Российские SIEM-системы 2026: обзор рынка, ключевых игроков, функций и требований регуляторов

Обзор мирового и российского рынков SIEM-систем 2026

SIEM-системы (Security Information and Event Management) являются «сердцем» современных SOC (Security Operation Center), выявляющих киберинциденты и противостоящих атакам. Ключевые игроки российского рынка, их функциональные особенности, актуальные версии и соответствие требованиям регуляторов.

Введение

SIEM-системы предназначены для анализа логов (журналов), поступающих с подключённых источников, и выявления инцидентов информационной безопасности. Используя заданные правила корреляции (логики), система определяет события или их сочетания, которые могли бы сигнализировать о хакерских атаках на компанию.

Источниками журналов событий могут выступать сетевые устройства, серверы, хосты пользователей, информационные системы и т. д. Использование SIEM-систем возможно как в корпоративном, так и в промышленном сегменте.

При этом эксперты отмечают тот факт, что на смену традиционным SIEM приходят так называемые NG SIEM (Next Generation SIEM), предназначенные для выявления неизвестных угроз и автоматизированного реагирования на них за счёт использования машинного обучения.

Выбор, внедрение и эксплуатация SIEM

Одним из факторов успеха при внедрении этого класса систем является грамотное определение целей и сценариев использования SIEM, а также штат, определённый под его эксплуатацию.

На данный момент в интернете много профильных материалов, посвящённых подводным камням выбора и внедрения SIEM. Главное, что необходимо помнить: система не является «серебряной пулей», и после внедрения потребуется много усилий аналитиков для подготовки правил корреляции в соответствии с особенностями защищаемой инфраструктуры, а также для анализа выявляемых инцидентов.

Кроме того, в компании должен быть реализован процесс управления изменениями для своевременного подключения новых источников, смены подключённых ранее, а также для подготовки правил подключаемых систем.

В соответствии с аналитикой компании Mordor Intelligence, основными проблемами при внедрении и последующей эксплуатации систем являются высокая общая стоимость владения, сложность лицензирования и нехватка квалифицированных аналитиков SOC.

Обзор мирового рынка SIEM-систем

На начало 2026 года Mordor Intelligence оценивает объём мирового рынка SIEM в 12,06 млрд долларов с перспективой роста до 20,78 млрд долларов в 2030 году и темпом роста в 11,5 %. При этом на долю локальных (on‑prem) систем приходится 55,27 % SIEM при среднегодовом темпе роста облачных решений в 12,84 %.

Аналитическое агентство подчёркивает, что локальные платформы по‑прежнему доминируют, но ценовое давление и гибкая политика ценообразования способствуют переходу предприятий к облачным решениям. Параллельно дефицит квалифицированных кадров стимулирует спрос на управляемые услуги, а инструменты обработки данных с использованием ИИ повышают производительность аналитиков, фильтруя оповещения с низкой ценностью. В совокупности эти факторы обеспечивают устойчивые перспективы рынка систем управления информацией и событиями безопасности (SIEM) в среднесрочной перспективе.

Рисунок 1. Перспективы мирового рынка SIEM

Крупнейшим регионом продаж является Северная Америка, в то время как самым быстрорастущим — Азиатско-Тихоокеанский регион.

Рисунок 2. Рост рынка SIEM по регионам (источник: mordorintelligence.com)

Основными игроками на мировом рынке являются компании Microsoft, Cisco, IBM, Rapid7 и Fortinet, на долю которых приходится 55 % объёма. Для организаций с ограниченным бюджетом выделяются такие системы с открытым кодом, как Wazuh и Graylog.

Обзор отечественного рынка SIEM-систем

В соответствии с исследованием «Центра стратегических разработок», объём рынка защиты инфраструктуры, куда в том числе входят и SIEM-системы, в 2024 году составил 39,4 млрд руб. и занял 17,2 % рынка. При этом ожидается, что в целом к 2030 году рост рынка может составить порядка 21 %.

