Wazuh: внедрение SIEM для малого бизнеса — обнаружение взлома сервера
▷ Смотреть презентациюЯ видел эту картину раз десять: звонит клиент, на сервере 1С всё зашифровано, у файлов расширение .locked, бухгалтерия встала на неделю. Спрашиваю — логи смотрели, кто заходил по RDP в три часа ночи? В ответ тишина, потому что логи никто не собирал и тем более не читал. Wazuh — бесплатная система, которая ловит такие вещи за часы или дни до шифрования, а не после, когда спасать уже нечего.
Почему взлом сервера замечают только по факту шифрования
У малого бизнеса обычно нет ни одного человека, который каждый день смотрит логи. Есть админ на подряде, который приходит раз в неделю, или ИТ-специалист в штате — он завален заявками пользователей и до Event Viewer не долистывает. А брутфорс RDP-порта, подбор пароля к почте директора или взлом через уязвимый плагин на сайте — это не мгновенное событие, а процесс на несколько дней. Атакующий сначала закрепляется, потом изучает сеть, ищет и портит бэкапы, чтобы их нельзя было восстановить, и только в конце запускает шифровальщик. Всё это время в логах есть следы: неудачные попытки входа, новые учётные записи, странные процессы, отключение антивируса. Просто их некому читать. Коммерческие SIEM вроде MaxPatrol SIEM или Kaspersky KUMA закрывают эту задачу у крупных компаний, но там счёт идёт от нескольких сотен тысяч до пары миллионов рублей в год за лицензии — малому бизнесу это недоступно, поэтому мониторинга нет вообще.
У одного клиента, интернет-магазина на 18 сотрудников, история была классическая. RDP-сервер с 1С смотрел напрямую в интернет — так удобнее подрядчику, который его когда-то настраивал. Пароль администратора подобрали за три недели брутфорса, о котором никто не знал: попытки входа никто не фиксировал. Дальше — шифровальщик, простой 4 дня, восстановление из бэкапа месячной давности и потеря части заказов за это время. Поставить систему обнаружения заранее вышло бы дешевле, чем терять выручку и репутацию четыре дня подряд.
Что даёт Wazuh бизнесу
- Вы видите попытку взлома за часы или дни до того, как шифровальщик начнёт работать — есть время среагировать, а не разгребать последствия и договариваться с вымогателями.
- Ядро системы бесплатное — вы платите за внедрение и настройку, а не за лицензии на количество агентов, как в большинстве коммерческих SIEM.
- Автоматическая блокировка при брутфорсе (active response) — если кто-то долбит RDP или SSH подбором паролей, IP блокируется без участия человека, в том числе ночью.
- Единая точка контроля вместо разрозненных логов на десятке серверов и рабочих станций — админ тратит на разбор инцидента часы вместо дней.
- Хорошая база для 152-ФЗ и PCI DSS: для PCI DSS у Wazuh есть встроенный профиль соответствия и готовые отчёты; для 152-ФЗ — логирование, контроль целостности файлов и журналы событий, которые закрывают часть требований по мониторингу. Скажу честно: Wazuh не сертифицирован ФСТЭК, поэтому как единственное СЗИ для формального 152-ФЗ он не подойдёт, но как источник событий и отчётности помогает.
- Понятный дашборд для руководителя: кто заходил, когда, что менялось на файлах, какие процессы запускались — без необходимости лезть в консоль сервера.
Как проходит внедрение Wazuh — 3-5 дней
Что нужно от вас
- Список серверов и рабочих мест, которые нужно поставить под наблюдение
- Доступ с правами администратора (SSH или RDP) к этим машинам
- Сервер или VPS под Wazuh от 8 ГБ RAM — Wazuh Indexer прожорлив по памяти, 4 ГБ хватает только на тест, для боевой работы лучше 8-16 ГБ; своего нет — подберём и арендуем сами
- Согласованное окно для установки агентов на рабочие места без остановки работы сотрудников
Как устроена система
Агент — лёгкая программа, которая почти не нагружает машину: она просто отправляет события на сервер сбора. Wazuh Manager и Indexer можно держать у себя в офисе или на VPS в России — данные не уходят за пределы вашего контура.
Wazuh против платных SIEM: в чём разница
Ядро Wazuh — Manager и агенты — распространяется свободно по лицензии GPLv2, а Indexer и Dashboard построены на OpenSearch под Apache 2.0. Всё это бесплатно; разработчик Wazuh Inc зарабатывает на платной поддержке и облачном SaaS, который малому бизнесу обычно не нужен. Для сравнения: годовая лицензия MaxPatrol SIEM или Kaspersky KUMA на инфраструктуру из 20-30 узлов легко выходит за 500 000 ₽ в год, а у Wazuh этой статьи расходов просто нет — вы платите разово за внедрение и по желанию за подписку на мониторинг.
Но честно скажу — бесплатность не равно волшебство. Wazuh нужно правильно настроить под вашу инфраструктуру, иначе он либо молчит там, где должен кричать, либо заваливает алертами так, что их перестают читать через неделю. И кто-то должен реагировать на срабатывания — система обнаружения без реакции бессмысленна, поэтому мы предлагаем клиентам либо обучить своего админа, либо взять мониторинг алертов на себя по подписке.
Сколько стоит внедрение Wazuh
Частые вопросы
Wazuh правда бесплатный, в чём подвох?
Да, ядро системы бесплатное по свободным лицензиям GPLv2 и Apache 2.0, платить лицензионные отчисления за количество агентов или серверов не нужно. Подвох в другом — систему нужно грамотно настроить под вашу инфраструктуру и назначить того, кто реагирует на алерты, иначе она просто копит логи без практической пользы.
Wazuh заменяет антивирус?
Нет, это разные классы систем, и они дополняют друг друга. Антивирус ловит известные вредоносные файлы по сигнатурам, Wazuh анализирует поведение — необычные попытки входа, изменения системных файлов, подозрительные процессы, то есть видит атаку целиком, а не только вредоносный файл на диске.
Сколько серверов и рабочих мест можно подключить?
Технических ограничений почти нет, Wazuh используют компании с тысячами узлов. Для малого бизнеса на 10-50 рабочих мест одного Manager на VPS с 8-16 ГБ RAM хватает с запасом. Узкое место обычно не производительность, а количество людей, готовых читать алерты.
У нас уже есть файрвол и антивирус — Wazuh не дублирует их работу?
Нет, дублирования не будет. Файрвол фильтрует трафик на входе, антивирус ловит файлы-угрозы, а Wazuh собирает события с обеих систем и с самих серверов в единую картину, показывая цепочку атаки целиком — то, что по отдельности каждая система не видит.
Оставьте заявку — за 15 минут разговора скажу, что у вас сейчас не под контролем.
Оставить заявку — развернём за 3–5 дней →
Подпишитесь на рассылку ITfresh
Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.
