Открытый SIEM и XDR в одной платформе — обнаружение угроз, compliance и реагирование без лицензионных миллионов.
«Wazuh видит всё: от изменения файла до MITRE ATT&CK-техники. Один агент — 360° видимость конечной точки.»
Wazuh — это платформа безопасности с открытым исходным кодом, объединяющая SIEM (Security Information and Event Management) и XDR (Extended Detection and Response) в единую систему. Агент Wazuh устанавливается на сервера и рабочие станции и собирает данные о событиях, изменениях файлов, сетевых соединениях и состоянии системы. Centralised Manager обрабатывает потоки данных, применяет правила корреляции и автоматически реагирует на угрозы.
В стеке IgNix Wazuh выступает центральным нервом безопасности: он интегрируется с PF (логи firewall), Suricata (IDS-алерты), Zeek (сетевой анализ) и ZFS (мониторинг целостности). MITRE ATT&CK-маппинг автоматически классифицирует обнаруженные события по тактикам и техникам атак — ИТ-директор видит не тысячи raw-событий, а структурированную картину угроз. Security Configuration Assessment (SCA) автоматически проверяет соответствие CIS Benchmarks.
FIM (File Integrity Monitoring) с eBPF отслеживает изменения файлов на уровне ядра с минимальным overhead. IT Hygiene Dashboard показывает устаревшее ПО, уязвимые конфигурации и отклонения от baseline по всему парку серверов. Active Response автоматически блокирует атакующих IP-адреса, изолирует скомпрометированные хосты и уведомляет команду — без ручного вмешательства.
Килл-фичи:
SIEM + XDR в одном — сбор логов, корреляция событий и активное реагирование без разрозненных продуктов
FIM с eBPF — мониторинг изменений файлов на уровне ядра, нулевой overhead, работает на FreeBSD и Linux
MITRE ATT&CK маппинг — каждый алерт автоматически привязан к тактике/технике ATT&CK, видимость для SOC и руководства
SCA (CIS Benchmarks) — автоматический аудит конфигураций по CIS, NIST, PCI DSS, ISO 27001 без внешних сканеров
Active Response — автоматическая блокировка IP, изоляция хоста, уведомление команды по правилу без ручного вмешательства
Hot reload правил — обновление правил обнаружения без перезапуска агентов и потери событий
IT Hygiene Dashboard — сводная панель уязвимостей, устаревшего ПО и отклонений конфигурации по всем хостам
Что заменяет: Splunk Enterprise Security, IBM QRadar, Microsoft Sentinel, AlienVault OSSIM, McAfee SIEM
Версия: Wazuh 4.14.1
Роль в стеке: Слой 5 — Безопасность / SIEM и XDR