SIEM в конторе на 60 человек: Wazuh, KUMA или вообще не лезть

[fabs2002x]

Я единственный админ и по совместительству безопасник в компании на 60 человек. Инфра: 3 сервера с 1С, файлопомойка, ~70 станций на Win10/11, пара линуксов под внутренние сервисы. Директор начитался новостей про оборотные штрафы за утечки ПДн и внезапно выделил бюджет на безопасность. Бюджет смешной, 300-400к в год.

Что реально поднять и тащить в одного? Смотрю Wazuh (бесплатный, но надо железо и кучу времени), у Касперского KUMA вроде есть редакция для маленьких, MaxPatrol даже не спрашиваю, там ценник от пары миллионов. Или вообще не лезть в SIEM и потратить все на EDR и нормальные бэкапы? Боюсь закопаться в инструмент, который потом некому будет смотреть.

[Version]

На твоем масштабе SIEM без человека, который его каждый день смотрит, это дорогая полка. Я бы раскидал так: KES с EDR Optimum на станции, это примерно 1200-1700 руб за хост в год, на твои 70 машин выходит около 100-120к. Дальше бэкапы по схеме 3-2-1 с офлайн-копией. И только потом Sysmon на станции плюс Wazuh single-node на виртуалке как сборщик логов, не как полноценный SIEM, а чтобы было куда смотреть при разборе. Остаток бюджета потрать на курсы себе, это окупается лучше любой коробки.

[taichi]

@fabs2002x, wazuh на 70 хостов жрет больше чем ждешь. под индексер сразу закладывай 16 гигов и ssd, на hdd будешь страдать и проклинать все

[torch2]

Не согласен про EDR. EDR без того, кто разбирает алерты, ровно такая же полка, как и SIEM. В твоем случае честнее аутсорс-SOC, у региональных провайдеров мониторинг маленькой инфры стоит от 30-50к в месяц, как раз твой годовой бюджет. Пусть алерты разбирают те, кому за это платят.

[haroldt]

@torch2, видел я эти SOC за 30к. алерты пересылают на почту с задержкой в сутки и припиской рекомендуем проверить. за такой мониторинг можно и не платить, результат тот же

[rawgoblin]

А почта у вас где живет? Если на яндекс 360 или мейл-бизнесе, то половина реальных рисков там, а не в сети. Начни с принудительного MFA на всех, аудита кто куда имеет доступ и алертов на вход с новых устройств. Это ноль рублей и закрывает больше, чем любой SIEM на старте.

[Manchaca]

Зануда на связи. Если вы оператор ПДн и под приказ ФСТЭК 21 попадаете, то формально СЗИ должны быть сертифицированные, и Wazuh туда не вписывается. На практике зависит от уровня защищенности и от того, придет ли к вам когда-нибудь проверка, но при распределении бюджета держи в голове, что бумажная часть тоже денег стоит.

[async2025]

Тоже один на 80 человек, год живу на связке Sysmon + Wazuh + KES. Главный совет: выключи дефолтные правила почти все и напиши штук 20 своих под свою инфру (новые службы, логон админа не с его машины, очистка журналов, запуск из temp). Иначе утонешь в шуме за первую неделю и забросишь. С 20 своими правилами это минут 15 в день, вполне тащится в одного.