SENTINEL Tecnologia
Segurança21 de março de 20269 min

Wazuh: o SIEM open source que compete com soluções enterprise de milhões

Como o Wazuh se tornou a alternativa viável ao Splunk e QRadar para empresas que precisam de SIEM sem o custo enterprise.

WazuhSIEMSegurançaOpen SourceComplianceSOC

Splunk cobra por volume de dados ingeridos. QRadar exige licenças por EPS (eventos por segundo). Microsoft Sentinel cobra por GB no Log Analytics. Em empresas com centenas de servidores, o custo de um SIEM enterprise facilmente ultrapassa R$ 500.000/ano.

O Wazuh mudou essa equação. Open source, gratuito, com capacidades que rivalizam com soluções milionárias — e com uma comunidade de mais de 20 milhões de downloads.

O que é o Wazuh

Wazuh é uma plataforma de segurança open source que combina:

  • SIEM (Security Information and Event Management)
  • XDR (Extended Detection and Response)
  • HIDS (Host-based Intrusion Detection System)
  • Vulnerability Detection
  • Compliance Monitoring

    • Tudo integrado em uma única plataforma, com dashboard centralizado e alertas em tempo real.

    Arquitetura do Wazuh

    A arquitetura é composta por três componentes principais:

    ```

    ┌─────────────────────────────────────────────────┐

    │ Wazuh Dashboard │

    │ (OpenSearch Dashboards) │

    └─────────────────────┬───────────────────────────┘

    ┌─────────────────────▼───────────────────────────┐

    │ Wazuh Indexer │

    │ (OpenSearch / Elasticsearch) │

    └─────────────────────┬───────────────────────────┘

    ┌─────────────────────▼───────────────────────────┐

    │ Wazuh Manager │

    │ (Análise, Correlação, Regras, Alertas) │

    └──┬──────────────┬──────────────┬────────────────┘

    │ │ │

    ┌──▼──┐ ┌───▼──┐ ┌───▼──┐

    │Agent│ │Agent │ │Agent │ (Linux, Windows,

    │ #1 │ │ #2 │ │ #N │ macOS, containers)

    └─────┘ └──────┘ └──────┘

    ```

    Instalação do Manager

    ```bash

    # Instalação all-in-one via script oficial

    curl -sO https://packages.wazuh.com/4.9/wazuh-install.sh

    sudo bash wazuh-install.sh -a

    # Após a instalação, acessar o dashboard

    # https://seu-servidor:443

    # Credenciais iniciais exibidas no terminal

    # Verificar status dos serviços

    sudo systemctl status wazuh-manager

    sudo systemctl status wazuh-indexer

    sudo systemctl status wazuh-dashboard

    ```

    Deploy de agentes

    ```bash

    # Linux (Debian/Ubuntu)

    curl -s https://packages.wazuh.com/key/GPG-KEY-WAZUH | gpg --no-default-keyring \

    --keyring gnupg-ring:/usr/share/keyrings/wazuh.gpg --import && chmod 644 /usr/share/keyrings/wazuh.gpg

    echo "deb [signed-by=/usr/share/keyrings/wazuh.gpg] https://packages.wazuh.com/4.x/apt/ stable main" | \

    tee /etc/apt/sources.list.d/wazuh.list

    apt-get update && apt-get install wazuh-agent -y

    # Configurar o manager

    sed -i 's/MANAGER_IP/10.0.1.100/' /var/ossec/etc/ossec.conf

    systemctl daemon-reload

    systemctl enable wazuh-agent

    systemctl start wazuh-agent

    ```

    ```powershell

    # Windows (PowerShell como Admin)

    Invoke-WebRequest -Uri https://packages.wazuh.com/4.x/windows/wazuh-agent-4.9.0-1.msi -OutFile wazuh-agent.msi

    msiexec.exe /i wazuh-agent.msi /q WAZUH_MANAGER="10.0.1.100" WAZUH_REGISTRATION_SERVER="10.0.1.100"

    NET START WazuhSvc

    ```

    Detecção de intrusão (HIDS)

    O Wazuh monitora atividade suspeita em tempo real:

    ```xml

    <!-- /var/ossec/etc/rules/local_rules.xml -->

    <group name="local,sshd,">

    <!-- Alerta para brute force SSH -->

    <rule id="100001" level="10" frequency="8" timeframe="120">

    <if_matched_sid>5710</if_matched_sid>

    <description>SSH brute force detectado: $(srcip)</description>

    <group>authentication_failures,</group>

    </rule>

    <!-- Alerta para login root bem-sucedido -->

    <rule id="100002" level="12">

    <if_sid>5715</if_sid>

    <user>root</user>

    <description>Login root via SSH detectado de $(srcip)</description>

    <group>authentication_success,</group>

    </rule>

    </group>

    ```

    Active Response: bloqueio automático

    ```xml

    <!-- /var/ossec/etc/ossec.conf -->

    <active-response>

    <command>firewall-drop</command>

    <location>local</location>

    <rules_id>100001</rules_id>

    <timeout>3600</timeout>

    </active-response>

    ```

    Com active response, o Wazuh não apenas detecta — ele responde automaticamente: bloqueia IPs de atacantes, isola processos suspeitos, executa scripts de remediação.

