...
Для сравнения российских систем класса «управление информацией и событиями ИБ» (Security Information and Event Management, SIEM) мы сформулировали около 250 критериев. В первой части сравнения представлены Ankey SIEM NG, KOMRAD Enterprise SIEM, KUMA, MaxPatrol SIEM, RuSIEM и Security Vision SIEM.
- 1. Введение
- 2. Что такое системы мониторинга ИБ (Security Information and Event Management)
- 3. Место SIEM на рынке ИБ и в системах защиты организаций
- 4. Методология сравнения российских SIEM-систем
- 5. Сравнение российских систем класса SIEM, часть I
- 6. Выводы
Введение
Программные системы класса Security Information and Event Management (SIEM) можно без большого преувеличения назвать одним из краеугольных камней российского рынка информационной безопасности. Исследование, проведённое Positive Technologies и аналитиками TAdviser, показало: ещё 2 года назад 97 из 100 опрошенных российских организаций пользовались какой-нибудь SIEM-системой. Это свидетельствует об интенсивной и энергичной конкуренции между вендорами: на новых клиентов в таких условиях рассчитывать трудно, приходится соревноваться за благосклонность уже имеющихся.
При этом, как отмечают в компании «Стахановец», SIEM-система — это дорогостоящий программный комплекс, проект по внедрению которого может занять несколько лет. В этом контексте важно чётко знать собственные потребности, а также учитывать особенности различных продуктов и решений, доступных на рынке. Отметим особо: по мнению экспертов, которые участвовали в эфире телепроекта AM Live «Российские SIEM 2025: выбор и внедрение», сейчас для заказчика важны не столько технические детали, сколько экспертиза вендора, доступная через его продукт. Такие нюансы не всегда представлены в даташитах (от англ. datasheet — «таблица данных», «технический паспорт»).
Команда Anti-Malware.ru взяла на себя трудоёмкую задачу по сбору и обобщению информации, которая может быть полезна при выборе SIEM-системы. Мы представляем результат нашей работы в этом сравнении, публикуемом в нескольких частях.
Что такое системы мониторинга ИБ (Security Information and Event Management)
Система класса SIEM — это в первую очередь механизм мониторинга. Она собирает данные из различных источников в инфраструктуре, сводит их воедино, после чего даёт возможность анализировать происходящее и обнаруживать в разрозненных сигналах признаки нарушений информационной безопасности. То, что при рассмотрении одиночного уведомления или единственной записи в журнале выглядит как случайность, в сочетании с другими событиями становится одним из элементов мозаики, ключом к выявлению инцидента или атаки.
Однако современная SIEM-система — это не только массив логов и правила корреляции. Вендоры обогащают функциональность своих продуктов и решений за счёт машинного обучения и технологий искусственного интеллекта, обеспечивают возможность анализа данных с учётом контекста, ищут возможности для автоматизированного реагирования на выявленные инциденты. В эфире AM Live о SIEM нового поколения прозвучала ёмкая мысль: современное требование к SIEM — не обработать логи, а обнаружить и остановить злоумышленника.
Стоит сказать и о том, что SIEM-система — средство обеспечения комплаенса, выполнения нормативных требований. В России этому уделяется особое внимание, однако и за рубежом этот аспект внедрения ИБ-мониторинга считается значимым.
В частности, многие правовые акты и стандарты предписывают осуществлять аудит происходящего в информационных системах. Приказ ФСТЭК России № 117, утверждающий требования по защите информации в ГИС и других ИС государственных организаций, недвусмысленно требует осуществлять мониторинг ИБ, а также непрерывно взаимодействовать с системой ГосСОПКА, что тоже можно реализовать посредством SIEM.
Если говорить об устройстве SIEM-системы, то можно выделить в ней следующие фундаментальные блоки:
- Ядро сбора и агрегации логов и событий. Информация поступает из самых разнообразных источников, начиная от конечных точек и заканчивая облачными сервисами.
- Ядро нормализации и корреляции. События и сигналы приводятся к единообразному представлению, а затем система связывает их между собой, выстраивая целостную картину происходящего.
- Ядро анализа и выдачи уведомлений (алертов). В последнее время именно этот функциональный блок особенно активно обогащается разного рода ИИ-функциями. Автоматика помогает находить аномалии и сообщает операторам о необходимости обратить внимание на что-либо.