Ключевыми драйверами рынка будут: активная государственная политика, направленная на обеспечение национальной безопасности и технологического суверенитета; сохранение налоговых льгот для российских разработчиков ПО; рост деструктивности кибератак, стимулирующих развитие практической кибербезопасности; усиление требований регуляторов и ответственности компаний за утечки данных; рост сервисных предложений (MSSP/MDR) в условиях дефицита квалифицированных специалистов по ИБ; а также рост применения технологий ИИ, порождающий новые угрозы в этой сфере.

Важно: если в обзоре 2024 года мы рассматривали 12 продуктов, то в этом материале представлены данные уже по 16 SIEM-системам:

Alertix;
Ankey SIEM NG;
Kaspersky Unified Monitoring and Analysis Platform;
KOMRAD Enterprise SIEM;
MaxPatrol SIEM;
NeuroDAT SIEM;
R-Vision SIEM;
RuSIEM;
Security Capsule SIEM;
Security Vision SIEM;
Smart Monitor SIEM;
Solar SIEM;
UserGate SIEM;
«Пангео Радар SIEM»;
«Саврус SIEM»;
«СёрчИнформ SIEM».

Таким образом, расширение списка анализируемых SIEM-систем с 12 до 16 позиций за год отражает общую динамику роста рынка и появление новых зрелых игроков. Увеличение количества продуктов подтверждает тезис о том, что спрос на средства мониторинга событий ИБ продолжает стимулировать развитие технологической базы вендоров.

Alertix

SIEM-система Alertix представлена на рынке с 2019 года. Она предназначена для сбора и обработки данных из различных источников, автоматизации выявления и учёта инцидентов ИБ, а также обеспечивает поддержку процессов расследования инцидентов и принятия решений о реагировании на них.

Из «коробки» доступно более 380 правил корреляции, 75 поддерживаемых источников событий и 20 интеграций с другими системами.

Рисунок 3. Панель мониторинга SIEM-системы Alertix

Актуальная версия системы — 3.9 — включает автоматизированное реагирование, создание плейбуков на основе связи скриптов с воркспейсами, а также обеспечивает бесшовную поддержку как OpenSource-фидов MISP, так и CTI, и интегрируется с коммерческими и бесплатными IRP-платформами.

Особенности:

поиск по индикаторам компрометации;
поведенческий анализ и поиск аномалий;
организация взаимодействия с НКЦКИ;
учёт подозрений на инциденты и их аналитика.

Система Alertix внесена в реестр российского ПО (реестровая запись № 10868 от 25.06.2021) и имеет сертификат ФСТЭК (№ 4596 от 18.11.2022).

С подробной информацией об Alertix можно ознакомиться на сайте разработчика.

Ankey SIEM NG

Программный комплекс Ankey SIEM NG разработан компанией «Газинформсервис» с использованием OEM-платформы стороннего отечественного продукта. Разработчики ПК Ankey SIEM NG предоставляют контент, содержащий 29 821 правило локализации, 17 802 правила нормализации, 1003 правила корреляции, 429 правил обогащения, 345 макросов, 261 табличный список, 49 правил агрегации.

Правила позволяют мониторить состояние ИБ и ИТ, а также выявлять инциденты более чем с 240 поддерживаемых источников. Кроме того, с их помощью детектируются распределённые атаки, в том числе для источников типа SCADA в сегменте АСУ ТП и ППО.

Рисунок 4. Архитектура Ankey SIEM NG

Актуальная версия системы — 6.4 — имеет следующие варианты исполнения: Ankey SIEM NG, Ankey SIEM NG с дополнительными компонентами VM и HCC. Таким образом, функциональные возможности системы позволяют не только выявлять инциденты ИБ и управлять ими, но также работать с уязвимостями и проверять инфраструктуру на соответствие стандартам.

Особенности:

управление уязвимостями ИБ, включая циклический процесс их обнаружения, приоритизации и контроля устранения в инфраструктуре организации;
покрытие матриц MITRE Enterprise, MITRE ICS и БДУ ФСТЭК. Правила корреляции маркированы идентификаторами MITRE Enterprise, MITRE ICS и БДУ ФСТЭК;
ретроспективная корреляция полученных ранее событий после добавления новых правил или обновления данных табличных списков; ретроспективный поиск индикаторов компрометации;
контроль защищённости активов. Система оценивает и контролирует соответствие стандартам безопасности как всей ИТ-инфраструктуры предприятия, так и отдельных узлов и систем.

