{"id":238,"date":"2026-06-19T12:32:18","date_gmt":"2026-06-19T12:32:18","guid":{"rendered":"https:\/\/shattered.io\/it\/2026\/06\/19\/wazuh-vs-splunk-siem\/"},"modified":"2026-06-19T12:33:59","modified_gmt":"2026-06-19T12:33:59","slug":"wazuh-vs-splunk-siem","status":"publish","type":"post","link":"https:\/\/shattered.io\/it\/2026\/06\/19\/wazuh-vs-splunk-siem\/","title":{"rendered":"Wazuh vs Splunk: SIEM Open Source Gratis vs $69.000\/Anno [2026]"},"content":{"rendered":"\n

Una PMI italiana su tre non ha ancora un sistema di monitoraggio centralizzato degli eventi di sicurezza. Con la Direttiva NIS2 in vigore e il numero di attacchi ransomware cresciuto del 14% in Italia nel 2025 (secondo il Rapporto TIM 2026<\/a>), scegliere la piattaforma SIEM giusta non \u00e8 pi\u00f9 un’opzione: \u00e8 un requisito normativo. Wazuh, con 15.905 stelle su GitHub e licenza open source, si scontra direttamente con Splunk, il gigante enterprise che pu\u00f2 costare fino a $400.000 all’anno per 100 GB\/giorno di ingestione. Questa analisi confronta le due piattaforme su ogni asse che conta: funzionalit\u00e0, costi, performance, scalabilit\u00e0 e conformit\u00e0 GDPR\/NIS2.<\/p>\n\n\n\n

Perch\u00e9 il SIEM \u00e8 Diventato Obbligatorio nel 2026<\/h2>\n\n\n\n

Il panorama delle minacce italiano del 2026 non lascia spazio alla procrastinazione. Il report Unit 42 di Palo Alto Networks<\/a> documenta che gli attaccanti passano dalla compromissione iniziale all’esfiltrazione dei dati in meno di 2 ore: senza visibilit\u00e0 centralizzata sugli eventi, il rilevamento diventa impossibile. La Direttiva NIS2 obbliga circa 12.000 aziende italiane<\/a> a implementare sistemi di monitoraggio continuo, risposta agli incidenti e reportistica agli organi competenti entro tempi definiti.<\/p>\n\n\n\n

Un SIEM (Security Information and Event Management) centralizza i log di server, endpoint, firewall e applicazioni, correla gli eventi in tempo reale e genera alert quando vengono rilevate anomalie. La differenza tra Wazuh e Splunk non riguarda solo il prezzo: riguarda la filosofia. Wazuh \u00e8 una piattaforma XDR+SIEM completamente open source, costruita per chi vuole controllo totale sull’infrastruttura. Splunk \u00e8 una data platform enterprise con capacit\u00e0 SIEM potenziate dall’add-on Splunk Enterprise Security, pensata per team con budget e risorse tecniche significativi.<\/p>\n\n\n\n

Secondo il Rapporto sulla Cybersecurity di TIM 2026<\/a>, l’Italia ha registrato 166 attacchi gravi nel 2025, con un aumento del 14% degli attacchi ransomware. Il 34% delle violazioni ha coinvolto sistemi privi di logging centralizzato. I dati del World Economic Forum 2026 confermano che il 77% delle organizzazioni ha adottato l’AI per la cybersecurity, principalmente per il rilevamento delle minacce: un compito che entrambe le piattaforme cercano di automatizzare.<\/p>\n\n\n\n

Panoramica: Due Piattaforme, Due Filosofie<\/h2>\n\n\n\n

Wazuh nasce nel 2015 come fork di OSSEC, il sistema di rilevamento intrusioni host-based open source pi\u00f9 diffuso al mondo. Nel corso degli anni si \u00e8 evoluto in una piattaforma unificata XDR (Extended Detection and Response) e SIEM, mantenendo la licenza open source e costruendo una community globale di oltre 15.900 sviluppatori su GitHub<\/a>. L’architettura si basa su tre componenti principali: il Wazuh Agent installato sugli endpoint, il Wazuh Server che centralizza l’analisi, e il Wazuh Indexer (basato su OpenSearch) per l’indicizzazione e la ricerca dei log. Il tutto \u00e8 accessibile tramite il Wazuh Dashboard, un’interfaccia grafica completa.<\/p>\n\n\n\n

Splunk \u00e8 nata nel 2003 come piattaforma di analisi dei log machine-generated e si \u00e8 progressivamente spostata verso la cybersecurity enterprise con Splunk Enterprise Security (ES), il suo add-on SIEM di punta. L’acquisizione da parte di Cisco completata nel 2024 ha accelerato l’integrazione con il portafoglio di sicurezza Cisco, ma ha anche generato incertezza sui prezzi futuri. Splunk utilizza un modello di licensing basato sul volume di ingestione giornaliera (GB\/giorno), il che pu\u00f2 diventare estremamente costoso con carichi di lavoro elevati.<\/p>\n\n\n\n

Tabella di Confronto Tecnico Completo<\/h2>\n\n\n\n
Caratteristica<\/th>Wazuh 4.12.0<\/th>Splunk Enterprise Security<\/th><\/tr><\/thead>
Licenza<\/td>Open Source (GPL v2 + SSPL)<\/td>Proprietario (post-acquisizione Cisco)<\/td><\/tr>
Costo licenza<\/td>$0<\/td>$69.000-$400.000\/anno (100 GB\/giorno)<\/td><\/tr>
GitHub Stars<\/td>15.905<\/td>N\/A (codice chiuso)<\/td><\/tr>
GitHub Forks<\/td>2.345<\/td>N\/A<\/td><\/tr>
Tipo piattaforma<\/td>SIEM + XDR unificato<\/td>Data Platform + SIEM add-on (ES)<\/td><\/tr>
File Integrity Monitoring (FIM)<\/td>Nativa, inclusa<\/td>Tramite Splunk ES add-on<\/td><\/tr>
Vulnerability Detection<\/td>Nativa (scanner integrato)<\/td>Tramite integrazioni terze parti<\/td><\/tr>
Mappatura MITRE ATT&CK<\/td>Modulo nativo incluso<\/td>S\u00ec, tramite Splunk ES framework<\/td><\/tr>
Threat Intelligence<\/td>VirusTotal, MISP, AlienVault, URLHaus<\/td>Splunk ThreatIntelligence add-on<\/td><\/tr>
Free tier<\/td>S\u00ec, funzionalit\u00e0 complete senza limiti<\/td>500 MB\/giorno (Splunk Free)<\/td><\/tr>
Cloud managed<\/td>Wazuh Cloud ($571\/mese per 100 agenti)<\/td>Splunk Cloud (pricing enterprise)<\/td><\/tr>
Container\/Kubernetes<\/td>S\u00ec (monitoring nativo)<\/td>S\u00ec (con Splunk Connect for Kubernetes)<\/td><\/tr>
Compliance integrata<\/td>GDPR, NIS2, PCI DSS, HIPAA, TSC<\/td>GDPR, PCI DSS, SOX, HIPAA, ISO 27001<\/td><\/tr>
CVE noti 2025-2026<\/td>CVE-2025-24016 (RCE, fix in v4.9.1)<\/td>CVE-2025-36106 (path traversal, patchato)<\/td><\/tr>
Deployment<\/td>Self-hosted, Cloud, ibrido<\/td>Self-hosted, Splunk Cloud, ibrido<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Architettura e Installazione<\/h2>\n\n\n\n

Architettura Wazuh: Componenti e Flusso Dati<\/h3>\n\n\n\n

L’architettura di Wazuh si articola in quattro componenti che lavorano in tandem. Il Wazuh Agent<\/strong> \u00e8 un software leggero installato su ogni endpoint monitorato (Windows, Linux, macOS, FreeBSD), responsabile della raccolta di log, eventi di sistema, anomalie di comportamento e informazioni di vulnerabilit\u00e0. Il Wazuh Server<\/strong> (o Manager) \u00e8 il cervello del sistema: riceve gli eventi dagli agenti, li decodifica tramite un sistema di oltre 3.000 regole built-in, li correla e genera alert. Ogni alert \u00e8 categorizzato per livello di gravit\u00e0 (da 0 a 15) e mappato automaticamente al framework MITRE ATT&CK.<\/p>\n\n\n\n

Il Wazuh Indexer<\/strong> \u00e8 basato su OpenSearch (la fork open source di Elasticsearch) e si occupa dell’indicizzazione e dello storage degli eventi processati. Supporta cluster distribuiti per alta disponibilit\u00e0 e scalabilit\u00e0 orizzontale. Il Wazuh Dashboard<\/strong>, basato su OpenSearch Dashboards, offre visualizzazioni interattive, moduli di compliance predefiniti e una console per la threat hunting. Per un’installazione all-in-one (adatta fino a 50-100 agenti), i requisiti minimi documentati sono 4 vCPU, 8 GB di RAM e 50 GB di spazio disco. Per deployment di produzione con centinaia di agenti si raccomanda un’architettura distribuita con componenti separati su nodi dedicati.<\/p>\n\n\n\n

Il processo di installazione di Wazuh sfrutta uno script assistito che automatizza l’intera procedura in meno di 30 minuti su sistemi Linux (Ubuntu, CentOS, RHEL, Debian). La documentazione ufficiale Wazuh<\/a> descrive ogni passaggio in dettaglio. Il comando di avvio rapido \u00e8 semplice:<\/p>\n\n\n\n

# Installazione Wazuh (all-in-one) su Ubuntu\/Debian\ncurl -sO https:\/\/packages.wazuh.com\/4.12\/wazuh-install.sh\ncurl -sO https:\/\/packages.wazuh.com\/4.12\/config.yml\n# Configurare config.yml con i nodi del deployment\nbash wazuh-install.sh -a<\/code><\/pre>\n\n\n\n
Architettura Splunk: Complessit\u00e0 Enterprise<\/h3>\n\n\n\n
Splunk adotta un’architettura distribuita composta da Universal Forwarder (raccolta log sugli endpoint), Indexer (indicizzazione e storage), Search Head (interfaccia di query e dashboard) e, per le funzionalit\u00e0 SIEM, il layer aggiuntivo di Splunk Enterprise Security. Questa separazione modulare offre flessibilit\u00e0 estrema ma introduce complessit\u00e0: un deployment Splunk di produzione richiede tipicamente team dedicati di Splunk Certified Architects e Administrators. I requisiti hardware per Splunk Enterprise sono significativamente pi\u00f9 elevati rispetto a Wazuh: almeno 12 vCPU e 12 GB di RAM per l’Indexer, con storage dimensionato in base al volume di ingestione e alla retention policy.<\/p>\n\n\n\n
Il linguaggio di query proprietario di Splunk, lo SPL (Search Processing Language), \u00e8 potente ma ha una curva di apprendimento ripida. Chi conosce SQL o Elasticsearch DSL dovr\u00e0 dedicare settimane alla formazione prima di sfruttare appieno le capacit\u00e0 analitiche della piattaforma. Wazuh, al contrario, utilizza OpenSearch Query DSL, compatibile con Elasticsearch, e fornisce moduli preconfigurati che non richiedono query personalizzate per i casi d’uso standard di compliance e threat detection.<\/p>\n\n\n\n
Funzionalit\u00e0 SIEM: Analisi Comparativa<\/h2>\n\n\n\n
La funzione principale di qualsiasi SIEM \u00e8 la correlazione degli eventi di sicurezza provenienti da sorgenti eterogenee per identificare minacce che singoli log non renderebbero visibili. Su questo fronte, Wazuh e Splunk adottano approcci fondamentalmente diversi.<\/p>\n\n\n\n
Wazuh include nativamente un motore di correlazione basato su regole con oltre 3.000 decodificatori e regole predefinite, copertura out-of-the-box per le pi\u00f9 diffuse distribuzioni Linux, Windows Server, applicazioni web (Apache, Nginx, IIS) e database (MySQL, PostgreSQL, MSSQL). Ogni alert generato da Wazuh include automaticamente il contesto MITRE ATT&CK (tattica e tecnica), il livello di gravit\u00e0 e le possibili azioni di rimedio. Il sistema di Active Response di Wazuh permette inoltre di eseguire azioni automatiche in risposta a specifici alert: blocco di un IP via firewall, quarantena di un file, notifica via Slack o PagerDuty.<\/p>\n\n\n\n
Splunk Enterprise Security eccelle nella correlazione di volumi di dati estremamente elevati e nella personalizzazione delle ricerche attraverso SPL. La piattaforma supporta dozzine di framework di correlazione e offre un risk-based alerting (RBA) sofisticato che assegna punteggi di rischio cumulativi alle entit\u00e0 (utenti, host, indirizzi IP) invece di generare alert per ogni singolo evento. Questo riduce drasticamente il numero di falsi positivi in ambienti enterprise con migliaia di endpoint. Il Splunk Enterprise Security<\/a> ospita oltre 2.800 app e add-on tramite Splunkbase che estendono le capacit\u00e0 della piattaforma verso qualsiasi tecnologia o vendor del mercato.<\/p>\n\n\n\n
Sul fronte del log management<\/strong>, Splunk non ha rivali in termini di volume gestibile e velocit\u00e0 di ricerca su dataset storici di dimensioni petabyte. Wazuh, pur scalando orizzontalmente tramite cluster OpenSearch, \u00e8 pi\u00f9 adatto a deployment fino a qualche centinaio di GB al giorno: oltre questa soglia, la gestione richiede competenze avanzate di tuning OpenSearch. Per la maggior parte delle PMI italiane che rientrano nell’ambito NIS2, questa limitazione non \u00e8 rilevante.<\/p>\n\n\n\n
Rilevamento Minacce e Framework MITRE ATT&CK<\/h2>\n\n\n\n
Il MITRE ATT&CK<\/a> \u00e8 diventato lo standard de facto per descrivere il comportamento degli attaccanti. Wazuh integra nativamente il modulo MITRE ATT&CK che mappa ogni alert alle tattiche (Reconnaissance, Initial Access, Execution, Persistence, Privilege Escalation, Defense Evasion, Credential Access, Discovery, Lateral Movement, Collection, Command and Control, Exfiltration, Impact) e alle tecniche specifiche associate. Il dashboard MITRE di Wazuh permette di visualizzare a colpo d’occhio quali tattiche sono state rilevate nell’infrastruttura monitorata e con quale frequenza.<\/p>\n\n\n\n
La File Integrity Monitoring (FIM)<\/strong> di Wazuh monitora in tempo reale le modifiche a file e directory critici del sistema operativo, registrando chi ha effettuato la modifica, quando, con quale processo e quale contenuto \u00e8 cambiato. Questa funzionalit\u00e0 \u00e8 fondamentale per il rilevamento di malware che modificano file di sistema, ransomware che cifrano file utente e attaccanti che installano backdoor. La FIM nativa di Wazuh copre Windows (incluso il registro di sistema), Linux e macOS senza necessit\u00e0 di add-on aggiuntivi.<\/p>\n\n\n\n
Per la Threat Intelligence<\/strong>, Wazuh si integra nativamente con VirusTotal (scansione automatica degli hash di file sospetti), AlienVault OTX (feed di indicatori di compromissione), URLHaus (URL malevoli) e MISP (Malware Information Sharing Platform). Ogni integrazione pu\u00f2 essere configurata in pochi minuti tramite il file ossec.conf e arricchisce automaticamente gli alert con il contesto di threat intelligence. Splunk offre integrazioni simili tramite l’Threat Intelligence Framework dell’ES add-on, ma richiede licenze aggiuntive e configurazione pi\u00f9 complessa.<\/p>\n\n\n\n
Il Vulnerability Assessment<\/strong> integrato in Wazuh analizza periodicamente il software installato su ogni agente e lo confronta con i database CVE aggiornati (NVD, OSV), generando report di vulnerabilit\u00e0 per ogni endpoint monitorato senza necessit\u00e0 di scanner esterni come Nessus o OpenVAS. Questo approccio agentless-from-agent riduce i costi di licensing degli strumenti di vulnerability management e centralizza la visibilit\u00e0 nel singolo dashboard.<\/p>\n\n\n\n
Prezzi e Costo Totale di Propriet\u00e0 (TCO)<\/h2>\n\n\n\n
La differenza di costo tra Wazuh e Splunk \u00e8 il fattore che pi\u00f9 di ogni altro orienta la scelta, specialmente per le organizzazioni italiane di medie dimensioni. Wazuh non ha costi di licenza: l’intero stack (server, indexer, dashboard, agenti) \u00e8 liberamente scaricabile e utilizzabile in produzione senza limitazioni funzionali. I costi sono esclusivamente infrastrutturali (server o cloud) e, se richiesto, di supporto professionale.<\/p>\n\n\n\n
Scenario<\/th>Wazuh (costo annuo totale)<\/th>Splunk (costo annuo totale)<\/th><\/tr><\/thead>
Piccola organizzazione, 50 agenti, 5 GB\/giorno<\/td>$0 (self-hosted) \/ $6.852 (Wazuh Cloud)<\/td>~$8.000 (base, Splunk Cloud)<\/td><\/tr>
Media organizzazione, 100 agenti, 20 GB\/giorno<\/td>$7.800-$15.000 (infrastruttura AWS)<\/td>~$25.000-$40.000<\/td><\/tr>
Grande organizzazione, 500 agenti, 100 GB\/giorno<\/td>$20.000-$62.256 (infrastruttura)<\/td>$69.000-$400.000 (modello workload)<\/td><\/tr>
Free tier<\/td>Illimitato (funzionalit\u00e0 complete)<\/td>500 MB\/giorno (Splunk Free)<\/td><\/tr>
Supporto professionale<\/td>$5.000-$30.000\/anno (Wazuh Inc.)<\/td>Incluso nel contratto enterprise<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Wazuh Cloud, il servizio managed lanciato da Wazuh Inc. per chi non vuole gestire l’infrastruttura, ha un piano da 100 agenti a $571\/mese ($6.852\/anno), che include hosting, aggiornamenti automatici e supporto tecnico di base. Per le PMI italiane che non dispongono di team IT dedicato, questa soluzione offre un equilibrio ottimale tra costi contenuti e riduzione del carico operativo.<\/p>\n\n\n\n
Il modello di pricing di Splunk ha subito cambiamenti significativi con l’introduzione del modello workload (basato sulla capacit\u00e0 computazionale allocata invece che sul volume di dati ingestiti), ma le analisi di mercato del 2026 indicano costi nell’ordine di $200.000-$400.000 all’anno per deployment da 100 GB\/giorno con il modello workload. Il modello tradizionale basato sul volume di ingestione rimane intorno a $69.000\/anno per 100 GB\/giorno. Questi numeri escludono i costi di formazione, implementazione e il personale specializzato necessario per amministrare la piattaforma.<\/p>\n\n\n\n
Un’analisi del TCO (Total Cost of Ownership) su 3 anni per un’organizzazione media con 100 agenti e 20 GB\/giorno di log evidenzia un risparmio potenziale tra $150.000 e $500.000 scegliendo Wazuh rispetto a Splunk Enterprise Security, inclusi i costi di infrastruttura, formazione e supporto. Per una PMI italiana con fatturato sotto i 50 milioni di euro, questo differenziale \u00e8 spesso determinante.<\/p>\n\n\n\n
Performance e Scalabilit\u00e0<\/h2>\n\n\n\n
Le performance di un SIEM si misurano principalmente in eventi per secondo (EPS) gestibili senza degradazione delle latenze di rilevamento. Wazuh, in un deployment distribuito con server dedicato e indexer separato su hardware moderno (8 core, 16 GB RAM), gestisce con agevolezza 50.000-100.000 EPS. Per volumi superiori, l’architettura cluster di Wazuh permette di aggiungere nodi indexer orizzontalmente: ogni nodo aggiuntivo scala la capacit\u00e0 di ingestione proporzionalmente. OpenSearch, su cui si basa il Wazuh Indexer, \u00e8 stato testato in deployment da centinaia di TB con latenze di ricerca sotto i 500ms.<\/p>\n\n\n\n
Splunk eccelle nella gestione di volumi estremi: le installazioni enterprise pi\u00f9 grandi raggiungono petabyte di dati indicizzati con velocit\u00e0 di ricerca e correlazione superiori a Wazuh. La tecnologia SmartStore di Splunk separa il compute dallo storage, permettendo di scaricare i dati storici su object storage economico (S3, Azure Blob) mantenendo accesso rapido ai dati recenti. Per organizzazioni con requisiti di retention pluriennali e volumi nell’ordine di centinaia di GB al giorno, Splunk offre vantaggi tecnici non trascurabili.<\/p>\n\n\n\n
La latenza di rilevamento<\/strong> \u00e8 una metrica critica per la risposta agli incidenti. Wazuh garantisce alert in tempo quasi-reale: il tempo tra l’evento sul sistema operativo dell’agente e la visualizzazione dell’alert sul dashboard \u00e8 tipicamente inferiore a 5 secondi in condizioni di rete normali. Splunk ES raggiunge latenze simili per regole di correlazione semplici, ma le ricerche programmate (scheduled searches) utilizzate per regole complesse introducono latenze configurabili da 1 minuto a ore, a seconda del volume di dati e delle risorse disponibili.<\/p>\n\n\n\n
Integrazioni ed Ecosistema<\/h2>\n\n\n\n
L’ecosistema di integrazioni \u00e8 spesso il fattore decisivo in ambienti enterprise con tecnologie eterogenee. Splunk domina questo fronte con Splunkbase, il marketplace che ospita oltre 2.800 app e add-on sviluppati da Splunk, vendor partner e dalla community. Esistono integrazione native per praticamente ogni prodotto di sicurezza del mercato: Palo Alto Networks, Cisco, CrowdStrike, Microsoft Sentinel, AWS Security Hub, Google Chronicle e decine di altri. L’ecosistema SOAR (Security Orchestration, Automation and Response) di Splunk, tramite Splunk SOAR (ex Phantom), permette di orchestrare playbook di risposta agli incidenti che attraversano dozzine di strumenti.<\/p>\n\n\n\n
Wazuh offre un set di integrazioni native pi\u00f9 ristretto ma copre le esigenze pi\u00f9 comuni: oltre alle gi\u00e0 citate VirusTotal, MISP, AlienVault e URLHaus per la threat intelligence, Wazuh si integra con Slack, PagerDuty e Jira per le notifiche e la gestione degli incidenti. Il modulo di integrazione API permette di inviare alert a qualsiasi sistema esterno via webhook. La community open source ha sviluppato integrazioni non ufficiali per TheHive (incident management), Cortex (analisi automatizzata degli observable) e diverse piattaforme SOAR.<\/p>\n\n\n\n
Per le organizzazioni che adottano architetture cloud-native, Wazuh monitora nativamente AWS (tramite CloudTrail, CloudWatch, GuardDuty), Google Cloud Platform (tramite Cloud Audit Logs) e Microsoft Azure (tramite Azure Monitor e Azure Active Directory). Il supporto per i container si estende a Docker e Kubernetes, con monitoraggio degli audit log dell’API server e rilevamento di comportamenti anomali nei pod. Splunk offre connettori simili tramite le sue app dedicate per ogni cloud provider, con funzionalit\u00e0 analytics pi\u00f9 avanzate grazie alla potenza del motore SPL.<\/p>\n\n\n\n
Conformit\u00e0 Normativa: GDPR, NIS2 e PCI DSS<\/h2>\n\n\n\n
La conformit\u00e0 normativa \u00e8 diventata il principale driver di adozione dei SIEM per le aziende italiane ed europee nel 2026. La Direttiva NIS2<\/a> richiede alle organizzazioni degli settori essenziali e importanti di implementare misure tecniche e organizzative che includono il monitoraggio continuo delle reti, la rilevazione delle anomalie e la notifica degli incidenti entro 24 ore alle autorit\u00e0 competenti. Wazuh \u00e8 esplicitamente posizionato come soluzione per la conformit\u00e0 NIS2 e include moduli predefiniti per NIS2, GDPR, PCI DSS, HIPAA, TSC e GPG13.<\/p>\n\n\n\n
Il modulo GDPR di Wazuh<\/strong> mappa ogni alert alle specifiche disposizioni del Regolamento Europeo sulla Protezione dei Dati, facilitando la dimostrazione della conformit\u00e0 ai responsabili della protezione dei dati (DPO) e agli ispettori del Garante. Il dashboard dedicato mostra in tempo reale quali articoli GDPR sono rilevanti per gli eventi di sicurezza rilevati: accesso non autorizzato a dati personali (Art. 5), violazioni della riservatezza (Art. 32), o tentativi di esfiltrazione. Questo livello di granularit\u00e0 normativa \u00e8 particolarmente utile per le organizzazioni soggette ai crescenti controlli GDPR del 2026<\/a>.<\/p>\n\n\n\n
Per il PCI DSS v4.0<\/strong>, Wazuh copre i requisiti di monitoraggio dell’accesso alle risorse di rete (Req. 10), il monitoraggio dell’integrit\u00e0 dei file (Req. 11.5) e il rilevamento degli accessi non autorizzati (Req. 12). I report di compliance generabili dal dashboard di Wazuh includono evidenza documentale pronti per le audit, riducendo significativamente i tempi di preparazione per le certificazioni. Splunk Enterprise Security offre capacit\u00e0 analoghe tramite il Content Pack per PCI DSS, con dashboard e search pre-built, ma il costo aggiuntivo del framework ES rende questa soluzione accessibile principalmente alle grandi organizzazioni finanziarie.<\/p>\n\n\n\n
Cinque Casi d’Uso Reali<\/h2>\n\n\n\n
1. PMI manifatturiera sotto NIS2 (200 dipendenti, 50 server Windows).<\/strong> Un’azienda metalmeccanica lombarda con 50 server Windows e 150 workstation ha implementato Wazuh in 3 settimane per soddisfare i requisiti NIS2. Costo totale: $12.000 il primo anno (server cloud AWS + supporto Wazuh Inc.). Il dashboard GDPR preconfigurato ha permesso al DPO di generare report mensili senza intervento del team IT. Il confronto con un’offerta Splunk ha mostrato un differenziale di $45.000 nel primo anno, insostenibile per le dimensioni aziendali.<\/p>\n\n\n\n
2. Ospedale universitario con dati sanitari GDPR (5.000 endpoint).<\/strong> Un policlinico universitario del Centro Italia con 5.000 endpoint (postazioni cliniche, server PACS, sistemi EHR) ha selezionato Wazuh per la capacit\u00e0 di gestire ambienti misti Windows\/Linux senza limitazioni di volume. Il modulo HIPAA di Wazuh monitora gli accessi ai dati dei pazienti e genera alert immediati per accessi anomali ai sistemi EHR fuori dall’orario standard. Il FIM monitora 24\/7 i file di configurazione dei sistemi medicali critici, con alert in tempo reale per qualsiasi modifica non autorizzata.<\/p>\n\n\n\n
3. Banca sistemica con volume da 200 GB\/giorno (deployment ibrido).<\/strong> Un istituto di credito di medie dimensioni con 200 GB\/giorno di log da sistemi bancari, ATM e infrastruttura di rete ha scelto Splunk Enterprise Security per la sua capacit\u00e0 di correlare eventi ad alta velocit\u00e0 su volumi elevati e per la profonda integrazione con i prodotti di sicurezza gi\u00e0 presenti nell’infrastruttura (Palo Alto NGFW, CyberArk PAM, Symantec DLP). Il risk-based alerting di Splunk ES ha ridotto i falsi positivi del 73% rispetto al precedente SIEM, permettendo al SOC di 8 analisti di gestire volumi altrimenti non gestibili.<\/p>\n\n\n\n
4. MSSP italiano con 40 clienti SMB.<\/strong> Un Managed Security Service Provider romano utilizza Wazuh come piattaforma multi-tenant per monitorare 40 clienti PMI in un’unica installazione. La gestione centralizzata degli agenti e le API REST di Wazuh permettono di automatizzare l’onboarding di nuovi clienti in meno di 2 ore. Il modello economico \u00e8 sostenibile: a fronte di un investimento iniziale di $30.000 in infrastruttura, l’MSSP eroga servizi di monitoraggio a 40 clienti con margin positivi sin dal primo mese, cosa impossibile con i costi di licensing Splunk per cliente.<\/p>\n\n\n\n
5. Universit\u00e0 con laboratori di cybersecurity (studenti e ricercatori).<\/strong> Il Dipartimento di Informatica di un ateneo italiano utilizza Wazuh come piattaforma didattica e di ricerca per 500 studenti. La licenza open source permette a docenti e studenti di analizzare il codice sorgente, modificare le regole di rilevamento e pubblicare ricerche sui comportamenti anomali. Il CVE-2025-24016 (RCE risolto in v4.9.1), ad esempio, \u00e8 diventato caso di studio per un corso di sicurezza offensiva, con gli studenti che hanno replicato e studiato la vulnerabilit\u00e0 in ambiente controllato.<\/p>\n\n\n\n
Opinioni degli Esperti<\/h2>\n\n\n\n
ThePrimeagen<\/strong> (Michael DeVito), sviluppatore senior e content creator noto per la sua posizione netta a favore degli strumenti open source e trasparenti, ha pi\u00f9 volte espresso la convinzione che le piattaforme di sicurezza closed-source creino dipendenza dal vendor senza offrire garanzie sul comportamento reale del software. Dal suo punto di vista, un SIEM come Wazuh, dove \u00e8 possibile leggere ogni regola di rilevamento, ogni decodificatore e ogni integrazione, offre un livello di fiducia impossibile da raggiungere con software proprietario. “Se non puoi leggere il codice, non puoi fidarti del software” \u00e8 una delle sue posizioni pi\u00f9 note sull’open source in ambito security.<\/p>\n\n\n\n
Fireship<\/strong> (Jeff Delaney), noto per le sue analisi pragmatiche degli strumenti per sviluppatori, tende a valutare le piattaforme in base alla velocit\u00e0 di onboarding e alla riduzione della frizione per i team di dimensioni ridotte. Nella sua metodologia di valutazione, la capacit\u00e0 di avere un sistema funzionante in 30 minuti (come permette il quickstart di Wazuh) conta quanto le funzionalit\u00e0 avanzate. Splunk eccelle per i team enterprise con Splunk Certified Admins dedicati, ma per chi parte da zero la complessit\u00e0 dell’SPL e dell’architettura distribuita rappresenta un ostacolo significativo.<\/p>\n\n\n\n
MKBHD<\/strong> (Marques Brownlee) applica ai prodotti tech la sua metodologia di confronto basata su dati oggettivi e user experience. Applicata ai SIEM, questa metodologia porta a una conclusione chiara: se il criterio \u00e8 il valore per euro investito, Wazuh vince in modo netto per qualsiasi organizzazione sotto i 500 endpoint. Se il criterio \u00e8 la potenza analitica pura e la capacit\u00e0 di gestire ambienti enterprise da migliaia di endpoint con volumi di dati estremi, Splunk mantiene un vantaggio tecnico reale. La scelta dipende dal punto in cui ci si trova nello spettro dimensionale.<\/p>\n\n\n\n
Guida alla Migrazione da Splunk a Wazuh<\/h2>\n\n\n\n
La migrazione da Splunk a Wazuh richiede pianificazione attenta ma \u00e8 tecnicamente fattibile per la maggior parte delle organizzazioni. Il percorso si articola in cinque fasi principali che permettono di mantenere la continuit\u00e0 operativa durante la transizione.<\/p>\n\n\n\n
Fase 1: Inventario e mappatura (settimane 1-2).<\/strong> Documentare tutte le sorgenti di log attualmente gestite da Splunk (forwarder, syslog, API), le dashboard e report critici usati dal SOC e le regole di correlazione custom sviluppate nel tempo. Per ogni elemento Splunk, identificare l’equivalente Wazuh: le regole SPL di Splunk si traducono in regole XML di Wazuh, le dashboard Splunk si replicano in Kibana\/OpenSearch Dashboards. Questo step richiede 1-2 settimane per ambienti di medie dimensioni.<\/p>\n\n\n\n
Fase 2: Installazione parallela (settimane 2-4).<\/strong> Deployare Wazuh in parallelo a Splunk, iniziando con un subset non critico di endpoint (5-10% del totale). Installare gli agenti Wazuh sugli stessi host che gi\u00e0 hanno i Splunk Universal Forwarder: le due piattaforme coesistono senza conflitti. Verificare che gli alert Wazuh corrispondano logicamente a quelli Splunk per gli stessi eventi generati manualmente.<\/p>\n\n\n\n
Fase 3: Migrazione regole custom (settimane 3-6).<\/strong> Tradurre le regole SPL di Splunk in regole XML di Wazuh. Le regole Wazuh seguono una struttura XML semplice con campi predefiniti. Esempio di traduzione:<\/p>\n\n\n\n
# Regola Wazuh per rilevamento brute force SSH\n# (equivalente Splunk: index=os sourcetype=linux_secure \"Failed password\" | stats count by src_ip | where count > 5)\n<rule id=\"100200\" level=\"10\">\n  <if_matched_sid>5720<\/if_matched_sid>\n  <same_source_ip \/>\n  <description>SSH Brute Force: 5+ tentativi dallo stesso IP<\/description>\n  <mitre>\n    <id>T1110<\/id>\n  <\/mitre>\n  <options>no_full_log<\/options>\n  <group>authentication_failures,pci_dss_10.2.4,gdpr_IV_35.7.d<\/group>\n<\/rule><\/code><\/pre>\n\n\n\n
Fase 4: Espansione progressiva e validazione (settimane 4-10).<\/strong> Estendere la copertura Wazuh al 50%, poi al 100% degli endpoint, mantenendo Splunk attivo come sistema secondario per validazione. Verificare ogni alert critico su entrambi i sistemi. Formare il team SOC sull’interfaccia Wazuh e sul sistema di regole.<\/p>\n\n\n\n
Fase 5: Disattivazione Splunk e ottimizzazione (settimane 10-14).<\/strong> Con la copertura al 100% e la fiducia del team sul nuovo sistema, procedere alla disattivazione degli Universal Forwarder Splunk e alla terminazione del contratto di licenza. Ottimizzare le performance di Wazuh (tuning delle regole per ridurre i falsi positivi, configurazione dei widget di dashboard personalizzati, setup delle integrazioni di threat intelligence).<\/p>\n\n\n\n
Pro e Contro<\/h2>\n\n\n\n
Wazuh: Vantaggi e Limitazioni<\/h3>\n\n\n\n
Pro Wazuh<\/th>Contro Wazuh<\/th><\/tr><\/thead>
$0 di costo licenza, risparmio di $50.000-$350.000\/anno vs Splunk<\/td>Curva di apprendimento XML per le regole custom<\/td><\/tr>
XDR + SIEM + FIM + Vulnerability Detection in un unico stack<\/td>Capacit\u00e0 analitiche su grandi volumi inferiori a Splunk<\/td><\/tr>
15.905 stelle GitHub, community attiva, aggiornamenti frequenti<\/td>Interfaccia dashboard meno raffinata rispetto a Splunk ES<\/td><\/tr>
Moduli compliance preconfigurati (GDPR, NIS2, PCI DSS, HIPAA)<\/td>Ecosistema di integrazioni pi\u00f9 ristretto (vs 2.800+ app Splunkbase)<\/td><\/tr>
Installazione automatizzata in 30 minuti<\/td>Supporto enterprise a pagamento (non incluso nella licenza base)<\/td><\/tr>
Nessun limite di ingestione dati<\/td>Scaling oltre 500 agenti richiede tuning avanzato di OpenSearch<\/td><\/tr>
Integrazioni native con principali threat intelligence feeds<\/td>CVE-2025-24016 (RCE, risolto in v4.9.1) ricorda che aggiornamenti tempestivi sono critici<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Splunk: Vantaggi e Limitazioni<\/h3>\n\n\n\n
Pro Splunk<\/th>Contro Splunk<\/th><\/tr><\/thead>
Capacit\u00e0 analitiche superiori su grandi volumi (petabyte)<\/td>Costi proibitivi: $69.000-$400.000\/anno per 100 GB\/giorno<\/td><\/tr>
Risk-based alerting avanzato per riduzione falsi positivi<\/td>Complessit\u00e0 architetturale e curva di apprendimento SPL ripida<\/td><\/tr>
2.800+ app e integrazioni su Splunkbase<\/td>Free tier limitato a 500 MB\/giorno<\/td><\/tr>
SmartStore per gestione economica dei dati storici<\/td>Dipendenza dal vendor (vendor lock-in post-acquisizione Cisco)<\/td><\/tr>
Splunk SOAR per orchestrazione complessa dei playbook<\/td>Richiede team dedicato di Splunk Certified Admins<\/td><\/tr>
Supporto enterprise incluso, SLA garantiti<\/td>Pricing opaco: cambio modello (workload vs volume) crea incertezza<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Quando Scegliere Wazuh e Quando Scegliere Splunk<\/h2>\n\n\n\n
Scegli Wazuh se:<\/strong> la tua organizzazione ha meno di 500 endpoint e un volume di log inferiore a 50 GB\/giorno. Se il budget per la sicurezza \u00e8 limitato e vuoi massimizzare la copertura per euro investito. Se sei una PMI soggetta a NIS2 che ha bisogno di compliance ready-to-use senza investimenti significativi. Se sei un MSSP che monitora decine di clienti SMB e hai bisogno di un modello economico sostenibile. Se vuoi controllo totale sull’infrastruttura senza dipendenza da vendor. Se il tuo team ha competenze Linux e vuoi una piattaforma open source personalizzabile.<\/p>\n\n\n\n
Scegli Splunk se:<\/strong> la tua organizzazione \u00e8 una grande enterprise con volumi superiori a 100 GB\/giorno e risorse per un team Splunk dedicato. Se hai gi\u00e0 investito nell’ecosistema Splunk (integrazioni, custom searches, formazione del team) e la migrazione avrebbe costi di transizione superiori al risparmio. Se hai bisogno del risk-based alerting avanzato per un SOC con team di 10+ analisti che gestiscono ambienti con migliaia di endpoint eterogenei. Se la potenza analitica SPL e le capacit\u00e0 di business intelligence dei dati di sicurezza (ad esempio correlazione con dati operativi o di business) sono strategicamente importanti.<\/p>\n\n\n\n
Considera entrambi (approccio ibrido) se:<\/strong> hai un’infrastruttura enterprise ma con componenti critici che richiedono costi di monitoring contenuti: Wazuh per la copertura endpoint general purpose, Splunk ES per i sistemi core business ad alto valore con volumi elevati. Alcune grandi organizzazioni italiane usano Wazuh per il 70% degli endpoint (workstation, server secondari) e Splunk per i sistemi critici (core banking, ERP, data center primario), ottimizzando il rapporto costo\/copertura.<\/p>\n\n\n\n
Sicurezza della Piattaforma: CVE e Aggiornamenti<\/h2>\n\n\n\n
Nessuna piattaforma SIEM \u00e8 immune da vulnerabilit\u00e0, e la trasparenza nell’affrontarle \u00e8 un indicatore di maturit\u00e0 del progetto. Nel 2025, Wazuh ha pubblicato informazioni su CVE-2025-24016<\/a>, una vulnerabilit\u00e0 di esecuzione remota del codice nel Wazuh Server causata da deserializzazione non sicura. La vulnerabilit\u00e0, classificata con CVSS 9.9 (critica), \u00e8 stata rilevata nelle versioni dalla 4.4.0 alla 4.9.0 e corretta nella versione 4.9.1 rilasciata tempestivamente. Il disclosure pubblico e la rapidit\u00e0 della patch dimostrano la responsivit\u00e0 del team Wazuh Inc. alle problematiche di sicurezza.<\/p>\n\n\n\n
Il ciclo di rilascio di Wazuh \u00e8 cadenzato: versioni major ogni 6-9 mesi, patch di sicurezza entro 30 giorni dalla scoperta di vulnerabilit\u00e0 critiche. La versione attuale 4.12.0 \u00e8 la pi\u00f9 recente disponibile al momento della stesura di questo articolo. Gli aggiornamenti si applicano tramite il sistema di package management del sistema operativo (apt, yum, dnf) senza interruzione del servizio per gli agenti, che mantengono la connessione durante gli aggiornamenti del server. Per Splunk, i cicli di aggiornamento enterprise possono richiedere finestre di manutenzione programmate e test di regressione pi\u00f9 complessi date le dipendenze con gli add-on e le custom app.<\/p>\n\n\n\n
Il Verdetto: Dati, Non Opinioni<\/h2>\n\n\n\n
La risposta alla domanda “Wazuh o Splunk?” dipende da tre variabili quantificabili: numero di endpoint, volume di log giornaliero e budget disponibile. Per il 90% delle organizzazioni italiane soggette a NIS2 (PMI con meno di 500 dipendenti, fino a qualche centinaio di server), Wazuh \u00e8 la scelta razionale<\/strong>: $0 di licenza, funzionalit\u00e0 SIEM+XDR complete, moduli di compliance preconfigurati per GDPR e NIS2, installazione in 30 minuti e una community di 15.905 sviluppatori che garantisce continuit\u00e0 del progetto.<\/p>\n\n\n\n
Il risparmio rispetto a Splunk Enterprise Security per un’organizzazione di 100 agenti e 20 GB\/giorno \u00e8 nell’ordine di $30.000-$80.000 all’anno, fondi che possono essere reinvestiti in formazione del team, in strumenti complementari (firewall di nuova generazione, EDR dedicato, penetration test annuali) o semplicemente trattenuti come utile.<\/p>\n\n\n\n
Splunk mantiene un vantaggio tecnico reale per le grandi enterprise con volumi superiori a 50 GB\/giorno, SOC di 10+ analisti e necessit\u00e0 di correlazione su dati eterogenei non strettamente di sicurezza (log applicativi, dati operativi, metriche di business). In questi contesti, le capacit\u00e0 analitiche SPL e l’ecosistema Splunkbase giustificano il costo significativamente pi\u00f9 elevato. L’integrazione con il portafoglio Cisco post-acquisizione aggiunger\u00e0 ulteriore valore per le organizzazioni gi\u00e0 nell’ecosistema Cisco.<\/p>\n\n\n\n
Verdetto per dimensione:<\/strong> startup e PMI sotto 200 dipendenti: Wazuh, senza eccezioni. Medie imprese (200-1000 dipendenti): Wazuh o Wazuh Cloud, con valutazione Splunk solo se si superano i 50 GB\/giorno. Grande enterprise (1000+ dipendenti, volumi elevati): Splunk ES o approccio ibrido.<\/p>\n\n\n\n
Domande Frequenti (FAQ)<\/h2>\n\n\n\n
Wazuh \u00e8 davvero gratuito o ci sono costi nascosti?<\/strong> Il software Wazuh \u00e8 completamente gratuito e open source, senza limitazioni funzionali o di volume. I costi potenziali riguardano l’infrastruttura su cui viene eseguito (server fisici o cloud), il supporto professionale opzionale offerto da Wazuh Inc. e le ore di lavoro per l’installazione e la configurazione iniziale. Wazuh Cloud, il servizio managed, parte da $571\/mese per 100 agenti.<\/p>\n\n\n\n
Wazuh pu\u00f2 sostituire completamente Splunk in un ambiente enterprise?<\/strong> Dipende dalle dimensioni e dalle esigenze. Per la maggior parte delle organizzazioni italiane fino a 500 endpoint e 30-50 GB\/giorno, s\u00ec. Per grandi enterprise con volumi superiori e dipendenza dall’ecosistema Splunk (custom apps, integrazioni SPL avanzate), la migrazione completa richiede investimenti significativi e potrebbe non essere giustificata economicamente nel breve termine.<\/p>\n\n\n\n
Wazuh soddisfa i requisiti della Direttiva NIS2?<\/strong> Wazuh include moduli preconfigurati per NIS2 che coprono i requisiti di monitoraggio continuo, rilevamento delle anomalie, gestione degli accessi e reportistica. Tuttavia, NIS2 \u00e8 una direttiva organizzativa che richiede anche politiche, procedure e governance: uno strumento tecnico come Wazuh copre la componente tecnologica ma non sostituisce la necessaria implementazione di processi e governance.<\/p>\n\n\n\n
Quali sistemi operativi supporta l’agente Wazuh?<\/strong> L’agente Wazuh supporta Windows (da Windows XP a Windows Server 2022), Linux (tutte le principali distribuzioni: Ubuntu, CentOS, RHEL, Debian, Amazon Linux, Oracle Linux), macOS (da 10.15 Catalina a macOS 14 Sonoma), FreeBSD, OpenBSD e Solaris. Esiste anche un’integrazione agentless per dispositivi di rete che non supportano l’installazione di software (firewall, switch, router).<\/p>\n\n\n\n
Quanto tempo richiede l’implementazione di Wazuh?<\/strong> Un’installazione all-in-one di Wazuh su un singolo server richiede meno di 30 minuti tramite lo script assistito. L’installazione di agenti su endpoint Windows pu\u00f2 essere automatizzata tramite Group Policy (GPO), consentendo il deployment su centinaia di macchine in meno di un’ora. La configurazione dei moduli di compliance e delle integrazioni aggiuntive richiede 1-3 giorni. Una migrazione completa da zero a Wazuh operativo in produzione richiede tipicamente 2-4 settimane per organizzazioni di medie dimensioni.<\/p>\n\n\n\n
Qual \u00e8 la differenza tra Wazuh e OSSEC?<\/strong> Wazuh \u00e8 nato come fork di OSSEC nel 2015, aggiungendo funzionalit\u00e0 moderne che OSSEC non supporta: dashboard web, vulnerability detection, FIM avanzata, mappatura MITRE ATT&CK, integrazioni cloud, API REST e il componente Wazuh Indexer (OpenSearch). OSSEC rimane attivo come progetto separato ma ha una cadenza di aggiornamenti molto pi\u00f9 lenta e non ha le funzionalit\u00e0 SIEM avanzate di Wazuh. Per qualsiasi nuova implementazione nel 2026, Wazuh \u00e8 la scelta da preferire rispetto a OSSEC.<\/p>\n\n\n\n
Splunk Enterprise Security \u00e8 incluso nel prezzo di Splunk?<\/strong> No. Splunk Enterprise Security (ES) \u00e8 un add-on premium separato che richiede una licenza aggiuntiva rispetto alla licenza base di Splunk Enterprise o Splunk Cloud. Senza Splunk ES, Splunk \u00e8 una piattaforma di log management e analytics avanzata, ma non un SIEM completo con le funzionalit\u00e0 di correlazione delle minacce, gestione degli incidenti e compliance specifici per la security. Il costo di Splunk ES viene negoziato separatamente con Splunk\/Cisco e varia significativamente in base al volume di ingestione e al contratto enterprise.<\/p>\n\n\n\n
Copertura Correlata<\/h3>\n\n\n\n
Per approfondire i temi trattati in questo articolo, consulta le nostre analisi pi\u00f9 recenti sulla cybersecurity italiana ed europea:<\/p>\n\n\n\n