- Хранилище данных. Сведения, размещаемые в хранилище, обеспечивают ретроспективный анализ и поиск индикаторов компрометации, полезны при проведении расследований.
Широта возможностей и функций обеспечивает SIEM-системам пристальное внимание со стороны заказчиков. Не случайно этот класс — один из локомотивов рынка ИБ. Однако применять эти возможности надо с умом. SIEM — не тот продукт или решение, которое можно достать из коробки, внедрить и тут же выбросить из головы.
Место SIEM на рынке ИБ и в системах защиты организаций
SIEM — это своего рода нервный узел системы обеспечения ИБ. Система принимает информацию от «органов чувств», обрабатывает её и обеспечивает реакцию. За счёт этого ускоряется детектирование угроз, снижаются риски, а отклик на воздействие вредоносных факторов становится более чётким и адресным. Существующие процессы борьбы с угрозами ускоряются и улучшаются. Иными словами, SIEM играет роль бустера, придавая новое качество прежним возможностям и функциям.
Как следствие, SIEM-системы ассоциируются в первую очередь с деятельностью ситуационных или мониторинговых центров ИБ — Security Operations Center (SOC). Они размещаются в ядре таких центров и дают экспертам и аналитикам широкие возможности по наблюдению за инфраструктурой, выявлению подозрительных событий и аномалий, запуску процедур по принятию контрмер. Последнее обстоятельство, в свою очередь, приводит к сближению с системами оркестровки и автоматизации — Security Orchestration, Automation and Response (SOAR). На рынке ИБ наблюдаются, среди прочего, тенденции к сращиванию этих двух классов.
Как правило, говорят об использовании SIEM в собственном центре мониторинга, однако наиболее широкофункциональные и производительные системы становятся основой функционирования коммерческих SOC — центров, которые оказывают услуги по обнаружению угроз и инцидентов другим организациям. В таких сценариях требования к SIEM-системе растут, поскольку цена ошибки или отказа ощутимо выше.
Роль и назначение SIEM естественным образом, как бы сами собой, приводят к тому, что система начинает занимать в процессах обеспечения ИБ центральное положение. Она не только выступает получателем данных, но и связывает между собой прочие средства защиты, может передавать в них информацию, помогающую им работать эффективнее. С SIEM могут взаимодействовать программные комплексы таких классов, как «управление уязвимостями» (Vulnerability Management, VM), «предотвращение утечек» (Data Leak Prevention, DLP), «обнаружение и реагирование на конечных точках» (Endpoint Detection and Response / Extended Detection and Response, EDR / XDR) и др.
Впрочем, следует помнить, что SIEM-система не работает сама собой. Её внедрение и эксплуатация требуют решения ряда важных задач:
- Расставить приоритеты в отношении сбора данных. Не следует собирать всё подряд, это только породит бессмысленную избыточность. Надо понять, какие источники наиболее важны и информативны.
- Обучить людей или найти квалифицированные кадры. SIEM — это не антивирус и не файрвол, у неё весьма высокие требования к умениям и навыкам персонала, который будет её эксплуатировать. Иначе можно столкнуться с ситуацией, когда люди просто не видят угрозу, хотя все нужные для этого сведения у них вроде бы есть.
- SIEM-система нуждается в постоянной тонкой настройке. Нужно будет регулярно заниматься «тюнингом», чтобы уменьшать количество лишней информации, отсеивать ложные срабатывания и снижать усталость от бесконечных алертов.
Поэтому, в частности, многие заказчики не берутся самостоятельно развёртывать и эксплуатировать SIEM (а тем более — строить SOC) и привлекают для этих целей внешние компетенции. Вендоры, в свою очередь, обеспечивают поддержку мультиарендности и возможность использования своих SIEM-систем по модели управляемых услуг информационной безопасности (Managed Security Service Provider, MSSP).
Из того, что мы сказали выше, уже можно вывести довольно много критериев для сравнения SIEM-систем между собой. Посмотрим теперь на полный спектр характеристик и на способы их формализации.
Методология сравнения российских SIEM-систем
К участию в сравнении были приглашены те вендоры, чьи продукты и решения, по нашей оценке, занимают заметное место на российском рынке ИБ, характеризуются существенным количеством внедрений, представлены в различных рейтингах, обзорах рынков и т. д. Сравнение опиралось на метод анкетирования; в общей сложности было получено 11 анкет.
