Wazuh: o SIEM gratuito que empresas pagantes usam
Existe uma ferramenta de segurança usada por empresas como Microsoft, Capital One e T-Mobile que não custa nada para baixar. Se chama Wazuh. E se você paga por um SIEM comercial, provavelmente está pagando por algo que o Wazuh já faz.
O que é Wazuh
Wazuh é uma plataforma de detecção de ameaças, monitoramento de integridade e resposta a incidentes. Pense nele como um sistema de alarme para toda a sua infraestrutura: cada servidor, cada computador, cada nuvem.
A analogia: imagina um prédio comercial com 200 salas. Cada sala tem um alarme próprio que toca quando alguém abre a porta. Mas ninguém ouve os alarmes porque são muitos. O Wazuh é a central que recebe todos os alarmes, analisa padrões e decide qual merece atenção imediata.
O que ele faz na prática
Coleta de logs
Wazuh instala agentes (programas leves) em cada máquina — Windows, Linux, macOS, containers Docker. Esses agentes enviam logs para um servidor central. Você vê tudo num painel único.
Detecção de ameaças
Mais de 3.000 regras pré-configuradas que detectam: - Tentativas de login suspeitas (brute force, horários anormais) - Modificações em arquivos críticos do sistema - Conexões para IPs maliciosos conhecidos - Processos executando com privilégios elevados - Tentativas de desabilitar antivírus
Compliance
Dashboards prontos para PCI-DSS, HIPAA, GDPR, LGPD, NIST 800-53, CIS Benchmarks.
Vulnerabilidades
Escaneia continuamente em busca de CVEs conhecidos e mostra quais precisam de correção urgente.
Resposta ativa
Pode executar ações automáticas: bloquear um IP, isolar uma máquina, desativar um usuário.
Por que é gratuito e profissional
Wazuh é open-source (GPLv2): - Sem custo de licença — não paga por usuário, por GB, por servidor - Código aberto — qualquer especialista pode auditar - Comunidade ativa — mais de 100.000 instalações, regras atualizadas diariamente - Sem vendor lock-in — seus dados ficam na sua infraestrutura
Gratuito não significa amador. A Wazuh Inc. oferece suporte empresarial pago. A versão gratuita tem as mesmas funcionalidades técnicas.
Wazuh vs Splunk vs QRadar
| Aspecto | Wazuh | Splunk | QRadar |
|---|---|---|---|
| Custo | Grátis | Alto | Alto |
| Agentes | Sim | Sim | Sim |
| Regras | 3.000+ | Custom | Custom |
| Compliance | Pronto | Add-ons pagos | Add-ons pagos |
| Comunidade | 100K+ | 15K clientes | 5K clientes |
O Splunk custa em média $2.000 por GB ingerido por mês. Uma PME com 50 máquinas gera 5-10 GB/mês. O Wazuh faz o mesmo por R$ 0.
Como começar com Wazuh hoje
- Instale o servidor — disponível para Linux (Ubuntu, CentOS, Debian). Pode rodar em VM, servidor dedicado ou nuvem (Oracle Cloud tem tier gratuito).
- Instale agentes — baixe o agente para cada máquina. O instalador é automático, 2 minutos por máquina.
- Conecte ao servidor — cada agente aponta para o servidor Wazuh. Comunicação criptografada.
- Configure regras — as 3.000 regras padrão cobrem a maioria dos casos.
- Configure alertas — defina quais eventos geram alertas (e-mail, Slack, TheHive).
Tempo médio para PME com 30-50 máquinas: 2 a 4 dias, incluindo tuning de regras.
Quando considerar ajuda profissional
O Wazuh é gratuito, mas o tempo da sua equipe não. Regras mal configuradas geram ruído excessivo (falsos positivos) ou pior: silêncio sobre ataques reais.
Uma implementação profissional inclui: - Tuning de regras para o ambiente específico - Integração com TheHive para gestão de incidentes - Dashboards de compliance - Treinamento da equipe - Monitoramento contínuo (SOC)
Perguntas frequentes
Wazuh substitui o antivírus? Não. Wazuh monitora eventos e detecta por comportamento. Antivírus trabalha na camada de arquivos. São complementares.
Preciso de servidor dedicado? Para até 50 agentes, uma VM com 4GB RAM basta. Para 100+, recomenda-se 8-16GB.
Dá para usar na nuvem? Sim. AWS, Azure, Google Cloud e Oracle Cloud são suportadas.
Quanto tempo leva para implementar? Para PME com 30-50 máquinas: 2 a 4 dias com ajuda especializada. Sozinho, 1-2 semanas.