Wazuh - darmowy SIEM/XDR, przy którym Splunk wygląda blado

w dniu

Wazuh
Wazuh - darmowy SIEM/XDR, przy którym Splunk wygląda blado

Kiedy rozmawia się z szefami IT w firmach 50-200 osób o monitoringu bezpieczeństwa, odpowiedź brzmi zwykle tak samo: "mamy Defendera, mamy firewall, w sumie to wystarczy". A kiedy rozmawia się z tymi, którzy mają wdrożonego Splunka, QRadara albo Sentinela, odpowiedź jest inna: "kosztuje nas to więcej niż cały zespół helpdesku, ale przynajmniej widzimy, co się dzieje". Tymczasem od kilku lat istnieje narzędzie, które daje to samo - i więcej - za zero złotych. Nazywa się Wazuh i jeśli jeszcze go nie znasz, to czas nadrobić.

Czym jest Wazuh?

Wazuh to platforma SIEM (Security Information and Event Management) i XDR (Extended Detection and Response) oparta na open source. Nie jest skryptem do grepowania logów - to pełna architektura złożona z trzech komponentów:

  • Wazuh Server - silnik korelacji zdarzeń, reguł detekcji i alertów
  • Wazuh Indexer - oparty na OpenSearch (fork Elasticsearcha), odpowiada za przechowywanie i przeszukiwanie zdarzeń
  • Wazuh Dashboard - webowa konsola do przeglądania alertów, raportów i stanu agentów

Agenty instalujesz na monitorowanych maszynach - Windows, Linux, macOS, Solaris, AIX. Agent zbiera logi, monitoruje pliki, skanuje konfiguracje i wysyła wszystko do serwera. Serwer koreluje zdarzenia z regułami MITRE ATT&CK, generuje alerty i prezentuje to w dashboardzie.

Projekt jest rozwijany przez Wazuh Inc., dostępny na GitHubie, ma aktywną społeczność, regularny cykl releaseów i dokumentację, przy której wiele komercyjnych produktów wypada blado.

Co Wazuh robi, za co gdzie indziej płacisz

Korelacja logów i wykrywanie zagrożeń

Serce każdego SIEM-a to reguły detekcji. Wazuh dostarcza out-of-the-box kilka tysięcy reguł mapowanych na framework MITRE ATT&CK. Brute-force na SSH? Alert. Nowe konto admina w Windowsie? Alert. Eskalacja uprawnień przez sudo? Alert. Reguły pisze się w XML-u - nie jest to tak eleganckie jak Splunk SPL, ale robi robotę i można je wersjonować w Gicie.

W Splunku za samo wdrożenie Enterprise Security (moduł SIEM na wierzchu platformy logowej) płacisz osobno - i to kwoty, przy których budżet IT średniej firmy robi się nerwowy.

File Integrity Monitoring

FIM to jeden z fundamentów bezpieczeństwa infrastruktury - i jednocześnie funkcja, za którą komercyjne narzędzia kasują dodatkowe opłaty. Wazuh monitoruje zmiany w plikach systemowych, konfiguracyjnych i krytycznych katalogach w czasie rzeczywistym. Ktoś podmienił /etc/passwd? Alert z hashem przed i po. Ktoś dorzucił DLL do katalogu systemowego Windows? Alert z pełnym kontekstem.

Tripwire - jeden z pionierów FIM - kosztuje licencję per serwer. Wazuh robi to samo w ramach agenta, za darmo.

Vulnerability Detection

Wazuh skanuje zainstalowane pakiety na agentach i porównuje je z bazami CVE. Efekt: dostajesz listę maszyn z nieaktualnymi pakietami, które mają znane podatności, wraz z severity i numerem CVE.

To jest dokładnie ten punkt, w którym vulnerability detection spotyka się z patch managementem - jedno bez drugiego nie ma sensu. Wazuh mówi ci, co jest dziurawe. Łatanie to już twoja robota - ale przynajmniej wiesz, od czego zacząć.

Zgodność regulacyjna

Audytor pyta o PCI DSS? GDPR? ISO 27001? Wazuh generuje gotowe raporty compliance z mapowaniem na konkretne kontrolki. Nie musisz tłumaczyć audytorowi, że "mamy monitoring" - pokazujesz dashboard z listą spełnionych i niespełnionych wymagań.

Dla firm, które wdrażają ISO 27001, to konkretna oszczędność czasu i pieniędzy - zamiast budować raportowanie od zera, masz je wbudowane w platformę.

Active Response

Wazuh nie tylko wykrywa - reaguje. Możesz skonfigurować automatyczne akcje: zablokuj IP na firewallu po trzecim nieudanym logowaniu, zabij proces, odłącz agenta od sieci. Active Response działa na poziomie agenta, więc reakcja jest natychmiastowa - nie czekasz, aż ktoś przeczyta alert w dashboardzie.

To jest odpowiednik tego, co w komercyjnym świecie sprzedaje się jako SOAR (Security Orchestration, Automation and Response) - z tą różnicą, że w Wazuh jest to wbudowane, a dedykowane platformy SOAR kosztują jak mały samochód.

Inwentaryzacja i wykrywanie nieautoryzowanych aplikacji

Agent Wazuh zbiera informacje o zainstalowanym oprogramowaniu, otwartych portach, działających procesach i interfejsach sieciowych. Masz centralny widok na to, co działa w Twojej infrastrukturze. Ktoś zainstalował TeamViewera na stacji roboczej? Widzisz to. Postawił serwer HTTP na porcie 8080? Też.