Ankey SIEM NG внесён в реестр российского ПО (реестровая запись № 6095 от 13.01.2020) и имеет сертификат ФСТЭК (№ 4360 от 18.01.2021).

С подробной информацией об Ankey SIEM NG можно ознакомиться на сайте разработчика.

Kaspersky Unified Monitoring and Analysis Platform

Производитель системы — «Лаборатория Касперского» — позиционирует продукт как компонент для реализации комплексного защитного подхода, способного обезопасить от актуальных киберугроз не только корпоративную или индустриальную среду, но и инфраструктуру на стыке ИТ- и OT-систем.

«Из коробки» доступно более 350 поддерживаемых источников, более 850 правил корреляции и возможность интеграции с использованием таких протоколов, как API, Netflow, Kafka, NATS, SQL, TCP, UDP, HTTP, SNMP, WMI и других.

Рисунок 5. Архитектура KUMA

В январе 2026 года вышла обновлённая версия KUMA 4.2 с ИИ-функциональностью для обнаружения признаков компрометации учётных записей, коррелятором 2.0 (бета-версия), гибкой ролевой моделью, управлением пользовательскими поисковыми запросами, резервным копированием и восстановлением событий из архивов.

Особенности:

гибкая микросервисная архитектура;
различные ИИ-модули для обнаружения потенциальных инцидентов ИБ;
поддержка мультитенантности;
кросс-продуктовые интеграции.

SIEM-система KUMA внесена в реестр российского ПО (реестровая запись № 9128 от 16.02.2021) и имеет сертификат ФСТЭК (№ 4455 от 28.09.2026).

Больше информации о KUMA можно найти на сайте.

KOMRAD Enterprise SIEM

KOMRAD Enterprise SIEM от компании «НПО «Эшелон» представлена на рынке информационной безопасности начиная с 2020 года, когда было принято решение о полной переработке системы-предшественника.

На данный момент это система, обладающая большим количеством функциональных возможностей. Она сертифицирована ФСТЭК России и Минобороны России по 2-му уровню контроля.

Рисунок 6. Архитектура KOMRAD SIEM

Актуальная версия системы — 4.5. Она помимо лог-менеджмента имеет возможность менеджмента инцидентов, горизонтального и вертикального масштабирования, а также средства аналитики, визуализации и отчётности.

Особенности:

визуальный конструктор правил;
возможность написания собственной логики нормализации с помощью регулярных выражений для подключения любых источников событий и приведения их событий к единому виду;
встроенные графические панели с возможностью кастомизации;
работа на широком спектре отечественных ОС: Astra Linux SE, РЭД ОС, Альт СП.

SIEM-система KOMRAD внесена в реестр российского ПО (реестровая запись № 239 от 18.03.2016) и имеет сертификат ФСТЭК (№ 3498 от 13.01.2016).

Больше информации о системе KOMRAD можно найти на сайте.

MaxPatrol SIEM

SIEM-система компании «Позитив Текнолоджиз» представлена на отечественном рынке с 2015 года. К моменту подготовки обзора она внедрена в более чем 800 компаниях из разных отраслей.

Система поддерживает порядка 350 источников и более 1300 готовых экспертных правил корреляции «из коробки». Для расширения возможностей обнаружения MaxPatrol SIEM интегрируется с ML-модулем поведенческого анализа MaxPatrol BAD (Behavioral Anomaly Detection), который использует методы машинного обучения для выявления аномалий и скрытых атак, не обнаруживаемых традиционными корреляционными правилами.

Рисунок 7. Взаимодействие компонентов MaxPatrol SIEM

Актуальная версия системы — 27.6. MaxPatrol SIEM позволяет выявлять атаки и инциденты информационной безопасности, обеспечивает централизованный сбор данных об инфраструктуре и отслеживание изменений в режиме реального времени, формируя единую точку мониторинга безопасности даже при высокой нагрузке. Системой обеспечивается поддержка геораспределённых инсталляций и централизованное управление неограниченным числом инстансов из единого интерфейса.

