Wazuh; log analizi, dosya bütünlüğü izleme (FIM), saldırı tespiti (IDS), güvenlik açığı taraması ve uyumluluk denetimi (KVKK, ISO 27001, PCI DSS) bileşenlerini tek bir platformda sunan açık-kaynak SIEM ve XDR çözümüdür. Linux, Windows, macOS, Docker, Kubernetes ve büyük bulut sağlayıcılarını (AWS, Azure, GCP) aynı anda izleyebilmesi, onu heterogen altyapılarda kuruluşların ilk tercihi haline getirir.
Mimarisi üç temel katmandan oluşur: Wazuh Agent (izlenen her sunucuya kurulan hafif servis), Wazuh Manager (kural motoru ve olay korelasyonu) ve OpenSearch / Wazuh Indexer (log depolama ve arama). Yönetim paneli olarak Wazuh Dashboard (OpenSearch Dashboards üzerine inşa edilmiş) kullanılır.
Mono’nun yaklaşımı
Mono ekibi Wazuh’u hem kurumsal güvenlik operasyon merkezlerinde (SOC) hem de KOBİ ölçekli altyapılarda kurar ve yönetir. Standart kararlarımız:
- Versiyon: Wazuh 4.x güncel stable serisi; Wazuh Indexer (OpenSearch tabanlı) tümleşik kurulum.
- Agent dağıtımı: Ansible playbook ile otomatik kurulum; Manager’a self-registration ile anında kayıt.
- Kural setleri: Varsayılan kurallar + Mono’nun Türkiye odaklı custom kural paketi (sık görülen saldırı vektörleri, KVKK denetim noktaları).
- FIM (Dosya Bütünlüğü İzleme): Kritik sistem dosyaları (
/etc,/bin,/sbin, web root dizinleri) anlık izlenir; değişiklik anında alarm üretir. - Aktif yanıt (Active Response): Brute-force, port tarama veya belirli imzaları tetikleyen saldırılarda otomatik IP engelleme (
firewalld/iptableskuralı) devreye alınır. - Entegrasyon: Slack / PagerDuty bildirimleri; Grafana ile ortak güvenlik + altyapı dashboard’ı; TheHive ile SOC iş akışı.
- Uyumluluk raporları: KVKK, PCI DSS ve ISO 27001 için hazır raporlar aylık otomatik üretilip paylaşılır.
Tipik üretim mimarisi
- Wazuh Manager (HA gerekiyorsa master + worker cluster, 2–3 node).
- Wazuh Indexer kümesi - 3 node (OpenSearch), veri saklama ve arama katmanı.
- Wazuh Dashboard - tek node, Nginx reverse proxy arkasında, SSO ile korumalı.
- Wazuh Agent’lar - tüm Linux/Windows/macOS sunuculara, Docker host’larına ve Kubernetes node’larına kurulu.
- Cloud entegrasyonu - AWS CloudTrail, Azure Activity Log, GCP Audit Logs doğrudan Wazuh’a beslenir.
- Bildirim zinciri - Wazuh → Slack (anlık uyarı) + e-posta (günlük özet) + PagerDuty (kritik alarm).
Güvenlik yetenekleri
| Yetenek | Açıklama |
|---|---|
| Log analizi | Syslog, Windows Event, JSON, uygulama logları gerçek zamanlı ayrıştırma |
| Dosya bütünlüğü (FIM) | Anlık inode değişikliği tespiti; kim, ne zaman, ne değiştirdi |
| Saldırı tespiti (IDS) | OSSEC tabanlı imza motoru + anomali tespiti |
| Güvenlik açığı taraması | Kurulu paket sürümleri CVE veritabanıyla otomatik eşleştirme |
| Uyumluluk | PCI DSS, HIPAA, GDPR, KVKK, ISO 27001 hazır kontrol setleri |
| Bulut güvenliği | AWS/Azure/GCP API logları, misuse ve credential leak tespiti |
| Konteyner güvenliği | Docker olayları, imaj anomalileri, runtime şüpheli davranış |
Yaygın sorunlar ve çözümler
- Yüksek yanlış pozitif (false positive) oranı: Varsayılan kurallar tüm ortamlar için agresif gelebilir. Kural seviyelerini (
level) ortama göre ayarlayın; gürültülü kural ID’leriniignorelistesine alın. - Agent bağlantı kopması: Genellikle güvenlik duvarı veya NAT sorunudur. 1514 (UDP/TCP) portunu Manager’a açın;
agent.conf‘danotify_timedeğerini artırın. - Yavaş arama / Dashboard gecikmesi: Wazuh Indexer shard boyutu büyümüştür. ILM (Index Lifecycle Management) politikası ile eski indeksleri arşivleyin veya silin; shard sayısını optimize edin.
