Splunk si IBM QRadar sunt platforme excelente, dar costul lor le face inaccesibile pentru majoritatea IMM-urilor din Romania - 30.000 pana la 200.000 EUR/an, fara contul de implementare. Wazuh, fork open source din OSSEC, ofera 80-90% din functionalitati la zero cost de licentiere si rulez in productie pentru companii de la 30 la 500 endpoint-uri.
Implementam Wazuh ca SIEM principal pentru clinici medicale, distributie, productie si firme de servicii. Lucram pe partea de detectie ransomware, FIM pentru fisiere critice, vulnerability assessment cu CVE feed, compliance reporting NIS2/GDPR si Active Response cu blocare automata in firewall MikroTik. Pentru clientii care nu au resurse interne, oferim si SOC managed cu monitorizare 24/7 si custom rules adaptate mediului romanesc.
Pentru un IMM cu 100 endpoint-uri, alegerea SIEM-ului nu mai este Splunk sau QRadar - este Wazuh, configurat corect.
Ce include
- Detectie amenintari real-time cu mapare MITRE ATT&CK
- File Integrity Monitoring (FIM) pe fisiere si chei registry critice
- Vulnerability Assessment cu scanare CVE pe agenti
- Log analysis Windows Event Logs, Linux syslog, aplicatii custom
- Detectie ransomware prin pattern mass-deletion si encryption
- Compliance reporting pentru NIS2, GDPR, PCI-DSS, HIPAA
- Active Response: blocare automata IP-uri atacante in firewall
- Cloud workload protection pentru Azure, AWS, Microsoft 365
- Integrare nativa cu MikroTik, Active Directory, Microsoft 365
- Custom rules scrise pentru mediul romanesc (RO logs, atacuri specifice)
Beneficii pentru companie
- Zero cost de licentiere - Wazuh este 100% open source
- Acopera 60-70% din cerintele tehnice NIS2 pentru logging si monitoring
- Detectie incidente cu raportare in fereastra de 24h ceruta de NIS2
- Alternative reala la Splunk/QRadar pentru IMM cu 50-500 endpoint-uri
- Optiune SOC managed - monitorizare 24/7 din partea noastra
- Retentie loguri configurabila pentru audit DNSC si GDPR
Intrebari frecvente
Wazuh este chiar gratuit sau exista costuri ascunse?
Wazuh este 100% open source sub licenta GPLv2 si AGPLv3 - nu exista cost de licentiere, nu exista taxa per agent, nu exista limita de volum loguri. Costurile reale sunt: hardware (un server fizic sau VM cu 8-16 vCPU si 32-64 GB RAM pentru cluster mediu), implementare initiala, scriere de rule-uri custom si mentenanta. Wazuh Inc. ofera optional un Cloud Service comercial si suport platit, dar acestea sunt complet optionale - majoritatea clientilor nostri ruleaza Wazuh self-hosted fara contract comercial.
Cat hardware imi trebuie pentru un Wazuh server?
Pentru sub 50 agenti, un singur server cu 4 vCPU, 16 GB RAM si 500 GB SSD este suficient (single-node all-in-one). Pentru 50-200 agenti, recomandam separare manager + indexer + dashboard pe 2-3 servere cu 8 vCPU si 32 GB RAM fiecare. Pentru 200-1.000 agenti, cluster Wazuh indexer cu 3+ noduri si manager dedicat. Storage-ul depinde de retentie: aproximativ 5-10 GB/agent/luna pentru loguri normale, mai mult pentru sisteme cu trafic web intens.
Wazuh poate inlocui un EDR comercial?
Pentru majoritatea IMM-urilor, da - Wazuh include detectie endpoint (procese, conexiuni, modificari fisiere), Active Response pentru blocare automata si integrare cu VirusTotal, MISP si threat intelligence feeds. Nu egaleaza CrowdStrike Falcon sau SentinelOne la capitole avansate (rollback ransomware automat, ML behavioral detection sofisticat), dar acopera 80% din scenarii la 0% din cost. Pentru entitati esentiale NIS2 sau medii high-risk, recomandam combinatie Wazuh + EDR comercial.
Cat dureaza implementarea Wazuh pentru o companie cu 100 statii?
Implementarea standard pentru 100 statii dureaza 3-4 saptamani: saptamana 1 audit si design, saptamana 2 instalare server si configurare initiala, saptamana 3 deployment agenti prin GPO sau Ansible, saptamana 4 configurare rule-uri custom si dashboard-uri specifice. Dupa go-live, urmeaza o perioada de tuning de 2-4 saptamani pentru reducerea false positive-urilor si adaptarea la patternul real de activitate al companiei.
Wazuh acopera cerintele NIS2?
Wazuh acopera direct cerintele tehnice NIS2 pentru logging, monitoring continuu, detectie si raportare incidente in 24h. Concret: rule-uri pre-configurate pentru NIS2, retentie configurabila a logurilor (minim 12 luni recomandat), rapoarte standardizate pentru auditori DNSC, integrare cu sisteme de notificare. Nu acopera componenta organizatorica (politici, proceduri, training) - pentru aceea oferim serviciul complet de Conformitate NIS2.
Pot folosi Wazuh impreuna cu antivirusul existent?
Da, Wazuh este complementar antivirusilor traditionali (Windows Defender, ESET, Bitdefender, Kaspersky). Wazuh nu scaneaza fisiere ca un antivirus - el monitorizeaza comportament, evenimente sistem, modificari de configuratie si corelaza alertele de la antivirus cu alte semnale. Recomandam pastrarea antivirusului ca prima linie + Wazuh ca strat SIEM/XDR pentru vizibilitate si raspuns coordonat.
Wazuh detecteaza ransomware in timp real?
Da, prin mai multe mecanisme: detectia mass-deletion (multe fisiere sterse intr-un interval scurt), detectia encryption (modificari rapide ale extensiilor de fisiere catre .locked, .encrypted etc.), monitorizarea proceselor suspecte (vssadmin delete shadows, bcdedit, wbadmin delete), si Active Response pentru blocare automata IP-uri si izolare host afectat. Pentru detectie cat mai rapida, recomandam combinarea cu hardened repository pe Veeam pentru recuperare.
Care e diferenta intre Wazuh si OSSEC?
Wazuh a inceput ca fork al OSSEC in 2015 si a crescut intr-o platforma complet diferita. OSSEC ramane un HIDS clasic (host intrusion detection), in timp ce Wazuh este o platforma XDR/SIEM completa cu Wazuh Indexer (fork OpenSearch), Dashboard (fork Kibana), API REST, integrari cloud, vulnerability assessment, compliance reporting si dezvoltare activa cu lansari trimestriale. Pentru un proiect nou, alegerea este Wazuh - OSSEC este in maintenance mode.