Wstęp – dlaczego firmy szukają alternatywy dla SIEM klasy enterprise
Systemy SIEM (Security Information and Event Management) są dziś fundamentem bezpieczeństwa IT: zbierają logi, korelują zdarzenia i wykrywają incydenty. Problem? Narzędzia klasy enterprise jak Splunk potrafią kosztować setki tysięcy zł rocznie.
W odpowiedzi coraz więcej firm (szczególnie MŚP) buduje własny, „tani SIEM” oparty o:
- Wazuh – open-source SIEM/XDR
- Zabbix – monitoring infrastruktury i metryk
To podejście nie tylko obniża koszty, ale daje pełną kontrolę nad danymi i architekturą.
Bezpłatne szkolenie: Zbuduj 5 agentów AI w n8n!
Weź udział w intensywnym, praktycznym szkoleniu i naucz się tworzyć automatyzacje oraz agentów AI komunikujących się przez komunikator. W programie m.in.: RAG Chatbot, Voice Agent, Wirtualna Rada Nadzorcza, Asystentka głosowa i Claude Code Admin.
Zapisy do 23 kwietnia, 23:59
1. SIEM open-source vs komercja (Splunk)
Charakterystyka podejścia
| Cecha | Wazuh + Zabbix | Splunk |
|---|---|---|
| Model | Open-source | Komercyjny |
| Koszt licencji | 0 zł | bardzo wysoki |
| Skalowanie | własna infrastruktura | gotowe |
| UX | techniczny | dopracowany |
| Automatyzacja | manualna | zaawansowana (SOAR) |
Kluczowe różnice
Wazuh:
- darmowy i open-source
- wykrywanie zagrożeń, FIM, vulnerability scanning
- integracja z Elastic Stack
- pełna kontrola nad danymi
Splunk:
- lider rynku SIEM
- zaawansowane analizy + machine learning
- ogromna skalowalność i ekosystem
- bardzo wysoki koszt przy dużym wolumenie logów
W praktyce:
- Splunk = „kupujesz gotowe SOC”
- Wazuh + Zabbix = „budujesz własne SOC”
2. Koszty – brutalna prawda
Splunk (enterprise)
- nawet 600 zł za GB dziennego ingestu
- rocznie: 2 000 000 zł – 8 000 000 zł w większych organizacjach
- dodatkowo:
- licencje
- support
- szkolenia
Wazuh + Zabbix
Licencja: 0 zł
Realne koszty:
1. Infrastruktura
- VM / bare-metal (Proxmox, cloud)
- storage (logi rosną szybko!)
- backup
2. Czas ludzi
- wdrożenie
- utrzymanie
- tuning reguł
3. Ukryte koszty
- brak „out-of-the-box” use case’ów
- debugging
- integracje
Wniosek:
Wazuh jest tani finansowo, ale drogi operacyjnie.
3. Architektura taniego SIEM
Minimalny setup (SMB)
[Endpointy] → Wazuh Agent → Wazuh Manager → Elasticsearch/OpenSearch → Dashboard
↑
integracja
↓
Zabbix Server
Rola komponentów
Wazuh
- SIEM (logi, korelacja, alerty)
- IDS/EDR
- compliance (np. CIS, PCI)
Zabbix
- monitoring (CPU, RAM, dyski)
- alerty operacyjne
- wykrywanie anomalii infrastruktury
Połączenie:
- Zabbix wykrywa problem (np. spike CPU)
- Wazuh analizuje logi (np. malware / brute-force)
4. Realne wdrożenie – krok po kroku
Krok 1: infrastruktura
Najczęściej:
- Proxmox / VMware
- 2–3 VM:
- Wazuh Server
- Elasticsearch / OpenSearch
- Zabbix Server
Minimalne zasoby:
- 8–16 GB RAM
- SSD (logi!)
Krok 2: instalacja Wazuh
Najprościej:
- Docker / docker-compose
- lub instalator all-in-one
Funkcje po instalacji:
- dashboard (Kibana-like)
- agent manager
- rules engine
Krok 3: Wdrożenie agentów
Instalujesz na:
- Linux
- Windows
- serwery
- aplikacje
Zbierane dane:
- auth.log
- syslog
- Windows Event Log
- auditd
Krok 4: integracja z Zabbix
Opcje:
- webhook (alert → Zabbix)
- Zabbix → Wazuh (np. syslog)
- wspólny dashboard (Grafana)
Krok 5: Przykłady użycia (najważniejsze!)
Bez tego SIEM jest bezużyteczny.
