Wazuh ile Sıfırdan SIEM Kurulumu: 5 Adımda Başlangıç

Kurumsal güvenlik izleme alanında SIEM platformu seçerken iki temel yön var: ya Splunk, IBM QRadar gibi lisanslı çözümlere yüksek bütçe ayırırsınız, ya da açık kaynak Wazuh ile başlarsınız. Müşterilerimizin büyük çoğunluğunda Wazuh ile çalışıyoruz — sebebi sadece maliyet değil, esneklik ve vendor lock-in olmaması.

Wazuh nedir, neden tercih ediyoruz

Wazuh; OSSEC'ten türetilmiş, OpenSearch tabanlı bir HIDS+SIEM platformudur. Endpoint agent'ları Linux, Windows, macOS, Docker ve Kubernetes'te çalışır. Log toplama, file integrity monitoring (FIM), rootkit detection, vulnerability detection ve aktif tepki özelliklerini tek bir agent'ta birleştirir.

Tercih sebeplerimiz: hızlı kurulum, açık kural seti (kendi kurallarınızı yazabilirsiniz), MITRE ATT&CK framework'üyle gelen hazır mapping'ler ve PCI-DSS/HIPAA/GDPR uyumluluk raporları.

Mimari özet

Üç ana bileşen var: Wazuh Manager (kuralları çalıştırır, alarm üretir), Wazuh Indexer (OpenSearch-tabanlı log depo), Wazuh Dashboard (görselleştirme). Üçü aynı sunucuda çalışabilir (küçük kurulum) veya HA için ayrı sunuculara dağıtılabilir (kurumsal).

Sistem gereksinimleri

Küçük kurulum (50 endpoint'e kadar): 4 vCPU, 8 GB RAM, 50 GB SSD. Orta ölçek (500 endpoint): 8 vCPU, 16 GB RAM, 200 GB SSD. Büyük kurulum (1000+ endpoint): manager ve indexer ayrı sunucularda, her biri minimum 16 GB RAM. Disk hızı kritik — HDD ile Wazuh çok yavaş çalışır, NVMe ideal.

5 adımda kurulum

Wazuh ekibinin sağladığı assistant script en pratik yol:

1. Ubuntu 22.04 veya Rocky Linux 9 hazır bir sunucu (firewall'da 1514, 1515, 55000 ve 443 portları açık olmalı).
2. curl -sO https://packages.wazuh.com/4.10/wazuh-install.sh
3. sudo bash ./wazuh-install.sh -a (all-in-one kurulum). ~15 dakika sürer.
4. Çıktıda admin parolası verilir — kaydedin. Şifre dosyası wazuh-install-files.tar içinde de tutulur.
5. https://<sunucu-ip> üzerinden dashboard'a erişin (self-signed sertifikayla — production'a Let's Encrypt önerilir).

İlk endpoint agent'ı

Dashboard'da Agents → Deploy new agent ile bir Linux veya Windows endpoint'e tek komut sağlanır. Agent kurulup başlatıldıktan sonra Wazuh otomatik default kurallarla loglamaya başlar — SSH login denemeleri, syscheck, audit ilk gelir.

Sık yapılan hatalar

İlk SIEM kurulumlarında en sık karşılaştığımız üç hata:

1. Disk planlaması yapılmaması: Loglar hızla birikir. 50 endpoint'li bir kurulumda günlük 5-10 GB log normal. 200 GB disk 1-2 ayda dolar. Retention policy şart.
2. Alert fatigue: Default kurallar her şeyi alarm atar. İlk 2 hafta içinde özel ortamınıza göre tuning yapmazsanız ekip alarmlara bakmamaya başlar — SIEM'in en büyük başarısızlık modu budur.
3. Agent güncelleme atlamaları: Wazuh sık güncellenir (3-4 ayda bir minor). Manager-agent versiyon uyumsuzluğu sessizce özellik kaybına yol açar.

Sonuç

Wazuh ile bir hafta içinde temel SIEM görünürlüğüne sahip olabilirsiniz. Asıl iş ondan sonra başlar: özel kurallar, log kaynaklarının entegrasyonu (firewall, AD, cloud), MITRE ATT&CK kapsamı ve olay müdahale prosedürleri. Bu süreci kendi başınıza yürütmek mümkün ama deneyimli destek 6 ay kazandırabilir — sizin ortamınıza özel hangi alarmlar gerçek hangileri gürültü hızlıca ayrışır.