Информационная безопасность · 17 мин чтения

Wazuh SIEM: бесплатный мониторинг событий безопасности для офиса 100+ РМ

Меня зовут Семёнов Евгений Сергеевич, директор АйТи Фреш. 15 лет я внедряю системы мониторинга, и последние три года стандарт de-facto для SIEM в нашей компании — Wazuh. Open Source fork OSSEC с полноценным веб-интерфейсом, HIDS, vulnerability-сканером, compliance-модулями под CIS/PCI-DSS/HIPAA и механизмом Active Response. Всё это бесплатно, без trial-лимитов, с активным коммьюнити. В статье — как развернуть Wazuh в офисе на 100+ рабочих мест, подключить Windows/Linux-агенты, настроить алерты и автоматическое реагирование.

Что такое SIEM и нужен ли он вам

SIEM — это система, которая собирает события безопасности со всей инфраструктуры, нормализует, коррелирует и выдаёт алерты. В отличие от обычного мониторинга (Zabbix, Prometheus) SIEM сфокусирован на поиске инцидентов: взломы, попытки подбора паролей, вирусная активность, подозрительные процессы, изменения критичных файлов.

У нас на практике Wazuh нужен когда:

Архитектура Wazuh

Wazuh состоит из трёх компонентов плюс агенты:

Для офиса до 100 агентов все три компонента разворачиваются на одной VM (all-in-one). Для 500+ агентов я всегда разношу на отдельные машины.

Установка all-in-one Wazuh за 10 минут

Рекомендую Ubuntu 22.04 LTS или Rocky Linux 9 на виртуалке Dell Xeon Platinum 8280 — 4 vCPU, 8 ГБ RAM, 200 ГБ NVMe под индексы. Процедура одним скриптом с wazuh.com:

# One-liner установка
curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh
sudo bash ./wazuh-install.sh -a

# По окончании скрипт покажет пароли admin и kibanaserver
# Открываем https://<server-ip> в браузере, логин admin

Готово. Через 10 минут у вас рабочий SIEM. Проверить статус:

systemctl status wazuh-manager wazuh-indexer wazuh-dashboard
# Все три должны быть active (running)

/var/ossec/bin/cluster_control -l
# Покажет ноды кластера

Подключение Windows-агентов

На каждую рабочую станцию и сервер Windows ставится Wazuh Agent. Делается это либо вручную через MSI, либо через GPO для всего домена.

# PowerShell: установка агента с автоматической регистрацией
$WazuhManager = "wazuh.corp.local"
$MSI = "https://packages.wazuh.com/4.x/windows/wazuh-agent-4.9.1-1.msi"

Invoke-WebRequest -Uri $MSI -OutFile "$env:TEMP\wazuh-agent.msi"
msiexec.exe /i "$env:TEMP\wazuh-agent.msi" /q `
  WAZUH_MANAGER=$WazuhManager `
  WAZUH_REGISTRATION_SERVER=$WazuhManager `
  WAZUH_AGENT_GROUP="windows-office"

NET START WazuhSvc

Для развёртывания через GPO я всегда делаю отдельный MSI-пакет с preset-параметрами и публикую через Software Installation. За 2–3 реплоада GPO все рабочие станции подключаются сами.

Подключение Linux-агентов

# Debian/Ubuntu
curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | apt-key add -
echo "deb https://packages.wazuh.com/4.x/apt/ stable main" > /etc/apt/sources.list.d/wazuh.list
apt update
WAZUH_MANAGER="wazuh.corp.local" apt install wazuh-agent -y

systemctl enable --now wazuh-agent

# Регистрация (если не произошла автоматически)
/var/ossec/bin/agent-auth -m wazuh.corp.local

На сервере-менеджере проверяем, что агент зарегистрировался:

/var/ossec/bin/agent_control -l

Ключевые модули Wazuh

МодульЧто делаетПрименение
File Integrity MonitoringОтслеживает изменения в критичных папкахКонтроль /etc, реестра Windows, web-директорий
Log AnalysisПарсит и коррелирует логиAuth logs, Windows Event, IIS, SSH
Rootkit DetectionИщет скрытые файлы, порты, процессыОбнаружение компрометации
Vulnerability DetectorСверяет установленные пакеты с CVE-базамиУчёт уязвимостей на всех хостах
Compliance (CIS/PCI/HIPAA)Проверяет конфигурацию по чек-листамПодготовка к аудиту
Active ResponseБлокирует IP, отключает пользователяАвто-реакция на инциденты
MITRE ATT&CKМаппит события на тактики MITREThreat hunting

Настройка FIM — контроль критичных папок

File Integrity Monitoring отправляет алерт при каждом изменении указанных файлов. Я всегда включаю FIM на системные конфигурационные папки и веб-директории.