Особенности:

ускоренное расследование инцидента и реагирование из единого окна;
валидация инцидентов ИБ с помощью ML-модуля MaxPatrol BAD;
обнаружение сложных атак с помощью встроенной экспертизы и машинного обучения;
соответствие Федеральным законам № 152-ФЗ, 161-ФЗ, приказам ФСТЭК № 17, 21 и 31, СТО БР ИББС и РС БР ИББС‑2.5—2014, а также международному стандарту PCI DSS.

MaxPatrol SIEM внесена в реестр российского ПО (реестровая запись № 1143 от 14.06.2016) и имеет сертификат ФСТЭК (№ 4980 от 22.09.2025).

Больше информации о MaxPatrol SIEM можно найти на сайте.

NeuroDAT SIEM

Программный комплекс «Система мониторинга информационной безопасности NeuroDAT SIEM» разработан компанией «Центр безопасности информации» и уже в 2018 году внесён в реестр российского ПО под № 4283.

В состав продукта входит полнофункциональный модуль NeuroDAT SIEM Incident Management, позволяющий организовать работу групп реагирования на инциденты ИБ, гибко настраивать регламенты и процесс реагирования, а также подготавливать данные для передачи в НКЦКИ.

Рисунок 8. Архитектура NeuroDAT SIEM

Источниками событий безопасности для NeuroDAT SIEM могут выступать различные средства защиты информации, бизнес-приложения, сетевые устройства и другие. Также для получения информации от пользовательских АРМ и серверов может устанавливаться агент мониторинга NeuroDAT.

Особенности:

модуль NeuroDAT SIEM Incident Management;
поддержка иерархической схемы развёртывания с несколькими подчинёнными центрами мониторинга;
наличие агентов мониторинга;
передача информации об инцидентах в специализированное средство обмена данными с НКЦКИ.

NeuroDAT SIEM внесена в реестр российского ПО (реестровая запись № 4283 от 29.03.2018) и имеет сертификат ФСТЭК (№ 4375 от 19.02.2021).

Больше информации о NeuroDAT SIEM можно найти на сайте.

R-Vision SIEM

R-Vision SIEM от компании «Р-Вижн» подходит для компаний любого масштаба и сложных геораспределённых инфраструктур. Продукт поддерживает работу в мультитенантном режиме и имеет возможность установки специальных сателлитов на удалённых площадках. Они реализуют сбор и обработку данных в изолированных сегментах с возможностью их локальной корреляции и хранения. Настройка и сопровождение всей конфигурации происходит из единого окна.

Система «из коробки» поддерживает порядка 200 источников, более 750 правил корреляции и обеспечивает покрытие более 70 % матрицы MITRE ATT&CK. Обновление пакетов экспертизы происходит каждые две недели и сопровождается рекомендациями по анализу, локализации и устранению выявленных инцидентов.

Рисунок 9. Архитектура R-Vision SIEM

Актуальная версия системы — 2.7. Она поддерживает нагрузку более 500 тыс. EPS, что позволяет обрабатывать огромные объёмы событий в реальном времени. За счёт гибкой архитектуры и широкого перечня инструментов управления журналами событий система даёт возможность выстроить централизованную работу со всеми ИТ- и ИБ-событиями в компаниях разного масштаба и уровня зрелости.

Особенности:

мультиарендность и возможности для распределённого сбора данных с централизованным управлением;
управление архитектурой развёрнутого решения из интерфейса без технологических окон;
настройка и конфигурация системы доступна в режиме «как код»;
высокая степень кастомизации и широкие возможности API.

R‑Vision SIEM внесена в реестр российского ПО (реестровая запись № 21323 от 08.02.2024) и имеет сертификат ФСТЭК (№ 4888 от 10.12.2024).

Больше информации об R-Vision SIEM можно найти на сайте.

RuSIEM

Анонс первой коробочной версии системы RuSIEM, включающей базовую функциональность SIEM-решения, состоялся в 2015 году. С тех пор вендор продолжал развитие продукта, выпустив к февралю 2026 года версию 5.2.0.

Система «из коробки» поддерживает более 400 источников, интеграцию с ГосСОПКА и IoC ФинЦЕРТ, имеет возможность запуска в контейнеризированной среде и поддерживает работу на Astra Linux. Ещё одной особенностью является наличие безлимитной и бессрочной лицензий.