Przykłady:
Security
- brute force SSH
- eskalacja uprawnień
- zmiany w /etc/passwd
- malware
IT
- brak miejsca na dysku
- restart usług
- anomalia CPU
Krok 6: alerting
- Slack / Teams
- webhooki
Wazuh potrafi:
- blokować IP
- wyłączać konto
- restartować usługę
6. Ograniczenia (uczciwie)
– Krzywa uczenia
Wazuh ma duży próg wejścia
-UX i dashboardy
- mniej intuicyjne niż Splunk
- więcej ręcznej pracy
-Korelacja zdarzeń
- słabsza niż enterprise SIEM
- wymaga custom rules
– Skalowanie
- działa, ale wymaga tuningu
– Brak „magii AI”
- Splunk: ML, UEBA
- Wazuh: głównie rule-based
Realny feedback z rynku (Reddit)
„Wazuh daje świetny stosunek ceny do możliwości, ale wymaga więcej pracy”
„Trudno odtworzyć dashboardy ze Splunka”
To dokładnie oddaje rzeczywistość:
- tanio → więcej pracy
- drogo → więcej automatyzacji
7. Kiedy to ma sens biznesowo?
TAK – jeśli:
- masz DevOps / adminów
- chcesz ograniczyć koszty
- masz małe lub średnie środowisko
- potrzebujesz kontroli nad danymi
NIE – jeśli:
- potrzebujesz SOC 24/7
- brak zespołu security
- compliance „na papierze”
- duża skala (TB logów dziennie)
8. Zabbix to NIE SIEM
Dlaczego sam Zabbix to NIE SIEM
Zabbix monitoruje, a nie analizuje bezpieczeństwa
Zabbix jest świetny w:
- zbieraniu metryk (CPU, RAM, dysk)
- sprawdzaniu dostępności usług
- alertowaniu (np. „serwer nie działa”)
Ale SIEM robi coś innego:
- analizuje logi bezpieczeństwa
- wykrywa ataki
- koreluje zdarzenia
Zabbix powie:
„CPU 100%”
SIEM powie:
„CPU 100%, bo ktoś właśnie odpala crypto minera po udanym brute force”
Dlaczego Zabbix + Wazuh = już SIEM
Teraz dodajemy Wazuh.
I wszystko się zmienia.
Wazuh dodaje analizę logów
Wazuh:
- zbiera logi (syslog, Windows Event Log)
- normalizuje dane
- interpretuje je jako zdarzenia bezpieczeństwa
Nagle masz:
- kto się logował
- skąd
- ile razy
- czy to podejrzane
Wazuh wprowadza korelację
Przykład:
- 20 failed SSH login
- login successful
- zmiana pliku systemowego
Wazuh:
„Possible brute-force + privilege escalation”
Zabbix sam tego NIE zrobi!
Wazuh ma gotowe reguły bezpieczeństwa
Setki reguł out-of-the-box:
- brute force
- web attacks
- malware indicators
- compliance (PCI DSS, CIS)
To jest właśnie „SIEM layer”
Wazuh = FIM + IDS + EDR light
Wazuh dodaje:
- File Integrity Monitoring (czy ktoś zmienił /etc/passwd)
- wykrywanie rootkitów
- analizę procesów
- reakcje (active response)
Zabbix daje kontekst infrastruktury
I tu jest magia połączenia.
Wazuh:
„podejrzane logowanie”
Zabbix:
„serwer ma 100% CPU i brak RAM”
razem:
„atak + wpływ na system”
Najprostsze porównanie
| Funkcja | Zabbix | Wazuh | Razem |
|---|---|---|---|
| Monitoring | Tak | Nie | Tak |
| Logi | Ograniczona analiza logów | Tak | Tak |
| Korelacja | Nie | Tak | Tak |
| Detekcja zagrożeń | Nie | Tak | Tak |
| Alerty | Tak | Tak | Tak |
| SIEM | Nie | Tak | Tak |
9. Ile naprawdę kosztuje „tani SIEM”?
Scenariusz SMB (50–200 hostów)
| Element | Koszt miesięczny |
|---|---|
| VPS / serwery | 500–2000 zł |
| storage | 200–1000 zł |
| admin (czas) | 2000–8000 zł |
| SUMA | ~3k–10k zł |
vs Splunk:
- często 100k+ zł miesięcznie
10. Wnioski końcowe
Budowa taniego SIEM na bazie Wazuh + Zabbix to:
- ogromna oszczędność
- pełna kontrola
- elastyczność
ALE:
- wymaga wiedzy
- wymaga czasu
- nie daje „enterprise UX”
Najważniejszy insight
Tani SIEM nie polega na tym, że nic nie kosztuje.
Polega na tym, że zamieniasz pieniądze na kompetencje.
Podsumowanie
Artykuł omawia budowę tańszej alternatywy dla systemów SIEM klasy enterprise poprzez wykorzystanie Wazuh i Zabbix, porównując to podejście z komercyjnymi rozwiązaniami pod względem kosztów, możliwości i złożoności. Przedstawia architekturę takiego systemu, proces wdrożenia oraz praktyczne zastosowania, pokazując jak połączenie monitoringu infrastruktury i analizy logów umożliwia wykrywanie incydentów bezpieczeństwa. Wskazuje również ograniczenia rozwiązania open-source, takie jak większa złożoność, konieczność ręcznej konfiguracji i brak zaawansowanej automatyzacji. Podkreślono, że model ten jest opłacalny głównie dla mniejszych środowisk i organizacji posiadających kompetencje techniczne, a jego istotą jest zamiana wysokich kosztów licencyjnych na większy nakład pracy i wiedzy.
Bezpłatne szkolenie: Zbuduj 5 agentów AI w n8n!
Weź udział w intensywnym, praktycznym szkoleniu i naucz się tworzyć automatyzacje oraz agentów AI komunikujących się przez komunikator. W programie m.in.: RAG Chatbot, Voice Agent, Wirtualna Rada Nadzorcza, Asystentka głosowa i Claude Code Admin.
Zapisy do 23 kwietnia, 23:59