- Disk dolması: Log hacmi beklenenden hızlı büyüdüyse Indexer’da hot-warm-cold katmanlı depolama kurun; logları soğuk depolamada sıkıştırılmış biçimde tutun.
- Active Response çakışması: Otomatik IP engelleme meşru trafiği bloke etmeye başladıysa
active-response/bin/scriptlerini beyaz liste (white_list) ile yapılandırın.
İlgili hizmetlerimiz
Sıkça sorulan sorular
SIEM nedir, ne işe yarar?
SIEM (Security Information and Event Management), altyapıdaki tüm sistemlerden gelen güvenlik loglarını merkezi olarak toplayıp analiz eden ve anormal davranışları tespit ettiğinde alarm üreten yazılım kategorisidir. Firewall, sunucu, uygulama ve bulut logları tek bir noktada korelasyona tabi tutulur; böylece tek başına görünmez olan saldırı zinciri (kill chain) ortaya çıkarılabilir. Wazuh bu kategorinin açık-kaynak lideridir.
Wazuh nedir?
Wazuh; log analizi, dosya bütünlüğü izleme, saldırı tespiti, güvenlik açığı taraması ve uyumluluk denetimini tek platformda sunan açık-kaynak SIEM ve XDR çözümüdür. 2015’te OSSEC’in fork’u olarak başlayan proje, bugün Fortune 500 şirketleri dahil 20.000’i aşkın kurumda aktif olarak kullanılmaktadır.
Wazuh agent Windows sunucularda nasıl çalışır?
Windows için Wazuh agent, MSI paketi olarak kurulur ve bir Windows servisi olarak çalışır. Windows Event Log, Sysmon, PowerShell, IIS ve diğer uygulama loglarını toplar; dosya bütünlüğü izleme için NTFS audit API’sini kullanır. Kurulum için sunucunun yeniden başlatılması gerekmez. Mono, Windows agent dağıtımlarını Ansible WinRM veya Group Policy (GPO) üzerinden otomatize eder.
Wazuh ile Splunk arasındaki fark nedir?
Wazuh tamamen açık-kaynak ve ücretsiz; ajanları Linux, Windows, macOS, konteyner ve bulut ortamlarını destekler. Splunk kurumsal lisanslama gerektirir ve veri hacmine göre maliyeti hızla artar. Mono, büyük ölçekli SIEM ihtiyaçları için Wazuh’u, kurum içi güvenlik operasyonlarını (SOC) standart bütçelerle çalıştırmak için tercih eder.
Wazuh KVKK için yeterli mi?
Evet. Wazuh’un dosya bütünlüğü izleme (FIM), kullanıcı etkinliği logları ve uyum raporlama modülleri KVKK 12. madde teknik tedbirlerin belgelenmesinde doğrudan kullanılabilir. Ayrıca PCI DSS için hazır kural setleri ve raporları mevcuttur; ISO 27001 kapsamındaki kontroller için Mono özelleştirilmiş kural seti hazırlar.
Kaç ajanı yönetebilir?
Tek Wazuh Manager node’u ortalama 1000–1500 ajanı rahatça yönetir. Daha büyük kurulumlar için küme (cluster) modunda birden fazla Manager node’u devreye alınır; yük dengeleme otomatik yapılır. Mono’nun yönettiği kurulumların büyük çoğunluğu 200–800 ajan aralığındadır.
Wazuh agent kurulumu kesintiye yol açar mı?
Hayır. Wazuh agent kurulumu ve kaldırılması servisi durdurmaz; restart gerektirmez. Ansible/Puppet gibi araçlarla sessiz kurulum yapılabilir. Mono, agent dağıtımlarını Ansible playbook’larıyla otomatize eder ve kurulum tamamlandıktan sonra agent’ın Manager’a otomatik kayıt olmasını sağlar.
