АйТи Фреш
Главная / Статьи / Информационная безопасность
Информационная безопасность

Бесплатный SIEM на базе Wazuh: мониторинг безопасности в офисе до 50 ПК без лицензий

Автор: Семёнов Евгений Сергеевич, директор ООО «АйТи-Фреш» · 2026-07-12
Бесплатный SIEM на базе Wazuh: мониторинг безопасности в офисе до 50 ПК без лицензий

Полтора года назад бухгалтерская фирма на 35 рабочих мест попросила объяснить, что вообще творится в их сети. Не в смысле «работает — не работает», а по-честному: кто ломится по RDP в три часа ночи, откуда подбор паролей, что с антивирусом на бухгалтерских машинах. Коммерческий SIEM стоил дороже, чем весь их годовой ИТ-бюджет. Так я добрался до Wazuh — и с тех пор ставлю его почти в каждом проекте, где денег на безопасность нет, а спать спокойно хочется.

Зачем маленькому офису вообще нужен SIEM

Директора небольших компаний искренне уверены: SIEM — это для банков и госструктур, у нас же тут бухгалтерия и склад, кому мы нужны. А боты, которые сканируют интернет на открытые RDP-порты, разницы между банком и юрфирмой на 12 человек не видят вообще. Им всё равно, чем вы занимаетесь. У одного клиента, юридической конторы в центре Москвы, за сутки на внешний IP прилетало по 400-600 попыток подбора пароля к RDP. Просто фоном, круглосуточно.

Проблема не в том, что вас атакуют — атакуют всех. Проблема в том, что без логов вы об этом не узнаете, пока не станет поздно. Была история с одной юрфирмой: шифровальщик прошёлся по файловому серверу, восстановились из бэкапа за день, а на вопрос «как он вообще зашёл» ответить не смогли. Логи с роутера хранились три дня, на сервере аудит был выключен вовсе. Точку входа так и не нашли. С Wazuh такой вопрос закрывается за десять минут поиска по консоли.

Что такое Wazuh и чем он отличается от антивируса

Wazuh вырос из старого доброго OSSEC — форк 2015 года, который с тех пор оброс собственной инфраструктурой. Схема простая: на каждую машину ставится лёгкий агент, он тащит логи и метрики на центральный сервер-менеджер, тот раскладывает всё по индексатору (собственный форк OpenSearch, раньше был Elastic) и рисует дашборды. Никакой магии, обычный конвейер: собрал — разобрал по правилам — показал.

Антивирус ловит конкретный вредоносный файл по сигнатуре. Wazuh смотрит шире: кто залогинился, с какого IP, менялся ли системный файл, появился ли новый процесс с подозрительным именем, установили ли неучтённый софт, не открылся ли новый порт. Плюс встроенный модуль FIM — контроль целостности файлов, он же следит, чтобы никто тихо не подменил конфиг 1С или скрипт автозагрузки. И отдельно — сканер уязвимостей: раз в сутки сверяет установленный софт с базой CVE и говорит, где у вас Adobe Reader 2019 года, который давно пора обновить.

Как я разворачиваю Wazuh в офисе до 50 ПК

Под менеджер хватает одной виртуалки: 4 ядра, 8 ГБ памяти, 100 ГБ диска — с запасом на рост индекса. Ставлю через официальный Docker-compose или single-node установщик с сайта wazuh.com, разворачивается минут за сорок вместе с настройкой сертификатов. Для 50 машин этого с головой, я такие связки гонял и на арендованных VPS за 1500 рублей в месяц.

Агенты на Windows-машины раскатываю через GPO — msi-пакет плюс параметры подключения в реестре, никто из пользователей ничего не замечает. На серверах ставлю руками, там важно сразу настроить FIM на папки с базами 1С и бухгалтерскими документами. На Linux — обычный deb или rpm, там вообще пять минут работы.

Отдельная история — сетевое оборудование. С Keenetic и pfSense логи забираю по syslog прямо на Wazuh-менеджер, события firewall и VPN-подключений идут туда же общим потоком. Для доменных контроллеров настраиваю Windows Event Forwarding и подключаю модуль анализа логов авторизации — это как раз то место, где брутфорс по учётным записям виден лучше всего.

Что видно в консоли на следующий день

Дашборд по умолчанию сразу показывает неприятные вещи: неудачные попытки входа, всплески по конкретному пользователю, аномальные процессы PowerShell с закодированными командами — классика для скрытной загрузки вредоноса. У одной клиники на второй день после установки консоль показала попытки подбора пароля к учётке главного бухгалтера с внешнего IP из Вьетнама. Не критично само по себе, но повод сменить пароль и включить блокировку по гео на RDP-шлюзе.