Рисунок 10. Варианты развёртывания RuSIEM

В дополнение к базовой функциональности RuSIEM имеет дополнительные модули: RuSIEM IoC — модуль индикаторов компрометации, и RuSIEM Analytics — модуль для анализа событий, основанный на глубоком обучении (Deep Learning, DL) и машинном обучении (Machine Learning, ML).

Особенности:

модуль на основе машинного обучения RuSIEM Analytics;
конструктор правил;
микросервисная архитектура;
открытый API.

RuSIEM внесена в реестр российского ПО (реестровая запись № 20365 от 14.12.2023) и имеет сертификат ФСТЭК (№ 4969 от 26.08.2025).

Больше информации о RuSIEM можно найти на сайте.

Security Capsule SIEM

Security Capsule SIEM (SC SIEM) ведёт свою историю с 2009 года. Продукт поставляется как в формате программного обеспечения с поддержкой отечественных ОС, так и в формате программно-аппаратного комплекса.

Система «из коробки» поддерживает более 500 источников и 2100 правил корреляции, покрывающих ключевые сценарии атак и требования регуляторов. SC SIEM сертифицирован ФСТЭК России для использования в государственных информационных системах (ГИС), информационных системах персональных данных (ИСПДн), а также на значимых объектах критической информационной инфраструктуры (ЗОКИИ).

Рисунок 11. Дашборд Security Capsule SIEM

Вендор SC SIEM предлагает прозрачные варианты лицензирования: бессрочные лицензии (All‑in‑one или On‑prem), подписку на 12 или 24 месяца и MSSP. Внедрение системы производится специалистами вендора бесплатно. Также перед внедрением и после него проводится бесплатный экспресс‑пентест инфраструктуры с целью демонстрации и подтверждения эффективности системы.

Особенности:

наличие ИИ‑ассистента;
модуль обогащения инцидентов (CRATU ThreatLens);
поддержка собственного исследовательско‑аналитического центра CRATU;
отслеживание техник по матрице MITRE ATT&CK.

Security Capsule SIEM внесена в реестр российского ПО (реестровая запись № 1139 от 14.06.2016) и имеет сертификат ФСТЭК (№ 4735 от 01.11.2023).

Больше информации о Security Capsule SIEM можно найти на сайте.

Security Vision SIEM

Security Vision SIEM компании «Интеллектуальная безопасность» базируется на единой No‑Code-платформе Security Vision 5, что упрощает масштабирование и кастомизацию, а также даёт возможности по расширению сценариев реагирования, в том числе за счёт бесшовной интеграции с другими продуктами линейки Security Vision.

Система «из коробки» имеет более 1000 правил корреляции и единый интерфейс для получения специалистами полной картины: карточки, списки, интерактивные виджеты, дашборды, графы связей и другие компоненты конструктора аналитики для изучения, применения гипотез и формирования отчётности. Для взаимодействия с ИТ- и ИБ-инфраструктурой компании реализовано более 150 интеграций.

Рисунок 12. Дашборд Security Vision SIEM

В составе Security Vision SIEM доступен полнофункциональный модуль управления активами. Он обеспечивает сканирование, идентификацию и инвентаризацию хостов и сервисов, управление группами активов и их категорирование по критичности и ролям. В рамках продукта выстраивается полноценная ресурсно-сервисная модель.

Особенности:

полнофункциональный модуль управления активами;
покрытие 73 % MITRE ATT&CK;
возможность реагирования на инциденты;
ML‑модели для работы с инцидентами.

Security Vision SIEM внесена в реестр российского ПО (реестровая запись № 364 от 08.04.2016), имеет сертификат ФСТЭК (№ 4964 от 19.08.2025) и сертификат соответствия МО РФ (№ 7564 от 28.08.2025).

Больше информации о Security Vision SIEM можно найти на сайте.

Smart Monitor SIEM

Smart Monitor SIEM является разработкой компании «ВолгаБлоб» и по умолчанию имеет в составе более 3000 правил корреляции и 150 готовых коннекторов для ИТ- и ИБ-систем.

