Wazuh är öppen källkod utan licenskostnad och kan köras i egen miljö eller som SaaS. Den verkliga kostnaden ligger i driften: regler anpassade efter er miljö, tuning som tar bort bruset och människor som agerar på larmen. Tekniken är gratis, förmågan är det inte.

Ersätter Wazuh ett SOC?

Nej. Wazuh är verktyget; ett SOC är människorna och processerna som tittar på larmen dygnet runt och agerar på dem. Ett SIEM utan bemanning blir en logg-arkivering med dyr el. Kombinationen verktyg plus bemannad övervakning är det som ger effekt.

Hjälper Wazuh oss att klara NIS2:s 24-timmarsrapportering?

Det ger den tekniska grunden: händelser blir sökbara på ungefär en sekund, regler larmar vid avvikelser och färdiga efterlevnadsrapporter ger underlag till myndighetsrapporten. Men ni behöver också en incidentprocess med tydliga ansvar för att varningen faktiskt ska skickas i tid.

SIEM och EDR med öppen källkod: så fungerar Wazuh

NIS2 ställer tydliga krav på att incidenter ska upptäckas, hanteras och rapporteras, med en första varning inom 24 timmar. Det förutsätter att ni faktiskt ser vad som händer i er miljö. Det är här SIEM och EDR kommer in, och Wazuh är ett av de mest använda verktygen som kombinerar båda i öppen källkod.

SIEM och EDR gör två olika jobb

SIEM (Security Information and Event Management) samlar in logg- och händelsedata från hela miljön — servrar, klienter, nätverk och molntjänster — och korrelerar den för att upptäcka mönster som en enskild logg aldrig avslöjar.

EDR (Endpoint Detection and Response) sitter på själva enheterna, upptäcker skadligt beteende lokalt och kan agera direkt: isolera, blockera, ta bort. SIEM ger överblicken, EDR ger närkampen. I ett moget säkerhetsarbete behövs båda.

Wazuh i korthet

Wazuh är en plattform i öppen källkod som täcker både SIEM och EDR, och som kan köras antingen i er egen miljö (on-prem) eller som SaaS. Den består av fyra delar: server, agent, indexerare och dashboard. Servrar och indexerare kan köras enskilt eller i kluster, vilket ger skalbarhet och minskar sårbarheten för produktionsavbrott.

Komponenterna, en i taget

Servern analyserar data från agenterna och larmar vid brott mot reglerna, oavsett om det är era egna regler eller regelpaket kopplade till exempelvis NIS2 och GDPR. Den mappar händelser mot MITRE ATT&CK, och eftersom den inventerar vad som körs på agenterna kan den matcha installerad mjukvara mot kända sårbarheter (CVE).

Agenten är modulärt uppbyggd: beroende på om den körs på en server, en klient eller i molnet laddas olika moduler, till exempel för filsystemövervakning, Docker eller nätverk. Den kan också agera aktivt: blockera trafik eller ta bort skadlig kod om en regel säger det. Konfigurationen hämtas centralt från servern, så tusen agenter styrs lika lätt som tio.

Indexeraren gör datan sökbar. Från att en händelse når servern tills den går att söka fram i dashboarden tar det ungefär en sekund, vilket betyder att ett blue team kan agera nästan i realtid.

Dashboarden presenterar datan från indexeraren, sammanställer rapporter för NIS2 och annan regelefterlevnad, och fungerar dessutom som utvecklingsverktyg när ni bygger och testar egna regler.

Vad det ger i NIS2-arbetet

24-timmarsrapporteringen är omöjlig att klara om incidenten upptäcks av en kund eller i värsta fall av media. Med centraliserad insamling, regler som larmar och färdiga efterlevnadsrapporter får ni både upptäckten och underlaget till rapporten ur samma system. En detalj som underlättar: Wazuh har även dokumentation särskilt anpassad för AI-assistenter, vilket gör det enklare att automatisera uppsättning och konfiguration.