Второй показательный случай — производственная компания, 40 машин. Wazuh поймал, что на одном ПК ночью, когда сотрудник давно ушёл, кто-то скопировал на флешку 12 гигабайт файлов из папки конструкторской документации. Оказалось, увольняющийся инженер решил забрать с собой чертежи. Без логов USB-активности этого бы просто никто не заметил — а тут пришло письмо-алерт через двадцать минут после события.

Грабли, на которые я наступил

Первая и главная боль — рост индекса. Если не настроить политику хранения (index lifecycle management), диск на 100 ГБ забивается за пару месяцев на офисе в 40-50 машин, особенно если включить подробный аудит файловых операций. Я ставлю ротацию на 30-45 дней горячих данных и архивирую остальное сжатым в холодное хранилище.

Вторая проблема — ложные срабатывания из коробки. Дефолтные правила Wazuh написаны с запасом на всё подряд, и первую неделю почта заваливается алертами про безобидные вещи: обновление КриптоПро, штатный запуск отчётов 1С по расписанию. Приходится вручную тюнить правила и заводить исключения — это занимает реальные часы работы, не пять минут по мануалу.

Третье — обновления агентов и сертификаты. Раз в несколько месяцев выходит новая версия, и если не следить, часть агентов тихо отваливается от менеджера, а вы думаете, что всё спокойно, хотя просто не видите логи с этих машин. Завёл себе отдельный чек-лист на раз в квартал именно под это.

Сколько это стоит на самом деле

Лицензий за Wazuh платить не нужно — это правда, продукт полностью open-source с открытым кодом. Но бесплатно не значит «даром». Виртуалка под менеджер — от 1500 до 3000 рублей в месяц в облаке или разовая покупка сервера тысяч за 40-60, если хотите держать всё у себя. Плюс время на настройку: у меня уходит от трёх до пяти дней на офис из 30-50 машин с учётом тюнинга правил и подключения сетевого оборудования.

Для сравнения: коммерческий SIEM уровня MaxPatrol SIEM или KUMA для компании такого размера обойдётся от полутора-двух миллионов рублей в год только за лицензии, без учёта внедрения. Wazuh закрывает 80% тех же задач мониторинга бесплатно, а оставшиеся 20% — это как раз тонкая аналитика и готовые плейбуки реагирования, которых у маленького офиса обычно и нет ресурсов использовать.

Кому подходит, а кому — нет

Wazuh отлично заходит там, где есть системный администратор или ИТ-аутсорсер, готовый регулярно заглядывать в консоль и донастраивать правила. Компаниям с типовой инфраструктурой — AD-домен, терминальный сервер, 1С, десяток удалённых сотрудников — система закрывает реальные слепые зоны буквально за неделю.

А вот если в компании вообще нет никого, кто хотя бы раз в неделю смотрит на алерты, толку от Wazuh будет немного — он не заменяет живого человека и не звонит вам сам, если что-то произошло ночью в пятницу. В таких случаях либо берите managed-мониторинг у подрядчика, либо не тратьте время на самостоятельную установку — система просто будет копить логи, которые никто не читает.

Частые вопросы

Нужен ли отдельный физический сервер под Wazuh?
Нет, хватает виртуальной машины на 4 ядра и 8 ГБ памяти — я обычно ставлю на ту же гипервизорную площадку, где крутятся остальные серверы клиента, или беру недорогой VPS в облаке. Для офиса до 50 ПК ресурсов с запасом.

Сколько ресурсов Wazuh съедает на самих рабочих станциях?
Агент лёгкий, реально незаметен пользователю — обычно 1-3% CPU и до 100 МБ памяти в простое. На старых машинах с Windows 7 (такие ещё встречаются в некоторых бухгалтериях) может подгрузить систему при полном сканировании, поэтому расписание сканирования лучше ставить на ночь.

Можно ли подключить Keenetic, антивирус и 1С к Wazuh?
Да, роутеры и pfSense цепляются по syslog, антивирусные события — через парсинг логов агента Windows Defender или Kaspersky, а по 1С отслеживается целостность файлов базы и папки конфигурации через модуль FIM. Полноценного разбора транзакций 1С Wazuh не делает, для этого нужны отдельные инструменты.

Wazuh заменяет антивирус?
Нет, это дополнение, а не замена. Wazuh видит поведение и аномалии — что запускалось, кто заходил, что менялось, а сигнатурный антивирус по-прежнему нужен для блокировки конкретных известных угроз до того, как они успеют что-то натворить.

Хотите такую же прозрачность в своей сети — без миллионных лицензий?
Разверну и настрою Wazuh под ваш офис за неделю, с тюнингом правил под ваши 1С, домен и сетевое оборудование.
Бесплатная консультация →

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

© ООО «АйТи-Фреш» · Москва · Все статьи