Система имеет функциональную возможность автоматизации таких действий, как назначение ответственного, отправка информации в другую систему или выбор способа реагирования. Для отправки оповещений есть возможность использования почты, мессенджеров и СМС.

Рисунок 13. Архитектура Smart Monitor SIEM

Smart Monitor SIEM имеет сертификат ФСТЭК и включена в реестр отечественного ПО. Для прохождения аудитов в системе есть встроенные отчёты для проверки соответствия требованиям (комплаенса), а также автоматизированная подготовка данных для соответствия отраслевым регуляторам.

Особенности:

технология поиска Search Anywhere;
менеджер инцидентов;
автоматизация рутинных действий;
возможность настройки drilldown при расследовании.

Smart Monitor SIEM внесена в реестр российского ПО (реестровая запись № 10541 от 17.05.2021) и имеет сертификат ФСТЭК (№ 4932 от 28.04.2025).

Больше информации о Smart Monitor SIEM можно найти на сайте.

Solar SIEM

Solar SIEM — новый игрок на рынке этого класса продуктов, появившийся там в IV квартале 2025 года. В едином комплексе объединены SIEM и SOAR, что обеспечивает централизованный сбор и обработку событий ИБ в режиме реального времени, интеллектуальное выявление угроз и автоматизацию процессов реагирования на инциденты ИБ.

В системе реализован AI-агент, задачей которого является помощь в создании правил корреляции, аналитических запросов и сценариев автоматизированного реагирования. Также он содействует при работе с инцидентами: подсказывает, какие запросы и почему нужно выполнить, формирует план расследования, может рассказать, как работает правило корреляции, а также расписать используемые тактики и техники MITRE ATT&CK.

Рисунок 14. Архитектура Solar SIEM

Solar SIEM поддерживает Kubernetes, что позволяет выбрать оптимальное решение для развёртывания аппаратного обеспечения: облачные платформы (Sber, Yandex, VK) или собственные мощности.

Особенности:

полный цикл работы с инцидентом через объединение функций SIEM и SOAR — сбор, обработка событий и реагирование из одного окна;
автоматизация до 90 % рутины на анализ и реагирование на инциденты: плейбуки, сбор данных и реагирование;
интеграция единой платформы, что снижает сложность проектов и ускоряет путь внедрения в 2 раза;
встроенный AI-ассистент: сбор контекста, работа с инцидентами и формирование картины атаки.

Solar SIEM (под названием «Программный комплекс автоматизации ситуационного центра информационной безопасности "Эгида"») внесена в реестр российского ПО (реестровая запись № 21682 от 07.03.2024).

Больше информации о Solar SIEM можно найти на сайте.

UserGate SIEM

UserGate SIEM представляет собой продукт, предназначенный для выявления инцидентов ИБ и сочетающий в себе функциональные возможности IRP, SOAR и TI. Формат поставки системы — виртуальная машина или программно-аппаратный комплекс.

Для следования актуальным угрозам и обновления правил корреляции вендор обладает собственной экспертизой от команды uFactor. Заявленное время на первый запуск UserGate SIEM составляет 15 минут. Для создания правил используется простой язык, не требующий специфических знаний сотрудников ИБ.

Рисунок 15. Сценарии использования UserGate SIEM

UserGate SIEM входит в экосистему UserGate SUMMA, включающую в себя виртуальные платформы и программно-аппаратные комплексы на базе операционной системы UGOS и обеспечивающую гибкое и целостное управление безопасностью сетей.

Особенности:

экосистемность с другими продуктами вендора;
собственная экспертиза;
сочетание технологий IRP, SOAR, TI;
собственная операционная система UGOS.

UserGate SIEM внесена в реестр российского ПО (реестровая запись № 25528 от 20.12.2024).

Больше информации о UserGate SIEM можно найти на сайте.

«Пангео Радар SIEM»

«Платформа Радар» решает задачи управления инцидентами, работы с событиями и управления информационными активами. Система имеет интеграцию с ЛК ГосСОПКА для передачи инцидентов и отслеживания статуса обращения.

«Платформа Радар» включает поддержку более 150 типов источников событий и более 800 правил корреляции. Система имеет производительность от 100 до 500 тыс. EPS на одной инсталляции, а также гибкие возможности кластеризации и масштабирования. Установка занимает всего 20 минут.

