Stack open source para SOC: Wazuh + Graylog + MISP + Shuffle
TL;DR. Tutorial passo-a-passo de como construímos um SOC operacional para clientes Tier 1 (bancos, indústria) usando exclusivamente open source. Wazuh (SIEM/XDR) + Graylog (log aggregation) + MISP (threat intel) + Shuffle (SOAR). Custo: ~10% de uma stack proprietária equivalente. Performance: equiparável.
Por que open source para SOC enterprise
A primeira pergunta que recebo de CISOs é: "Wazuh aguenta um banco?". A resposta curta: sim, com escala adequada. A resposta longa envolve entender que SIEMs proprietários como Splunk são engenharia comercial — não mágica técnica.
Operamos SOCs Wazuh com:
- 50.000+ EPS em ingestão
- 2.500+ endpoints em fontes
- 90 dias hot + 13 meses warm de retenção
- MTTD <25min consistente
O custo de licenças? Zero. O custo total inclui apenas infraestrutura (cloud ou on-prem) + time operacional.
Arquitetura de referência
┌──────────────────────────────────────────────────────┐
│ CLIENTES E ATIVOS │
│ Endpoints · Servers · Cloud · Network │
└──────────────────────┬───────────────────────────────┘
│ Logs (Wazuh agents, syslog, API)
▼
┌──────────────────────────────────────────────────────┐
│ INGESTION LAYER │
│ Wazuh Manager (cluster) · Graylog Forwarders │
└──────────────────────┬───────────────────────────────┘
│
┌──────────────┼──────────────┐
▼ ▼ ▼
┌────────┐ ┌─────────┐ ┌──────────┐
│ Wazuh │ │ Graylog │ │ MISP │
│ Indexer│ │ Server │ │ ThreatI. │
└────┬───┘ └────┬────┘ └────┬─────┘
│ │ │
└─────────┬───┴──────────────┘
▼
┌──────────────┐
│ Shuffle │
│ (SOAR) │
└──────┬───────┘
▼
┌────────────────┐
│ IRIS-DFIR │
│ (Case Mgmt) │
└────────────────┘ 1. Wazuh — SIEM/XDR Core
Por que Wazuh
Wazuh é fork OSSEC com SIEM moderno. Combina HIDS (Host IDS), FIM (File Integrity Monitoring), SCA (Security Configuration Assessment), Vulnerability Detection, Cloud security e dashboards Kibana — tudo em uma plataforma.
Setup mínimo de produção
# Cluster Wazuh recomendado para SOC enterprise:
# - 3x Wazuh Indexer nodes (data nodes)
# - 2x Wazuh Server (master/worker)
# - 1x Wazuh Dashboard
# Specs por node (mínimo)
CPU: 8 cores
RAM: 32 GB
Disk: 500 GB SSD (NVMe preferred)
Network: 10 Gbps Regras customizadas críticas
O Wazuh vem com 4.000+ regras default. Mas o valor real está em customizar para seu contexto. Exemplo de regra para detecção de Cobalt Strike beacon via DNS:
<rule id="100050" level="14">
<if_sid>31100</if_sid>
<field name="dns.question_name" type="pcre2">
^[a-z0-9]{8,16}\.(com|net|org|info)$
</field>
<options>no_full_log</options>
<description>Possible C2 DNS pattern (Cobalt Strike default)</description>
<mitre>
<id>T1071.004</id>
</mitre>
</rule> 2. Graylog — Log Aggregation Avançada
Wazuh é forte em endpoint. Para logs de aplicações, network devices, cloud APIs, Graylog complementa com flexibilidade superior em parsing.
Integração Wazuh ↔ Graylog
Em vez de competir, Wazuh e Graylog cooperam. Padrão que usamos:
- Wazuh processa endpoint logs e gera alerts
- Graylog aggrega logs de tudo mais (FW, switches, apps)
- Alerts Wazuh forwarded para Graylog via syslog
- Graylog dashboards consolidados (única pane of glass)
3. MISP — Threat Intelligence Platform
MISP é o padrão de fato para threat intel sharing. Comunidades globais publicam IOCs e TTPs no formato MISP.
Feeds essenciais
# Feeds open recomendados (configurar em MISP > Sync > Feeds)
- CIRCL OSINT Feed (high quality, low FP)
- AlienVault OTX
- Abuse.ch (urlhaus, malwarebazaar, threatfox)
- OpenCTI.BR (Cyber Thrust proprietary, Brasil-céntrico)
- MITRE ATT&CK groups Integração MISP ↔ Wazuh
IOCs do MISP fluem automaticamente para Wazuh via integração. Quando um IOC é adicionado no MISP, Wazuh começa a matching imediatamente em todos os logs.
4. Shuffle — SOAR Open Source
Shuffle é a melhor alternativa open para SOAR. Visual workflow builder, 600+ apps prontos, Python custom support.
Playbook de exemplo: Isolar host comprometido
# Trigger: Wazuh alert level >= 12 com tag malware
# Steps:
1. Get alert details (Wazuh API)
2. Lookup IOCs in MISP
3. If confirmed malicious:
a. Isolate host via EDR/firewall
b. Create IRIS-DFIR case
c. Alert SOC analyst via Slack
d. Block IOCs on perimeter
4. If uncertain:
a. Escalate to Tier 2 analyst
b. Open Slack thread for investigation 5. IRIS-DFIR — Incident Case Management
IRIS é o nosso diferencial técnico. Únicos no Brasil com IRIS em produção. Substitui ferramentas caras tipo TheHive enterprise.
Features que mais usamos
- Case linking (correlacionar incidentes relacionados)
- IOC tracking integrado com MISP
- Timeline construction automática
- Evidence management auditável
- Templates por tipo de incidente
Custos comparados
Stack proprietária equivalente (1.000 hosts)
─────────────────────────────────────────────
Splunk Enterprise : R$ 380K /ano
CrowdStrike Falcon : R$ 280K /ano
ServiceNow SOAR : R$ 180K /ano
TheHive enterprise : R$ 90K /ano
Threat Intel feeds : R$ 120K /ano
─────────────────────────────────────────────
TOTAL : R$ 1.05M /ano
Stack open source equivalente
─────────────────────────────────────────────
Cloud infra (AWS) : R$ 90K /ano
Threat Intel feeds open : R$ 0
Suporte/operação interna : R$ 200K /ano (1.5 FTE)
─────────────────────────────────────────────
TOTAL : R$ 290K /ano
ECONOMIA : R$ 760K /ano (~72%) Conclusão
Open source não é "barato". É livre — livre de lock-in, livre de auditar, livre de internalizar. Para SOCs enterprise modernos, é cada vez mais a escolha racional.
Quer implementar essa stack na sua organização? Oferecemos serviço Build & Run completo: implementamos, operamos por 6-12 meses, transferimos para sua equipe interna se for o caso.
- 📥 Playbooks Shuffle (5 prontos para uso)
- 📥 Regras Wazuh customizadas (200+ regras setor financeiro)
- 📥 Dashboards Grafana (15 dashboards prontos)
- 📥 Arquitetura de referência detalhada
Disponíveis via newsletter Cyber Thrust Insider — assine no rodapé.