Splunk Enterprise Security بـ 65 USD لكل GB مفهرس شهرياً (15,000 USD سنوياً كحد أدنى). IBM QRadar بـ 50,000 USD سنوياً للمستوى الأساسي. Microsoft Sentinel بـ 4 USD لكل GB. لشركة إفريقية صغيرة من 50 شخصاً مع بضعة خوادم، هذه الأسعار محظورة. Wazuh هو الـ SIEM مفتوح المصدر الذي فُرض في 2026: كشف اختراقات، فحص ثغرات CVE، مراقبة سلامة الملفات، تنبيهات في الوقت الفعلي، امتثال PCI DSS، GDPR، HIPAA، NIST. ذاتي الاستضافة على Hetzner CCX23 (28 يورو شهرياً) لـ 50 endpoint مُراقَب.
فهرس المحتويات
- لماذا Wazuh في 2026
- المفاهيم الأساسية
- نظرة عامة عملية
- دروس المجموعة
- حالات الاستخدام
- التكيف مع السياق
- الأخطاء الشائعة
- الأسئلة المتكررة
لماذا يهيمن Wazuh في 2026
خمسة أسباب ملموسة. التكلفة. Wazuh مفتوح المصدر GPLv2 مجاني. Splunk = 65 USD/GB/شهرياً. لـ 50 endpoint يولد 5 GB من السجلات شهرياً، Splunk = 325 USD/شهرياً كحد أدنى. Wazuh = 28 يورو/شهرياً للبنية التحتية الكاملة. الفرق على 5 سنوات يسمح بتمويل تكوين أمان كامل لفريقك. أكثر من 1000 قاعدة كشف مدمجة: كشف malware، brute-force، scan ports، شذوذ شبكي، تعديلات ملفات حرجة، استغلال CVE معروفة. هذه القواعد تطورها مجموعة أمان مخصصة وتُحدَّث تلقائياً مع كل تحديث Wazuh. HIDS + NIDS + Vulnerability scanner. Wazuh يجمع Host Intrusion Detection (السجلات + سلامة الملفات)، Network IDS (Suricata مدمج اختياري)، وفحص ثغرات CVE المبني على OS والبرامج المثبَّتة. هذا التكامل المتعدد يوفر رؤية شاملة للأمان عبر بنيتك التحتية. الامتثال. قوالب PCI DSS، HIPAA، NIST 800-53، GDPR. تقارير مؤتمتة. نهج مثالي للشركة الإفريقية الصغيرة الخاضعة لتدقيق ARTCI، CDP المغربي، NESA الإماراتي. معمارية حديثة. Wazuh Manager (Go) + OpenSearch (Java) + Wazuh Dashboard (React). API REST، plugins، تكاملات Slack، PagerDuty، TheHive، MISP.
المفاهيم الأساسية
Manager، agents، indexer، dashboard
أربعة مكونات. Wazuh Manager يستقبل سجلات agents، يطبق القواعد، يولد التنبيهات. هو الدماغ المركزي للنظام. Wazuh Agents مثبَّتة على كل endpoint (Linux، Windows، macOS، Docker). تجمع السجلات، فحص FIM، فحص الثغرات. agent خفيف يستهلك < 100 ميغابايت RAM ولا يؤثر على أداء الخادم المُراقَب. Wazuh Indexer (OpenSearch) تخزين وبحث التنبيهات. مبني على Elasticsearch fork مع تركيز على الأمان. Wazuh Dashboard واجهة ويب للتصور والتكوين والتنبيه. هذه المكونات الأربعة تعمل معاً لتقديم نظام أمان متكامل.
Rules وdecoders
1000+ قاعدة مثبَّتة مسبقاً في /var/ossec/ruleset/rules. القواعد مرتبة حسب المستوى من 0 إلى 15 (15 = حرج). Decoders تحلل السجلات إلى حقول منظمة. هذه المعمارية تسمح لـ Wazuh بفهم سجلات متنوعة (SSH، Apache، MySQL، Postfix، إلخ) وتطبيق قواعد كشف ذكية. عند اكتشاف نمط معين، Wazuh يولد تنبيهاً مع المستوى المناسب.
