EN Contattaci

Wazuh: piattaforma XDR e SIEM open source

Wazuh (fork di OSSEC avviato nel 2015 da Santiago Bassett) unisce XDR e SIEM open source: agent distribuiti, FIM, vulnerability detection, SCA, mappatura MITRE ATT&CK, backend su OpenSearch. Versione 4.0 rilasciata nel settembre 2020.

Cyber SecurityOpen Source
Cyber SecurityOpen Source WazuhSIEMXDROSSECCyber SecurityOpen Source
CyberScan

CyberScan

Vulnerability assessment e pentest automatizzato. Asset discovery continuo, AI risk prioritization, NIS2 compliance manager integrato.

Scopri CyberScan →Cyber Security

Cyber Security

Consulenza CISO-as-a-service: postura, roadmap di remediation, supporto continuativo.

Scopri →

Dalla costola di OSSEC

Wazuh nasce nel 2015 come fork di OSSEC guidato da Santiago Bassett, con l’obiettivo di modernizzare un HIDS storico aggiungendo visualizzazione, scalabilità e integrazione con stack analitici. L’azienda, oggi Wazuh Inc., ha sede tra San José (California) e la Spagna.

Il 9 settembre 2020 viene rilasciata Wazuh 4.0, snodo che consolida l’architettura attuale: agent, manager, indexer e dashboard separati, integrazione nativa con il fork OpenSearch (in precedenza Open Distro for Elasticsearch).

Architettura

Wazuh è organizzato in quattro componenti principali:

  • Wazuh agent — endpoint Linux, Windows, macOS, Solaris, AIX, HP-UX
  • Wazuh manager — analisi eventi, correlazione, rule engine
  • Wazuh indexer — fork di OpenSearch per storage e ricerca
  • Wazuh dashboard — interfaccia basata su OpenSearch Dashboards

Gli agent comunicano con il manager tramite canale cifrato, inviando eventi di log, inventario, FIM e telemetria di sicurezza.

Moduli

  • File Integrity Monitoring (FIM) — controllo di integrità su file e registry
  • Vulnerability Detection — correlazione software inventariato con CVE (NVD, feed vendor)
  • Security Configuration Assessment (SCA) — controlli di hardening su policy CIS e custom
  • CIS-CAT integration — benchmark CIS
  • Log data analysis — parsing e correlazione con decoder/rule XML
  • Active response — reazione automatica (blocco IP, kill processo)
  • Container security — monitoraggio Docker e Kubernetes

MITRE ATT&CK

Wazuh mappa le proprie regole alle tecniche MITRE ATT&CK: la dashboard mostra eventi e alert aggregati per tattica e tecnica, facilitando detection engineering e reportistica per framework come NIS2 e ISO 27001.

Licenza

I componenti Wazuh sono distribuiti sotto GPLv2 per il core derivato da OSSEC, con componenti aggiuntivi (indexer, dashboard) sotto licenze compatibili con il fork OpenSearch (Apache 2.0). La distribuzione è interamente open source, senza edizione “enterprise” a pagamento lato software.

Integrazioni

Wazuh si integra con:

  • VirusTotal, AbuseIPDB, MISP — threat intelligence
  • Slack, PagerDuty, Jira — alerting e ticketing
  • AWS, Azure, GCP, Office 365 — moduli cloud nativi
  • Osquery — raccolta di telemetria endpoint strutturata
  • Suricata, Zeek — arricchimento con eventi NSM

Adozione

Wazuh è diffuso in:

  • SOC e MSSP — piattaforma SIEM/XDR per clienti multi-tenant
  • Pubblica amministrazione — monitoring endpoint e server perimetrali
  • Sanità e finance — supporto a requisiti di compliance (PCI-DSS, HIPAA, GDPR)
  • Industria manifatturiera — correlazione eventi IT e OT

Nel contesto italiano

In Italia Wazuh è utilizzato da MSSP, CERT regionali, università e aziende in perimetro NIS2 come base tecnica per SIEM interni. La combinazione con Suricata e Zeek su distribuzioni come Security Onion è uno scenario ricorrente nelle architetture di NSM+HIDS.

Riferimenti: Wazuh 4.0 (9 settembre 2020). Fork di OSSEC avviato nel 2015 da Santiago Bassett. Sede Wazuh Inc.: San José (California) e Spagna. Licenza GPLv2 per il core; componenti OpenSearch Apache 2.0. Moduli FIM, Vulnerability Detection, SCA, Active Response. Integrazione MITRE ATT&CK. Sito: https://wazuh.com

Vuoi supporto? Sei sotto attacco? Stato dei servizi
Vuoi supporto? Sei sotto attacco? Stato dei servizi