Tutorial Técnico

Stack open source para SOC: Wazuh + Graylog + MISP + Shuffle

TL;DR. Tutorial passo-a-passo de como construímos um SOC operacional para clientes Tier 1 (bancos, indústria) usando exclusivamente open source. Wazuh (SIEM/XDR) + Graylog (log aggregation) + MISP (threat intel) + Shuffle (SOAR). Custo: ~10% de uma stack proprietária equivalente. Performance: equiparável.

Por que open source para SOC enterprise

A primeira pergunta que recebo de CISOs é: "Wazuh aguenta um banco?". A resposta curta: sim, com escala adequada. A resposta longa envolve entender que SIEMs proprietários como Splunk são engenharia comercial — não mágica técnica.

Operamos SOCs Wazuh com:

  • 50.000+ EPS em ingestão
  • 2.500+ endpoints em fontes
  • 90 dias hot + 13 meses warm de retenção
  • MTTD <25min consistente

O custo de licenças? Zero. O custo total inclui apenas infraestrutura (cloud ou on-prem) + time operacional.

Arquitetura de referência

┌──────────────────────────────────────────────────────┐
│                  CLIENTES E ATIVOS                   │
│  Endpoints  ·  Servers  ·  Cloud  ·  Network         │
└──────────────────────┬───────────────────────────────┘
                       │ Logs (Wazuh agents, syslog, API)
                       ▼
┌──────────────────────────────────────────────────────┐
│                 INGESTION LAYER                      │
│  Wazuh Manager (cluster)  ·  Graylog Forwarders      │
└──────────────────────┬───────────────────────────────┘
                       │
        ┌──────────────┼──────────────┐
        ▼              ▼              ▼
   ┌────────┐    ┌─────────┐    ┌──────────┐
   │ Wazuh  │    │ Graylog │    │  MISP    │
   │ Indexer│    │ Server  │    │ ThreatI. │
   └────┬───┘    └────┬────┘    └────┬─────┘
        │             │              │
        └─────────┬───┴──────────────┘
                  ▼
          ┌──────────────┐
          │   Shuffle    │
          │    (SOAR)    │
          └──────┬───────┘
                 ▼
        ┌────────────────┐
        │   IRIS-DFIR    │
        │ (Case Mgmt)    │
        └────────────────┘

1. Wazuh — SIEM/XDR Core

Por que Wazuh

Wazuh é fork OSSEC com SIEM moderno. Combina HIDS (Host IDS), FIM (File Integrity Monitoring), SCA (Security Configuration Assessment), Vulnerability Detection, Cloud security e dashboards Kibana — tudo em uma plataforma.

Setup mínimo de produção

# Cluster Wazuh recomendado para SOC enterprise:
# - 3x Wazuh Indexer nodes (data nodes)
# - 2x Wazuh Server (master/worker)
# - 1x Wazuh Dashboard

# Specs por node (mínimo)
CPU: 8 cores
RAM: 32 GB
Disk: 500 GB SSD (NVMe preferred)
Network: 10 Gbps

Regras customizadas críticas

O Wazuh vem com 4.000+ regras default. Mas o valor real está em customizar para seu contexto. Exemplo de regra para detecção de Cobalt Strike beacon via DNS:

<rule id="100050" level="14">
  <if_sid>31100</if_sid>
  <field name="dns.question_name" type="pcre2">
    ^[a-z0-9]{8,16}\.(com|net|org|info)$
  </field>
  <options>no_full_log</options>
  <description>Possible C2 DNS pattern (Cobalt Strike default)</description>
  <mitre>
    <id>T1071.004</id>
  </mitre>
</rule>

2. Graylog — Log Aggregation Avançada

Wazuh é forte em endpoint. Para logs de aplicações, network devices, cloud APIs, Graylog complementa com flexibilidade superior em parsing.