Для сравнения был разработан набор из 247 критериев, разбитый на 8 тематических блоков. Дадим им краткую характеристику.
Блок № 1 — «Общие сведения». Здесь собрана информация, которая характеризует продукт в целом: компания-разработчик, версия системы, сертификаты и комплаенс, внедрения, целевые сегменты на рынке и т. д.
Блок № 2 — «Системная архитектура». Рассматриваются варианты исполнения и поставки программного комплекса, возможности по хранению данных, характеристики по части производительности и масштабирования, меры по обеспечению отказоустойчивости. Отдельное внимание уделено защите системы: важно, чтобы SIEM сама не стала точкой компрометации.
Блок № 3 — «Интеграция». С этой точки зрения SIEM-системы характеризуются двумя основными особенностями. С одной стороны, это подключение источников событий: откуда поступает информация для накопления и обработки. С другой стороны, это обогащение имеющихся сведений дополнительными данными из внешних систем — таких, например, как потоки данных (фиды) киберразведки.
Блок № 4 — «Основная функциональность». Во-первых, рассматриваются функции и возможности по управлению событиями и данными. Во-вторых, есть группа критериев, которые характеризуют управление активами, имеющимися в инфраструктуре. В-третьих, описываются и сравниваются механизмы управления инцидентами. Кроме того, в блоке представлены функции визуализации и отчётности, доступные в российских SIEM-системах.
Блок № 5 — «Эксплуатация системы». В этом блоке мы даём характеристику сравниваемых продуктов и решений с точки зрения повседневной работы с ними. В процессе эксплуатации важно не только то, что доступно «из коробки»: большое значение имеют возможности кастомизации, а также инструменты для выполнения операций в автоматизированном режиме, когда система помогает людям избавиться от рутины или обеспечить быстрый отклик на инцидент.
Блок № 6 — «Техническая поддержка и обучение». Здесь описываются режимы работы технической поддержки, различные дополнительные условия, каналы связи и т. д. Мы также указываем, есть ли у вендора курсы для администраторов, аналитиков и других специалистов.
Блок № 7 — «Лицензирование». Эта группа критериев охватывает разнообразные факторы и условия, определяющие стоимость SIEM-системы. Показано, в частности, какова минимальная поставка в каждом случае, что является объектами лицензирования, как оплачивается расширение параметров лицензии, какие дополнительные модули можно докупить и т. д.
Блок № 8 — «Прочие особенности». В этом блоке содержится небольшая группа разнородных критериев, которые не имеют прямого отношения к функциональности SIEM, однако могут быть интересны заказчикам по той или иной причине.
С целью повысить репрезентативность сравнения было принято решение представить его в нескольких частях. В первую часть включены SIEM-системы Ankey SIEM NG («Газинформсервис»), KOMRAD Enterprise SIEM (ГК «Эшелон»), KUMA («Лаборатория Касперского»), MaxPatrol SIEM (Positive Technologies), RuSIEM от одноимённой компании и SIEM на платформе Security Vision («Интеллектуальная безопасность»).