Szybki przykład wdrożenia

Poniżej minimalna konfiguracja agenta dla serwera Linux - monitoring logów systemowych, FIM na krytycznych katalogach i vulnerability scan:

<!-- /var/ossec/etc/ossec.conf (po stronie agenta) -->

<ossec_config>
  <client>
    <server>
      <address>wazuh.example.local</address>
      <port>1514</port>
      <protocol>tcp</protocol>
    </server>
  </client>

  <!-- Log collection -->
  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/syslog</location>
  </localfile>

  <localfile>
    <log_format>syslog</log_format>
    <location>/var/log/auth.log</location>
  </localfile>

  <!-- File Integrity Monitoring -->
  <syscheck>
    <frequency>600</frequency>
    <directories realtime="yes">/etc,/usr/bin,/usr/sbin</directories>
    <directories realtime="yes">/var/www</directories>
    <ignore>/etc/mtab</ignore>
    <ignore>/etc/resolv.conf</ignore>
  </syscheck>

  <!-- Vulnerability Detection -->
  <wodle name="syscollector">
    <disabled>no</disabled>
    <interval>1h</interval>
    <scan_on_start>yes</scan_on_start>
    <packages>yes</packages>
    <ports all="no">yes</ports>
    <processes>yes</processes>
  </wodle>
</ossec_config>

Po stronie serwera konfiguracja jest bardziej rozbudowana, ale Wazuh oferuje gotowe skrypty instalacyjne i Docker Compose, który stawia cały stack (serwer + indexer + dashboard) w kilka minut. Dokumentacja na wazuh.com/docs prowadzi krok po kroku.

Typowy scenariusz dla małego środowiska - 3 serwery Linux, 20 stacji Windows, jeden serwer Wazuh:

  • Serwer Wazuh: 4 vCPU, 8 GB RAM, 100 GB dysku na logi
  • Agenty: znikomy narzut - ~50 MB RAM, <1% CPU
  • Retencja: 90 dni indeksowanych danych, starsze rotowane do archiwum

Porównanie z komercyjnymi alternatywami

Funkcja Wazuh Splunk Enterprise Security Microsoft Sentinel IBM QRadar
Koszt $0 Licencja per GB/dzień (od ~$150/GB) Pay-as-you-go per GB Licencja per EPS
Korelacja zdarzeń MITRE ATT&CK Wbudowana Wbudowana (w ES) Wbudowana Wbudowana
File Integrity Monitoring Wbudowany Wymaga Splunk Add-on Wymaga agenta MDE Osobny moduł
Vulnerability Detection Wbudowany Wymaga integracji z Qualys/Tenable Wymaga Defender VM Wymaga QVM
Compliance reporting Wbudowany (PCI, GDPR, ISO) Wymaga ES + Content Packs Workbooki do budowania Osobne moduły
Active Response Wbudowany Wymaga Splunk SOAR (osobna licencja) Logic Apps (osobna usługa) QRadar SOAR (osobna licencja)
Agent multi-platform Linux, Windows, macOS, Solaris, AIX Universal Forwarder (osobna instalacja) MDE / AMA WinCollect + inne

Oczywiście porównanie nie jest do końca uczciwe - Splunk ma potężny język zapytań SPL, Sentinel integruje się natywnie z ekosystemem Azure, a QRadar ma lata doświadczenia w korelacji zagrożeń w dużych środowiskach. Ale jeśli prowadzisz firmę, która ma 20-200 endpointów i nie ma budżetu na licencje SIEM rzędu setek tysięcy złotych rocznie - Wazuh robi tę robotę. I robi ją dobrze.

Kiedy Wazuh może nie wystarczyć

Uczciwie trzeba powiedzieć, że Wazuh nie jest odpowiedzią na każdy problem:

Skalowalność powyżej kilku tysięcy agentów - przy dużych wdrożeniach (5000+ endpointów) OpenSearch zaczyna wymagać poważnego tuningu, klastrowania i sporej ilości zasobów. Splunk i Sentinel są projektowane pod taką skalę od początku.

Zaawansowany SOAR - Active Response w Wazuh to proste skrypty reakcyjne. Jeśli potrzebujesz orkiestracji na poziomie Splunk SOAR czy Palo Alto XSOAR - z playbookami, integracjami z ticketingiem i wieloetapowymi workflow - to nie ta liga.

Dashboard i UX - Wazuh Dashboard (oparty na OpenSearch Dashboards) jest funkcjonalny, ale nie dorównuje wizualnie Splunkowi ani Sentinelowi. Budowanie custom dashboardów wymaga więcej pracy.

Cloud-native SIEM - jeśli Twoja infrastruktura jest w 100% w Azure, natywna integracja Sentinela z Entra ID, Defenderem i Logic Apps będzie trudna do odtworzenia w Wazuh.

Wsparcie komercyjne - Wazuh Inc. oferuje płatne wsparcie i cloud hosting, ale to inna liga niż support od Microsoftu czy IBM. Dla wielu firm zewnętrzny zespół IT, który wdroży i będzie utrzymywał Wazuha, to bardziej realistyczna opcja niż budowanie kompetencji wewnętrznie.

Podsumowanie

Wazuh to jeden z tych projektów, przy których zaczynasz się zastanawiać, dlaczego tak długo płaciłeś za coś, co można mieć za darmo. SIEM, XDR, FIM, vulnerability scanning, compliance reporting i active response - w jednej platformie, z jednym agentem, bez licencji.

Projekt jest aktywnie rozwijany, ma rosnącą społeczność, regularny cykl releaseów i dokumentację, która nie udaje, że nie istnieje. Quick start to realnie 30 minut na postawienie serwera i podpięcie pierwszego agenta.

Jeśli budujesz środowisko SMB, prowadzisz homelab albo po prostu chcesz wiedzieć, co się dzieje w Twojej infrastrukturze bez oddawania budżetu vendorowi SIEM - Wazuh jest tym narzędziem, od którego warto zacząć. Naprawdę.

Komentarze

Prześlij komentarz