on_start>
  <interval>12h</interval>
</sca>

<vulnerability-detector>
  <enabled>yes</enabled>
  <provider name="canonical"><enabled>yes</enabled><os>jammy</os></provider>
  <provider name="msu"><enabled>yes</enabled></provider>
</vulnerability-detector>

Дашборд покажет, на скольких машинах не закрыты CVE, какие пакеты устарели и где нарушены политики паролей. Отличная база для внутреннего аудита безопасности.

Типичные грабли и обслуживание

Переполнение индекса. По умолчанию Wazuh хранит 90 дней логов. Если диск 500 ГБ и 100 агентов — уйдёт за 40 дней. Настраивайте ISM Policy на ротацию.
Шум от стандартных правил. Первые 2 недели фильтруйте ложные сработки в local_rules.xml, иначе Telegram превратится в свалку.
Часовые пояса. Manager и агенты должны быть синхронизированы по NTP — иначе корреляции ломаются.
Бэкапы правил и декодеров. Всё лежит в /var/ossec/etc/ — копируем в git, раз в неделю push.

Развернём SOC на Wazuh под ключ

Я лично проектирую и внедряю Wazuh в офисах от 30 рабочих мест. Установка manager, настройка 30+ кастомных правил под ваш стек, подключение агентов, интеграция с Telegram — за 5–10 рабочих дней.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы по Wazuh SIEM

Чем Wazuh лучше платных SIEM вроде Splunk?: Wazuh полностью бесплатен, включает возможности EDR, HIDS, compliance и FIM из коробки. Splunk ES стоит от нескольких миллионов в год, а Wazuh — только стоимость железа. Для офиса до 200 агентов хватает одного сервера.
Сколько ресурсов нужно Wazuh-менеджеру на 100 агентов?: Минимум 8 vCPU, 16 ГБ RAM, 500 ГБ SSD для индексации. Для 200+ агентов лучше разнести manager и Elasticsearch на разные ноды.
Работает ли Wazuh с Windows и Linux одновременно?: Да, агенты существуют для Windows 7+, Linux, macOS, Solaris, AIX, HP-UX. Все собирают логи и отправляют на один manager.
Как Wazuh помогает с compliance?: Из коробки есть проверки соответствия PCI DSS, HIPAA, NIST 800-53, GDPR. SCA-модуль сканирует хосты на соответствие CIS Benchmarks.
Можно ли интегрировать Wazuh с Telegram для алертов?: Да, через custom integration скрипт на Python или Bash, который вызывается при срабатывании правил выше заданного уровня. Мы используем фильтр по level ≥ 10.