Ett SIEM är bara så bra som reglerna i det, och människorna som agerar på larmen.

Öppen källkod är inte gratis drift

Licensen kostar ingenting, men värdet uppstår först med regler anpassade efter er miljö, tuning som tar bort bruset och människor som tittar på larmen, även klockan tre på natten. Det är där de flesta organisationer behöver hjälp: tekniken är tillgänglig för alla, men dygnet-runt-bemanningen är det inte. Vill ni ha Wazuh som grund med vår SOC-övervakning ovanpå hjälper vi gärna till, från installation till bemannad övervakning.

NIS2 sets clear requirements for incidents to be detected, handled and reported, with a first warning within 24 hours. That presupposes you can actually see what is happening in your environment. This is where SIEM and EDR come in, and Wazuh is one of the most widely used tools combining both in open source.

SIEM and EDR do two different jobs

SIEM (Security Information and Event Management) collects log and event data from the whole environment — servers, clients, network and cloud services — and correlates it to detect patterns no single log would ever reveal.

EDR (Endpoint Detection and Response) sits on the devices themselves, detects malicious behaviour locally and can act immediately: isolate, block, remove. SIEM provides the overview, EDR fights at close quarters. A mature security operation needs both.

Wazuh in brief

Wazuh is an open-source platform covering both SIEM and EDR, deployable either in your own environment (on-prem) or as SaaS. It consists of four parts: server, agent, indexer and dashboard. Servers and indexers can run standalone or clustered, providing scalability and reducing the risk of production outages.

The components, one at a time

The server analyses data from the agents and raises alerts on rule violations, whether those are your own rules or rule sets tied to NIS2 or GDPR. It maps events to MITRE ATT&CK, and since it inventories what runs on the agents, it can match installed software against known vulnerabilities (CVE).

The agent is modular: depending on whether it runs on a server, a client or in the cloud, different modules are loaded, for example file integrity monitoring, Docker or network. It can also act: block traffic or remove malware if a rule says so. Configuration is fetched centrally from the server, so a thousand agents are managed as easily as ten.

The indexer makes the data searchable. From the moment an event reaches the server until it can be searched in the dashboard takes about one second, meaning a blue team can act almost in real time.

The dashboard presents the data from the indexer, compiles reports for NIS2 and other compliance needs, and doubles as a development tool when you build and test your own rules.

What it gives you for NIS2

The 24-hour report is impossible to deliver if the incident is discovered by a customer or, worse, by the media. With centralised collection, alerting rules and ready-made compliance reports, you get both the detection and the basis for the report from the same system. A detail that helps: Wazuh also provides documentation specifically adapted for AI assistants, making it easier to automate setup and configuration.

A SIEM is only as good as the rules inside it, and the people acting on the alerts.

Open source does not mean free to operate

The licence costs nothing, but the value only appears with rules adapted to your environment, tuning that removes the noise, and people watching the alerts, including at three in the morning. That is where most organisations need help: the technology is available to everyone, the around-the-clock staffing is not. If you want Wazuh as the foundation with our SOC monitoring on top, we are happy to help, from installation to staffed monitoring.

SIEM och EDR med öppen källkod: så fungerar WazuhOpen-source SIEM and EDR: how Wazuh works

SIEM och EDR gör två olika jobb

Wazuh i korthet

Komponenterna, en i taget

Vad det ger i NIS2-arbetet

Öppen källkod är inte gratis drift

SIEM and EDR do two different jobs

Wazuh in brief

The components, one at a time

What it gives you for NIS2

Open source does not mean free to operate

Frågor om Wazuh, SIEM och EDRQuestions about Wazuh, SIEM and EDR

Incidentrespons: vad ni gör de första 60 minuternaIncident response: what to do in the first 60 minutes

NIS2 och nya cybersäkerhetslagen: vad svenska företag behöver vetaNIS2 and the new cyber security law: what Swedish companies need to know