АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Wazuh: внедрение SIEM для малого бизнеса — обнаружение взлома сервера

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-10
▷ Смотреть презентацию
Wazuh: внедрение SIEM для малого бизнеса — обнаружение взлома сервера

Я видел эту картину раз десять: звонит клиент, на сервере 1С всё зашифровано, у файлов расширение .locked, бухгалтерия встала на неделю. Спрашиваю — логи смотрели, кто заходил по RDP в три часа ночи? В ответ тишина, потому что логи никто не собирал и тем более не читал. Wazuh — бесплатная система, которая ловит такие вещи за часы или дни до шифрования, а не после, когда спасать уже нечего.

Почему взлом сервера замечают только по факту шифрования

У малого бизнеса обычно нет ни одного человека, который каждый день смотрит логи. Есть админ на подряде, который приходит раз в неделю, или ИТ-специалист в штате — он завален заявками пользователей и до Event Viewer не долистывает. А брутфорс RDP-порта, подбор пароля к почте директора или взлом через уязвимый плагин на сайте — это не мгновенное событие, а процесс на несколько дней. Атакующий сначала закрепляется, потом изучает сеть, ищет и портит бэкапы, чтобы их нельзя было восстановить, и только в конце запускает шифровальщик. Всё это время в логах есть следы: неудачные попытки входа, новые учётные записи, странные процессы, отключение антивируса. Просто их некому читать. Коммерческие SIEM вроде MaxPatrol SIEM или Kaspersky KUMA закрывают эту задачу у крупных компаний, но там счёт идёт от нескольких сотен тысяч до пары миллионов рублей в год за лицензии — малому бизнесу это недоступно, поэтому мониторинга нет вообще.

У одного клиента, интернет-магазина на 18 сотрудников, история была классическая. RDP-сервер с 1С смотрел напрямую в интернет — так удобнее подрядчику, который его когда-то настраивал. Пароль администратора подобрали за три недели брутфорса, о котором никто не знал: попытки входа никто не фиксировал. Дальше — шифровальщик, простой 4 дня, восстановление из бэкапа месячной давности и потеря части заказов за это время. Поставить систему обнаружения заранее вышло бы дешевле, чем терять выручку и репутацию четыре дня подряд.

Что даёт Wazuh бизнесу

Как проходит внедрение Wazuh — 3-5 дней

1
Аудит инфраструктуры1 день
Смотрим, сколько у вас серверов и рабочих мест, где хранятся критичные данные, есть ли уже VPS под управление, какие угрозы актуальнее — внешние атаки на сервисы или инсайдеры
2
Установка ядра1 день
Поднимаем Wazuh Manager, Wazuh Indexer и Wazuh Dashboard на вашем сервере или на подобранном нами VPS в РФ, чтобы логи не покидали периметр
3
Агенты и правила1-2 дня
Ставим лёгкие агенты на серверы и рабочие места, включаем контроль целостности файлов (FIM), анализ логов, поиск руткитов, настраиваем правила под вашу специфику — 1С, сайт, бухгалтерия
4
Оповещения и реакция1 день
Настраиваем алерты в Telegram и на почту, прописываем сценарии автоблокировки при брутфорсе, тестируем на реальной попытке подбора пароля
5
Передача и обучение0.5 дня
Показываем дашборд вашему админу, отдаём документацию, договариваемся, кто и как реагирует на алерты дальше

Что нужно от вас

Как устроена система

Рабочие места — агент Серверы — агент WazuhWazuh Manager на VPSWazuh Indexer — храненWazuh Dashboard для адАлерты в Telegram и по

Агент — лёгкая программа, которая почти не нагружает машину: она просто отправляет события на сервер сбора. Wazuh Manager и Indexer можно держать у себя в офисе или на VPS в России — данные не уходят за пределы вашего контура.

Wazuh против платных SIEM: в чём разница

Ядро Wazuh — Manager и агенты — распространяется свободно по лицензии GPLv2, а Indexer и Dashboard построены на OpenSearch под Apache 2.0. Всё это бесплатно; разработчик Wazuh Inc зарабатывает на платной поддержке и облачном SaaS, который малому бизнесу обычно не нужен. Для сравнения: годовая лицензия MaxPatrol SIEM или Kaspersky KUMA на инфраструктуру из 20-30 узлов легко выходит за 500 000 ₽ в год, а у Wazuh этой статьи расходов просто нет — вы платите разово за внедрение и по желанию за подписку на мониторинг.

Но честно скажу — бесплатность не равно волшебство. Wazuh нужно правильно настроить под вашу инфраструктуру, иначе он либо молчит там, где должен кричать, либо заваливает алертами так, что их перестают читать через неделю. И кто-то должен реагировать на срабатывания — система обнаружения без реакции бессмысленна, поэтому мы предлагаем клиентам либо обучить своего админа, либо взять мониторинг алертов на себя по подписке.

Сколько стоит внедрение Wazuh

от 55 000 ₽
В 55 000 ₽ входит установка Manager, Indexer и Dashboard, агенты на 10 рабочих мест и 2-3 сервера, базовая настройка правил и оповещений в Telegram. Цена растёт в зависимости от числа защищаемых узлов, нужен ли отдельный VPS под систему и требуется ли глубокая настройка комплаенс-профилей под 152-ФЗ или PCI DSS. Отдельно — подписка на мониторинг алертов силами нашей команды, от 15 000 ₽ в месяц, если у вас некому дежурить самим. Точная смета — после короткого аудита.
Рассчитать стоимость →

Частые вопросы

Wazuh правда бесплатный, в чём подвох?
Да, ядро системы бесплатное по свободным лицензиям GPLv2 и Apache 2.0, платить лицензионные отчисления за количество агентов или серверов не нужно. Подвох в другом — систему нужно грамотно настроить под вашу инфраструктуру и назначить того, кто реагирует на алерты, иначе она просто копит логи без практической пользы.

Wazuh заменяет антивирус?
Нет, это разные классы систем, и они дополняют друг друга. Антивирус ловит известные вредоносные файлы по сигнатурам, Wazuh анализирует поведение — необычные попытки входа, изменения системных файлов, подозрительные процессы, то есть видит атаку целиком, а не только вредоносный файл на диске.

Сколько серверов и рабочих мест можно подключить?
Технических ограничений почти нет, Wazuh используют компании с тысячами узлов. Для малого бизнеса на 10-50 рабочих мест одного Manager на VPS с 8-16 ГБ RAM хватает с запасом. Узкое место обычно не производительность, а количество людей, готовых читать алерты.

У нас уже есть файрвол и антивирус — Wazuh не дублирует их работу?
Нет, дублирования не будет. Файрвол фильтрует трафик на входе, антивирус ловит файлы-угрозы, а Wazuh собирает события с обеих систем и с самих серверов в единую картину, показывая цепочку атаки целиком — то, что по отдельности каждая система не видит.

Поставим Wazuh за 3-5 дней и покажем, кто уже стучится в ваши серверы снаружи — попытки, которых вы раньше не видели
Оставьте заявку — за 15 минут разговора скажу, что у вас сейчас не под контролем.
Оставить заявку — развернём за 3–5 дней →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды: внедрения, безопасность, 1С, миграции, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи