Quando assumi o programa de segurança da Prefeitura de Colatina com orçamento de R$ 2.5M/ano para TI inteira, a decisão SIEM foi uma das primeiras que precisei justificar para a diretoria.
Splunk? IBM QRadar? Ou Wazuh + ELK + TheHive?
O que o custo real de um SIEM enterprise significa
Splunk ingest-based: R$ 180k–400k/ano para ambientes médios. QRadar: licença perpetua + EPS + suporte = R$ 200k+. Microsoft Sentinel: pay-per-use, mas cresce rápido com volume.
Wazuh (open source): R$ 0 em licença. Custo real: infraestrutura (R$ 15k) + analista treinado (parte do salário existente) + integração (R$ 20k projeto).
Quando Open Source é a resposta certa
- Orçamento abaixo de R$ 500k/ano total de TI
- Equipe técnica interna com capacidade de operar a stack
- Ambiente homogêneo (Linux + Windows sem exóticos)
- Disposição para investir em tuning e manutenção
Quando Enterprise faz sentido
- Setor financeiro/regulado com exigências de compliance específicas (PCI-DSS nível 1, BACEN)
- Equipe SOC dedicada sem capacidade de operar open source
- Integrações complexas com ERPs enterprise (SAP, Oracle)
- SLA de suporte crítico em ambiente de missão crítica 24x7
O resultado na prática
Com Wazuh + ELK + TheHive + MISP: detectamos um movimento lateral em 4h que, em ambiente sem SIEM, passaria despercebido por semanas. Total investido: R$ 35k. MTTD anterior (estimado): 72h+. MTTD pós-implementação: 4h.
ROI calculado: R$ 140k de risco reduzido por ano. Decisão enterprise teria custado R$ 200k+ em licenças sozinhas.