<!-- /var/ossec/etc/ossec.conf на менеджере или в group agent.conf -->
<syscheck>
  <disabled>no</disabled>
  <frequency>43200</frequency>

  <directories realtime="yes" check_all="yes">/etc</directories>
  <directories realtime="yes" check_all="yes">/usr/bin,/usr/sbin</directories>
  <directories realtime="yes" check_all="yes">/var/www/html</directories>

  <ignore>/etc/mtab</ignore>
  <ignore>/etc/resolv.conf</ignore>
  <ignore type="sregex">\.log$|\.swp$</ignore>

  <alert_new_files>yes</alert_new_files>
  <auto_ignore>no</auto_ignore>
</syscheck>

Для Windows агентов мониторим реестр HKLM\SYSTEM, папки Windows, Program Files и web-root IIS/Apache.

Active Response: автоматическая реакция

Wazuh умеет сам блокировать атакующие IP через iptables/firewalld/Windows Defender. Пример — блокировка IP при 5 неудачных SSH-попытках за 120 секунд:

<!-- /var/ossec/etc/ossec.conf -->
<active-response>
  <command>firewall-drop</command>
  <location>local</location>
  <level>7</level>
  <rules_id>5712,5710</rules_id>
  <timeout>3600</timeout>
</active-response>

<command>
  <name>firewall-drop</name>
  <executable>firewall-drop</executable>
  <timeout_allowed>yes</timeout_allowed>
</command>

Правило 5712 — «SSHD brute force attack». При срабатывании — IP атакующего блокируется на 3600 секунд через iptables, алерт уходит в дашборд. Время блокировки можно варьировать от правила severity.

Реальный кейс: SIEM для HR-агентства

В ноябре 2025 года к нам обратилось HR-агентство — офис на 130 рабочих мест, 8 серверов, 2 филиала. В связи с ФЗ-152 и обработкой больших объёмов персональных данных требовался SIEM с аудитом доступа к файлам, корреляцией событий, отчётами для проверяющих.

Что сделали за 3 недели:

За первый месяц работы Wazuh нашёл: 1 учётку сотрудника с USB-exfiltration-подозрением (массовое копирование 4 ГБ за ночь), 23 попытки brute-force на корпоративный VPN, 14 случаев установки несанкционированного ПО на рабочих станциях. Стоимость проекта — 260 000 руб., сопровождение включено.

Типичные ошибки при внедрении Wazuh

Внедрим Wazuh SIEM под ключ

Развёртывание Wazuh в all-in-one или распределённой архитектуре, массовое развёртывание агентов через GPO, настройка FIM, правил, Active Response, интеграция с Telegram/почтой, compliance-отчёты под ФЗ-152/PCI/CIS. Подготовка к аудитам.

Телефон: +7 903 729-62-41
Telegram: @ITfresh_Boss
Семёнов Евгений Сергеевич, директор АйТи Фреш

FAQ — частые вопросы

Что такое Wazuh и чем отличается от Zabbix?
Wazuh — SIEM-платформа. Zabbix собирает метрики производительности, Wazuh — события безопасности: логины, изменения файлов, запуск процессов, уязвимости. Разные классы продуктов, работают параллельно.
Нужен ли Wazuh малому офису?
Для 30-50 РМ — overkill. Для 100+ РМ, юрлиц с обязательствами по ФЗ-152/GDPR/PCI — становится необходимым. Даёт централизованный журнал событий безопасности.
Сколько требует ресурсов?
All-in-one для 50-100 агентов — 4 CPU, 8 ГБ RAM, 200 ГБ SSD. Для 500+ агентов разносить компоненты: manager 4 CPU 8 ГБ, indexer 8 CPU 16 ГБ, dashboard 2 CPU 4 ГБ.
Что мониторит Wazuh-агент?
FIM, логи ОС и приложений, журналы аудита, события безопасности Windows, syscall Linux, vulnerability detection, compliance-сканы CIS/PCI, активность пользователей.
Можно ли реагировать автоматически?
Да, Active Response: блокировка IP, отключение учётки, остановка процесса, удаление файла. Скрипты реакции запускаются по правилам severity с уведомлением в Telegram.

Подпишитесь на рассылку ITfresh

Раз в неделю — практические гайды для руководителя IT и сисадмина: безопасность, 1С, миграции, резервные копии, лайфхаки из реальных проектов.

Реквизиты оператора персональных данных

ООО «АЙТИ-ФРЕШ», ИНН 7719418495, КПП 771901001. Юридический адрес: 105523, г. Москва, Щёлковское шоссе, д. 92, корп. 7. Контакт: info@itfresh.ru, +7 903 729-62-41. Оператор обрабатывает e-mail подписчика в целях рассылки информационных и рекламных материалов до момента отзыва согласия.