FIM: File Integrity Monitoring
مراقبة تعديلات الملفات الحرجة (/etc/passwd، /etc/shadow، /etc/ssh/sshd_config، /var/www/). تنبيه عند الإنشاء، التعديل، الحذف. هذه الميزة حاسمة لكشف الاختراقات: إذا قام المهاجم بتعديل /etc/passwd لإضافة مستخدم backdoor، Wazuh يكشف ذلك في ثوانٍ ويولد تنبيهاً عالي المستوى للفريق الأمني.
Vulnerability scanning
فحص endpoints مقابل قاعدة CVE NVD. كشف packages obsolete أو مع CVE نشط. توليد تقرير ثغرات لكل endpoint. هذا الفحص الدوري يكتشف الثغرات الأمنية المعروفة قبل استغلالها. مثلاً، إذا تم اكتشاف CVE في nginx، Wazuh يحدد جميع الخوادم التي تستخدم النسخة المتأثرة ويولد تقريراً لقسم الأمان للترقية الفورية.
Active response
استجابة تلقائية: حظر IP عبر firewall، عزل host، إنهاء process. تكوين لكل قاعدة. هذه الميزة قوية لكنها تتطلب اختباراً دقيقاً قبل التفعيل في الإنتاج. خطر إيجابيات خاطئة يمكن أن يحظر مستخدمين شرعيين أو يقطع خدمات حرجة.
MITRE ATT&CK mapping
Wazuh يربط كشفياته بإطار MITRE ATT&CK: tactics (Initial Access، Execution، Persistence) و techniques (T1059، T1021، إلخ). رؤية تعليمية لـ SOC. هذا الربط يساعد فرق الأمان على فهم نية المهاجم وتوقع خطواته التالية. كل تنبيه يأتي مع سياق MITRE يشرح ما يحاول المهاجم تحقيقه.
نظرة عامة عملية
1. نشر Manager
Hetzner CCX23 (28 يورو/شهرياً) موصى به: OpenSearch يطلب 8+ جيجابايت RAM. راجع نشر Wazuh على VPS. هذا الخادم سيكون قلب نظام الأمان لديك.
2. نشر agents
على كل VPS للمراقبة، ثبت agent Wazuh + التسجيل التلقائي. راجع نشر agents Wazuh على multi-VPS. Ansible أو script bash يسمحان بالنشر السريع على عشرات الخوادم.
3. تكوين FIM والقواعد
راجع FIM وفحص الثغرات. هذه الخطوة تحول Wazuh من نظام مراقبة سلبي إلى كشف نشط.
4. الامتثال
قوالب PCI DSS، GDPR. راجع الامتثال PCI DSS، GDPR، ARTCI مع Wazuh. هذه الخطوة حاسمة للشركات الخاضعة لتدقيق المنظمين.
دروس مجموعة Wazuh
- نشر Wazuh على VPS Hetzner
- نشر agents Wazuh على multi-VPS
- FIM وفحص الثغرات
- الامتثال PCI DSS، GDPR، ARTCI
حالات الاستخدام
Fintech مع امتثال BCEAO
Fintech في أبيدجان منظمة بـ BCEAO: Wazuh يراقب جميع خوادم API + DB. قالب PCI DSS مفعَّل. تدقيق ربع سنوي BCEAO مبسَّط. هذا النموذج أصبح القياس الذهبي للـ fintechs الإفريقية لأنه يستجيب للمتطلبات التنظيمية الصارمة دون عبء تكلفة Splunk.
تجارة إلكترونية ذات حركة عالية
marketplace في الدار البيضاء بـ 500k زائر شهرياً: Wazuh يكشف محاولات الاختراق، scrape API، brute-force admin. استجابة تلقائية لحظر IP. هذا الكشف الدقيق يحمي الأرباح والبيانات الشخصية للعملاء، ويتجنب فترات التوقف باهظة الثمن.
عيادة طبية ببيانات حساسة
عيادة في تونس تخزن ملفات المرضى: FIM على الملفات + تنبيهات وصول غير طبيعي. الامتثال للقانون التونسي على بيانات الصحة. هذا الإعداد يحمي البيانات الطبية وفقاً لمعايير الخصوصية الصارمة، ويوفر دليلاً قابلاً للتدقيق لأي حادث.