Сравнение российских систем класса SIEM, часть I
Общие сведения
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Компания-вендор | ООО «Газинформсервис» | Группа компаний «Эшелон» (АО «Эшелон Технологии») |
Kaspersky (АО «Лаборатория Касперского») |
Positive Technologies (АО «Позитив Текнолоджиз») |
RuSIEM (ООО «РуСИЕМ») |
Security Vision (ООО «Интеллектуальная безопасность») |
| Штаб-квартира | Россия, Санкт-Петербург | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Москва |
| Веб-сайт | gaz-is.ru | etecs.ru | kaspersky.ru | ptsecurity.com | rusiem.com | securityvision.ru |
| Сравниваемые версии | 5.2 | 4.5 | 4.2 | 27.6 | 5.1.12 | 5.х |
| Целевой сегмент | Государственный сектор, энтерпрайз, крупный бизнес, коммерческие SOC | Государственный сектор и СМБ | Крупный и средний бизнес | Государственный сектор, энтерпрайз, крупный бизнес, коммерческие SOC | Государственные организации, энтерпрайз, средний и малый бизнес | Государственный сектор и коммерческие организации, включая B2B и B2G |
| Сертификаты ФСТЭК и ФСБ России | Сертификат ФСТЭК России № 4360 | Сертификат ФСТЭК Росcии № 3498 | Сертификат ФСТЭК России № 4455 | Сертификат ФСТЭК России № 4980 | Сертификат ФСТЭК России № 4969 | Сертификат ФСТЭК России № 4964 Заключение 8-го Центра ФСБ России 149/3/6/908 от 01.10.2024 Сертификат соответствия № 7564 от 28.08.2025 по 2 уровню доверия Министерства обороны Российской Федерации |
| ПО в реестре Минцифры | Запись № 6095 от 13.01.2020 | Запись № 239 от 18.03.2016 | Запись № 9128 от 16.02.2021 | Запись № 1143 от 14.06.2016 | Запись № 3808 от 16.08.2017 Запись № 20365 от 14.12.2023 |
Запись № 364 от 08.04.2016 |
| Обзор на Anti-Malware.ru | Отсутствует | Обзор KOMRAD Enterprise SIEM 4 | Обзор SIEM-системы KUMA 1.5 | Обзор MaxPatrol SIEM 8.0 | Обзор RuSIEM 3.3 | Отсутствует |
| Комплаенс (соответствие каким требованиям позволяет обеспечить) | Федеральные законы № 187-ФЗ и 152-ФЗ Указ Президента РФ № 250 Приказы ФСТЭК России № 17, 21, 31 / 32, 239 PCI DSS ISO 27001 и NIST CSF |
Приказы ФСТЭК России № 17, 21, 31, 239 ГОСТ Р 57580.1-2017 |
Федеральные законы № 152-ФЗ, 161-ФЗ, 187-ФЗ Приказы ФСТЭК России № 17, 21, 31, 239, 117 ГОСТ Р 57580 СТО БР ИББС PCI DSS |
Федеральные законы № 152-ФЗ, 161-ФЗ, 187-ФЗ Указ Президента РФ № 250 Приказы ФСТЭК России № 21, 31, 117, 239 ГОСТ Р 57580.1-2017 ГОСТ Р 57580.2-2018 ГОСТ Р ИСО/МЭК 27002-2021 СТО БР ИББС 1.3-2016 и 2.5-2014 PCI DSS |
Федеральные законы № 152-ФЗ, 161-ФЗ, 187-ФЗ Приказы ФСТЭК России № 17, 21, 31, 239 Приказ ФСБ России № 282 от 19.06.2019 СТО БР ИББС и РС БР ИББС-2.5-2014 ГОСТ-Р 57580-1 и ГОСТ-Р 57580-2 PCI DSS |
Федеральные законы № 152-ФЗ и 161-ФЗ Приказы ФСТЭК России № 17, 21 и 31 СТО БР ИББС и РС БР ИББС-2.5—2014 PCI DSS и др. нормативно-методические документы, требующие реализовать процесс мониторинга и регистрации событий ИБ, а также процесс реагирования на инциденты |
| Интеграция с ГосСОПКА | Да (в случае интеграции с системой по автоматизации процессов обеспечения безопасности (САОБ)) |
Да (вшитый бесплатный модуль) |
Да (отдельная лицензия) |
Да (с использованием модуля для взаимодействия с ГосСОПКА) |
Да (вшитый бесплатный модуль) |
Да (модуль взаимодействия с НКЦКИ позволяет осуществлять оперативный двусторонний обмен информацией: уведомление об инцидентах ИБ, получение сообщений о подозрениях на инцидент с участием подконтрольных ресурсов организации и получение оперативных бюллетеней об угрозах и уязвимостях от регулятора. Модуль взаимодействия разработан с учётом регламентов НКЦКИ и интегрирован с системой управления инцидентами) |
| Использование сторонних компонентов с открытым исходным кодом | Используются | Используются (ClickHouse) |
Используются (ClickHouse) |
Используются | Используются (Elasticsearch, ClickHouse, PostgreSQL) |
Используются |
| Функциональное ядро продукта | Сторонняя разработка (MaxPatrol 10) |