    File Integrity Monitoring (FIM)

    Detectar alterações não autorizadas em arquivos críticos é fundamental para compliance e segurança:

    ```xml

    <!-- Configuração FIM no ossec.conf -->

    <syscheck>

    <frequency>300</frequency>

    <directories check_all="yes" realtime="yes">/etc,/usr/bin,/usr/sbin</directories>

    <directories check_all="yes" realtime="yes">/var/www</directories>

    <directories check_all="yes" report_changes="yes">/etc/passwd,/etc/shadow</directories>

    <!-- Ignorar diretórios de cache -->

    <ignore>/etc/mtab</ignore>

    <ignore>/etc/resolv.conf</ignore>

    <!-- Monitorar registros Windows -->

    <windows_registry>HKEY_LOCAL_MACHINE\Software\Policies</windows_registry>

    <windows_registry>HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services</windows_registry>

    </syscheck>

    ```

    Vulnerability Detection

    O Wazuh escaneia pacotes instalados e compara com bases de CVEs:

    ```xml

    <!-- Habilitar vulnerability detection -->

    <vulnerability-detector>

    <enabled>yes</enabled>

    <interval>5m</interval>

    <run_on_start>yes</run_on_start>

    <provider name="canonical">

    <enabled>yes</enabled>

    <os>focal</os>

    <os>jammy</os>

    <os>noble</os>

    <update_interval>1h</update_interval>

    </provider>

    <provider name="nvd">

    <enabled>yes</enabled>

    <update_interval>1h</update_interval>

    </provider>

    </vulnerability-detector>

    ```

    Resultado: dashboards com todas as vulnerabilidades conhecidas no seu parque, priorizadas por CVSS score, com orientação de remediação.

    Compliance: PCI-DSS, HIPAA, LGPD

    O Wazuh mapeia automaticamente seus controles de segurança para frameworks de compliance:

    FrameworkControles CobertosExemplos

    |-----------|-------------------|----------|

    PCI-DSSReq 1, 2, 5, 6, 8, 10, 11FIM, log monitoring, vulnerability scan
    HIPAA164.312(a)(1), (b), (c)(1)Access control, audit, integrity
    LGPDArt. 46, 47, 48, 49Proteção de dados, notificação de incidentes
    SOC 2CC6.1, CC6.8, CC7.1Logical access, change management
    NIST 800-53AC, AU, CM, IA, SC, SIMúltiplos controles

    Cada alerta do Wazuh é automaticamente tagueado com os frameworks de compliance relevantes. Relatórios de compliance podem ser gerados diretamente do dashboard.

    Comparativo: Wazuh vs. Enterprise

    CapacidadeWazuhSplunk EnterpriseIBM QRadarMicrosoft Sentinel

    |-----------|-------|-------------------|------------|-------------------|

    Custo de licençaGratuitoR$ 300K+/anoR$ 500K+/ano~R$ 50K+/ano
    HIDS/FIMNativoPlugin pagoPlugin pagoVia Defender
    Vulnerability scanNativoQualys/NessusQVM (pago)Via Defender
    Active ResponseNativoSOAR separadoResilient (pago)Logic Apps
    Compliance reportsNativoEnterprise SecurityComplianceWorkbooks
    EscalabilidadeAlta (cluster)AltaAltaCloud-native
    SuporteComunidade/PagoIncluídoIncluídoIncluído
    Lock-inZeroAltoAltoAzure

    A diferença de custo é brutal. Para uma empresa com 200 servidores, a economia pode ultrapassar R$ 400.000/ano migrando de Splunk para Wazuh — sem perder capacidades essenciais.

    Integração com stack existente

    O Wazuh se integra nativamente com:

    ```bash

    # Integração com Slack para alertas

    cat >> /var/ossec/etc/ossec.conf << 'EOF'

    <integration>

    <name>slack</name>

    <hook_url>https://hooks.slack.com/services/YOUR/WEBHOOK/URL</hook_url>

    <level>10</level>

    <alert_format>json</alert_format>

    </integration>

    EOF

    # Integração com TheHive para incident response

    # Integração com Shuffle SOAR para automação

    # Integração com VirusTotal para threat intelligence

    sudo systemctl restart wazuh-manager

    ```

    Best practices para deploy em produção

    1. Dimensionamento: 1 CPU core e 2GB RAM para cada 100 agentes no manager

    2. Storage: plan para 10-50 GB/dia de logs dependendo do ambiente

    3. Alta disponibilidade: cluster de indexers com mínimo 3 nós

    4. Rede: agentes se comunicam na porta 1514/TCP — assegure que firewalls permitam

    5. Tuning: desabilite regras irrelevantes para reduzir falsos positivos

    6. Backup: snapshots diários do indexer + backup do manager config

    Precisa de ajuda?

    Agende uma call gratuita com nossa equipe e descubra como podemos implementar um SIEM robusto sem o custo enterprise. [Fale com um especialista →](/contato)

    Nossa equipe já ajudou dezenas de empresas a implementar Wazuh em produção com detecção de intrusão, compliance automatizado e resposta a incidentes. Marque uma reunião sem compromisso e veja uma demo do Wazuh configurado para seu ambiente.

    Precisa de ajuda com Segurança?

    Consultoria especializada com resultados mensuraveis. Fale com um especialista sem compromisso.

    Falar com EspecialistaVer Servico

    Artigos relacionados

    Institucional

    Por que empresas brasileiras precisam de consultoria de TI com profundidade técnica real

    Com 15+ anos em infraestrutura crítica, Cloud Azure/AWS, FinOps e Agentes de IA, a SENTINEL Tecnologia entrega resultados mensuráveis.

    FinOps

    FinOps na prática: como reduzimos até 30% dos custos de nuvem sem comprometer performance

    Estudo de caso real: cliente reduziu R$ 47.000/mês no Azure com rightsizing. Metodologia FinOps da SENTINEL.

    Receba insights de TI no seu email

    Artigos praticos sobre Cloud, FinOps, IA e estrategia de TI. Sem spam.

    Ganhe o guia "Checklist de Otimizacao Cloud" ao se inscrever

    Cancele a qualquer momento.