ESN مع عدة عملاء
ESN في الدار البيضاء بـ 8 عملاء مستضافين: Manager Wazuh مركزي، agents موزعة. رؤية موحدة للحوادث لكل عميل. هذا النموذج يبسط إدارة الأمان عبر بنية تحتية متعددة العملاء، ويسمح للـ ESN بتقديم خدمة SOC احترافية.
تعاونية زراعية مع IoT
تعاونية في بوركينا فاسو بـ 30 جهاز IoT: Wazuh يراقب الجميع، يكشف محاولات اختراق firmware. حماية البنية التحتية الزراعية الذكية أصبحت أولوية مع تطور IoT الزراعي في إفريقيا.
التكيف مع السياق المغاربي وغرب إفريقيا
أربعة تكيفات. التكلفة. 50 endpoints على Splunk = 50,000 USD سنوياً كحد أدنى. Wazuh = 336 يورو/سنة (CCX23). توفيرات هائلة. هذا الفرق يسمح للشركة الإفريقية المتوسطة بالحصول على نظام أمان enterprise-grade دون كسر الميزانية. الامتثال للمنظمين المحليين. ARTCI الإيفواري، CDP المغربي، NESA الإماراتي يطلبون قابلية تتبع الحوادث. سجلات Wazuh المنظمة تستجيب مباشرة. تقارير قالب PCI DSS مكيَّفة لمتطلبات BCEAO. زمن الاستجابة agent → Manager. Agents في غرب إفريقيا، Manager Hetzner Falkenstein: زمن استجابة 95-130 ميلي ثانية مقبول لـ SIEM (events غير متزامنة). الأحداث تُرسل في batches ولا تتأثر بزمن الاستجابة الشبكي. المهارات المحلية. تكوين Wazuh أكثر إتاحة بكثير من شهادات Splunk. وثائق فرنسية مجتمعية + دروس فيديو. الفرق التقنية الإفريقية يمكنها تطوير خبرة Wazuh بسرعة دون استثمار مالي ضخم في التكوين.
الأخطاء الشائعة
| الخطأ | السبب | الحل |
|---|---|---|
| OpenSearch crash OOM | RAM غير كافية | CCX23 minimum (16 جيجابايت)، تخصيص 8 جيجابايت heap |
| Agent لا يتصل | منفذ 1514/1515 firewall | UFW allow Manager IP |
| تنبيهات مغرقة | قواعد حساسة جداً | tuner عبر استثناء أو level threshold |
| FIM CPU عالي | الكثير من الملفات المُفحَصة | قائمة بيضاء /var/log والمجلدات الكبيرة |
| فحص الثغرات قديم | Vulnerability feed مفقود | تحقق من vulnerability_detector enabled |
| Dashboard 404 | فهرس Wazuh غير مُنشأ | أطلق filebeat setup |
الأسئلة المتكررة
Wazuh vs ELK Stack؟ ELK عام، Wazuh متخصص أمان مع قواعد مدمجة. Wazuh يشمل OpenSearch (Elasticsearch fork).
سعة 50 endpoints؟ CCX23 (16 جيجابايت RAM) مريح. 200+ endpoints = CCX33 (32 جيجابايت).
Cloud Wazuh؟ Wazuh Cloud موجود (يبدأ من 50 USD/شهر لـ 5 endpoints). Self-hosted أكثر اقتصاداً ما بعد ذلك.
متوافق Windows؟ نعم، agents Windows رسمية. سجلات الأحداث + FIM + تحليل Sysmon.
Active response خطر؟ اختبر في وضع warn-only قبل enable block. قائمة بيضاء IPs admin.
SOC 24/7؟ Wazuh يمكنه التنبيه عبر Slack/PagerDuty/Mattermost. SOC 24/7 يتطلب فريقاً أو outsourcing MSSP.
MITRE ATT&CK navigator؟ Wazuh dashboard يدمج عرض MITRE ATT&CK مع heatmap للتقنيات المُكتشَفة.
للاستزادة
- للبدء الآن: نشر Wazuh على VPS
- الوثائق الرسمية: documentation.wazuh.com
- GitHub: github.com/wazuh/wazuh