Integração Wazuh ↔ Graylog

Em vez de competir, Wazuh e Graylog cooperam. Padrão que usamos:

  • Wazuh processa endpoint logs e gera alerts
  • Graylog aggrega logs de tudo mais (FW, switches, apps)
  • Alerts Wazuh forwarded para Graylog via syslog
  • Graylog dashboards consolidados (única pane of glass)

3. MISP — Threat Intelligence Platform

MISP é o padrão de fato para threat intel sharing. Comunidades globais publicam IOCs e TTPs no formato MISP.

Feeds essenciais

# Feeds open recomendados (configurar em MISP > Sync > Feeds)
- CIRCL OSINT Feed (high quality, low FP)
- AlienVault OTX
- Abuse.ch (urlhaus, malwarebazaar, threatfox)
- OpenCTI.BR (Cyber Thrust proprietary, Brasil-céntrico)
- MITRE ATT&CK groups

Integração MISP ↔ Wazuh

IOCs do MISP fluem automaticamente para Wazuh via integração. Quando um IOC é adicionado no MISP, Wazuh começa a matching imediatamente em todos os logs.

4. Shuffle — SOAR Open Source

Shuffle é a melhor alternativa open para SOAR. Visual workflow builder, 600+ apps prontos, Python custom support.

Playbook de exemplo: Isolar host comprometido

# Trigger: Wazuh alert level >= 12 com tag malware
# Steps:
1. Get alert details (Wazuh API)
2. Lookup IOCs in MISP
3. If confirmed malicious:
   a. Isolate host via EDR/firewall
   b. Create IRIS-DFIR case
   c. Alert SOC analyst via Slack
   d. Block IOCs on perimeter
4. If uncertain:
   a. Escalate to Tier 2 analyst
   b. Open Slack thread for investigation

5. IRIS-DFIR — Incident Case Management

IRIS é o nosso diferencial técnico. Únicos no Brasil com IRIS em produção. Substitui ferramentas caras tipo TheHive enterprise.

Features que mais usamos

  • Case linking (correlacionar incidentes relacionados)
  • IOC tracking integrado com MISP
  • Timeline construction automática
  • Evidence management auditável
  • Templates por tipo de incidente

Custos comparados

Stack proprietária equivalente (1.000 hosts)
─────────────────────────────────────────────
Splunk Enterprise          : R$ 380K /ano
CrowdStrike Falcon        : R$ 280K /ano
ServiceNow SOAR           : R$ 180K /ano
TheHive enterprise        : R$  90K /ano
Threat Intel feeds        : R$ 120K /ano
─────────────────────────────────────────────
TOTAL                     : R$ 1.05M /ano

Stack open source equivalente
─────────────────────────────────────────────
Cloud infra (AWS)         : R$  90K /ano
Threat Intel feeds open   : R$   0
Suporte/operação interna  : R$ 200K /ano (1.5 FTE)
─────────────────────────────────────────────
TOTAL                     : R$ 290K /ano

ECONOMIA                  : R$ 760K /ano (~72%)

Conclusão

Open source não é "barato". É livre — livre de lock-in, livre de auditar, livre de internalizar. Para SOCs enterprise modernos, é cada vez mais a escolha racional.

Quer implementar essa stack na sua organização? Oferecemos serviço Build & Run completo: implementamos, operamos por 6-12 meses, transferimos para sua equipe interna se for o caso.

Recursos para download
  • 📥 Playbooks Shuffle (5 prontos para uso)
  • 📥 Regras Wazuh customizadas (200+ regras setor financeiro)
  • 📥 Dashboards Grafana (15 dashboards prontos)
  • 📥 Arquitetura de referência detalhada

Disponíveis via newsletter Cyber Thrust Insider — assine no rodapé.

Próximo Passo

Quer essa stack em produção?

Build & Run completo em 60-90 dias. Implementamos, operamos, transferimos conhecimento. Custo total 30% do que paga em licenças hoje.

Agendar Diagnóstico Gratuito Ver Cases