Рисунок 16. Архитектура «Пангео Радар SIEM»

Система имеет открытое API и набор готовых интеграций со сторонними системами: сканеры уязвимостей, TI-системы, Active Directory и EDR-системы. «Пангео Радар SIEM» имеет сертификат ФСТЭК (№ 4210 от 05.02.2020, уровень доверия 4), находится в едином реестре отечественного ПО (реестровая запись № 4791 от 26.11.2018) и поддерживает установку на Astra Linux. Лицензирование системы производится по среднему входящему потоку событий (EPS), лицензия является бессрочной.

Особенности:

мультиарендность (подходит для MSSP-провайдеров);
интеграция с ГосСОПКА, ФинЦЕРТ;
открытое API и NoCode-интеграции со сторонними системами;
дополнительные функциональные возможности (VM, IRP, Compliance).

Больше информации о «Пангео Радар SIEM» можно найти на сайте.

«САВРУС SIEM»

«САВРУС SIEM» предназначен для мониторинга информационных процессов в организации, анализа и реагирования на критические события, а также для оказания помощи при расследовании инцидентов.

Система обрабатывает события с любого типа источников и поддерживает различные типы правил корреляции. Для миграции с других SIEM она предоставляет возможность автоматического импорта правил. Безопасность «САВРУС SIEM» обеспечивается разграничением прав доступа и реализованной ролевой моделью.

Рисунок 17. Архитектура «САВРУС SIEM»

«САВРУС SIEM» имеет возможность интеграции с другими SIEM за счёт использования открытой архитектуры, стандартных форматов обмена данными и собственного API.

Особенности:

инструмент для миграции с других SIEM;
сжатие хранимых данных до 70 раз;
обеспечение распределённой и отказоустойчивой архитектуры;
открытая архитектура и API.

«САВРУС SIEM» внесена в реестр российского ПО (реестровая запись № 6740 от 09.06.2020) и имеет сертификат ФСТЭК (№ 4942 от 11.06.2025).

Больше информации о «САВРУС SIEM» можно найти на сайте.

«СёрчИнформ SIEM»

«СёрчИнформ SIEM» предполагает небольшие трудозатраты на внедрение. Производитель заявляет возможность интеграции системы за срок от 6 часов до 8 дней силами команды «СёрчИнформ» и ИТ-службы заказчика без привлечения сотрудников других отделов.

«СёрчИнформ SIEM» «из коробки» поддерживает около 30 коннекторов и содержит более 300 правил корреляции. Система предназначена для предприятий разных отраслей и разного масштаба — от малого и среднего бизнеса до Enterprise.

Рисунок 18. Архитектура «СёрчИнформ SIEM»

Лицензирование системы осуществляется по узлам, с которых происходит сбор данных. В качестве узла выступает однозначно идентифицированный по имени хоста или IP‑адресу любой сетевой актив.

Особенности:

графический конструктор правил корреляции;
интеграция с ГосСОПКА и SOAR;
сканер сети;
невысокие программно-аппаратные требования.

«СёрчИнформ SIEM» внесена в реестр российского ПО (реестровая запись № 4711 от 19.09.2018) и имеет сертификат ФСТЭК (№ 4424 от 28.06.2021).

Больше информации о «СёрчИнформ SIEM» можно найти на сайте.

Выводы

Рынок SIEM-систем развивается достаточно динамично, что подтверждается увеличением количества игроков по сравнению с 2024 годом более чем на 30 %. Вендоры активно следуют тренду внедрения технологий искусственного интеллекта, автоматизации рутинных действий и встраивания SIEM в свои экосистемы.

Часть производителей внедряет инструменты для перехода с других SIEM, а также снижает порог входа специалистов в продукты за счёт использования конструкторов правил и максимально простых UX/UI-интерфейсов.

Полезные ссылки:

Новые подходы к созданию экосистемы кибербезопасности промышленного предприятия

Синергия Kaspersky CyberTrace и KUMA: что даёт такая связка?

Актуальные вопросы сетевой безопасности технологических сетей АСУ ТП