Собственная разработка | Собственная разработка | Собственная разработка | Собственная разработка | Собственная разработка |
| Крупнейшее из известных внедрений (по количеству EPS и подключённых источников) | ДО ПАО «Газпром» (до 100 000 EPS) |
Федеральный проект на 600 точек сбора по всей территории России. Заказчик не разглашается | Альфа-Банк, МТС, Россельхозбанк, ФосАгро и др. | Почта России Тандер Экспобанк МТС Банк |
Перечень публичных проектов доступен на сайте | Перечень публичных проектов доступен на сайте |
| Общее количество внедрений | 80+ | 360+ | 500+ | 1000+ | 1500+ | 500+ |
| Секторы экономики, в которых выполнены внедрения | Нефтегазовая промышленность | Медицинские и фармацевтические организации, IT-компании, обслуживающие государственные учреждения, авиастроение и обеспечение безопасности и регулярности полетов воздушных судов, промышленные предприятия, ИБ- / ИТ-интеграторы, коммерческие организации, университеты и т.д. | Заявлены внедрения во всех ключевых секторах | Государство, энтерпрайз, ретейл, банковская сфера, промышленность, телеком, транспорт, электроника, энергетика, электронная коммерция | Промышленность, ретейл, электронная коммерция, телеком, здравоохранение, транспорт | Заявлены внедрения во всех ключевых секторах (государственный сектор, финансовая отрасль, страхование, нефтегазовая промышленность, ретейл, ТЭК, электронная коммерция и др.) |
Системная архитектура
Варианты исполнения и поставки
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Варианты инсталляции | Всё в одном, распределённая, геораспределённый кластер, отказоустойчивый кластер | Всё в одном, распределённая | Всё в одном, распределённая, отказоустойчивый кластер | Всё в одном, распределённая, геораспределённый кластер, отказоустойчивый кластер | Всё в одном, распределённая | Всё в одном, распределённая, отказоустойчивый кластер |
| Микросервисная архитектура | Да (Docker, Docker-compose) |
Да | Да | Да | Да | Да (за счёт микросервисной архитектуры отдельные элементы платформы могут быть размещены на отдельных серверах и виртуальных машинах) |
| Наличие версии для локальной установки (on-premise) | Да | Да | Да | Да | Да | Да (система может функционировать локально, в т. ч. в полностью изолированном сегменте) |
| Наличие облачной версии (SaaS) | Да (как внешний сервис) |
Частично (SaaS нет; есть возможность инсталляции в облаке) |
Да (через партнёров, отдельное облачное решение планируется в 2026 г.) |
Да | Да (через партнёрскую сеть) |
Частично (есть возможность инсталляции в облаке, см. также пункт о MSSP) |
| Поддержка MSSP | Да | Да (на стороне интеграторов) |
Да | Да | Да | Да (есть внедрения во многих известных коммерческих SOC, имеется возможность наращивать функциональность на базе технической инфраструктуры и экспертизы партнёров) |
| Поддержка мультиарендности (мультитенантности) | Да (как отдельные инстансы; в 2026 году появится вариативность мультитенантности) |
Нет (появится в 2026 г.) |
Да | Да (как отдельные инстансы; в 2026 году появится вариативность мультитенантности) |
Да | Да |
| Возможность распространения шаблонов ресурсов (правил корреляции, фильтров, настроек) по тенантам | Да (в части правил экспертизы с использованием СМС) |
Нет (появится в 2026 г.) |
Да | Да | Да | Да (без ограничений) |
| Наличие сформированных образов для платформ виртуализации | Отдельных образов не предполагается, образ универсален для поддерживаемых платформ | Да (под запрос) |
Нет | Отдельных образов не предполагается, образ универсален для поддерживаемых платформ | Да (по запросу) |
Да |
| Поддерживаемые гипервизоры (для инсталляции) | VMware vSphere версии 11 и выше, гипервизор VMware ESXi версии 6.0 и выше zVirt версии 4.2 и выше «Альт Виртуализация» (редакция PVE) версии 10.4 и выше «Базис.DynamiX» версии 4.3.0 и выше |
Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | VMware vSphere версии 11 и выше VMware ESXi версии 6.0 и выше zVirt версии 4.2 и выше «Альт Виртуализация» (редакция PVE) версии 10.4 и выше «Базис.DynamiX» версии 4.3.0 и выше |
Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже |
| Поддерживаемые ОС (для инсталляции) | Astra Linux Special Edition 1.7.5, 1.7.6 и 1.7.7 (на базе ядра Linux версии 5.15 и выше) Debian 10.3 и выше, Debian 11 и 12 (на базе ядра Linux версии 5.10 и выше) |
Astra Linux Альт СП РЕД ОС ОСОН «ОСнова» Атлант Ubuntu |
Oracle Linux Astra Linux Ubuntu РЕД ОС МосОС |
Astra Linux Special Edition 1.7.5, 1.7.6 и 1.7.7 Debian 11 и 12 |
Ubuntu 22.04 Astra Linux SE 1.8 Debian 12 РЕД ОС 8 |
CentOS Stream 8 и выше Red Hat Ent. Linux 8 и выше Ubuntu 20.04 и выше Debian 11 и выше Astra Linux SE (Special Edition) релиз «Смоленск», «Орел», «Воронеж» Альт 8 СП Альт Сервер 10 и выше Oracle Linux 8 и выше РЕД ОС актуальной версии РОСА «ХРОМ», «КОБАЛЬТ» Alma Linux 9 AlterOS 7.5 |
| Возможность работы в системах оркестровки контейнеризированных приложений | Частично (для некоторых сервисов) |
Нет | Да (ядро в отказоустойчивом исполнении) |
Частично (для некоторых сервисов) |
Нет | Да |
| Возможность автообновления отдельных компонентов системы (например, парсеров событий или ядра корреляции) | Да (база данных уязвимостей) |
Нет | Да | Да | Да | Да (в продукте предусмотрена возможность автоматической загрузки такого контента, как табличные списки и правила корреляции) |
| Обновление без остановок / простоев системы («горячее») | Да (с учётом использования кластерной конфигурации) |
Нет | Да | Да (кластерная конфигурация, обновление покомпонентно, перебалансировка между конвейерами) |
Да | Частично (необходим кратковременный перезапуск сервисов) |
Хранение данных и передача событий
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Основная СУБД | Elasticsearch; LogSpace | ClickHouse | ClickHouse | Elasticsearch / LogSpace | Elasticsearch, ClickHouse | Основная СУБД выбирается в зависимости от операционной системы и желания использовать коммерческий аналог. В общем случае: PostgreSQL (по умолчанию, бесплатно), Postgres Pro, Jatoba, Microsoft SQL. Для решения дополнительных задач (опционально) применяются дополнительные бесплатные СУБД, которые также входят в поставку: Elasticsearch – для хранения событий, ClickHouse – для аналитических запросов в реальном времени |
| Возможность хранения данных на внешних носителях (NAS / SAN) | Да (архивные данные) |
Да | Да | Да (архивные данные) |
Да | Да |
| Автоматическое архивирование данных (по триггеру, по времени), в т. ч. на внешние хранилища | Да | Да | Да | Да | Да | Да |
| Поддержка нескольких хранилищ событий | Да | Да | Да | Да | Да | Да |
| Возможность настройки глубины хранения событий | Да | Да | Да | Да | Да | Да |
| Возможность гибкой настройки хранения для различных событий | Да (при использовании конвейеров с разными политиками ротации данных) |
Нет | Да | Да (при использовании конвейеров с разными политиками ротации данных) |
Да | Да |
| Возможность хранения «сырых» событий | Да | Да | Да | Да | Да | Да |
| Потребление трафика при передаче событий от сборщиков до центра системы (для распределённых систем) | 1-5 Мбит/с на 1000 EPS (зависит от размеров и типов событий) | 100 Мбит/с на 10 000 EPS | 3 Мбит/с на 1000 EPS | 1-5 Мбит/с на 1000 EPS (зависит от размеров и типов событий) | 5 Мбит/с на 1000 EPS | Заявлена достаточность любого канала, на уровне коннектора регулируется пропускная способность |
| Ограничение потребления трафика при передаче событий от сборщиков до центра системы (для распределённых систем) | Не предусмотрено, выполняется на активном сетевом оборудовании (QoS) | С помощью системы batch | Сведения отсутствуют либо не предусмотрено | При необходимости выполняется на активном сетевом оборудовании | Настройка расписания передачи событий и установка лимитов на использование канала передачи данных | Настройка в коннекторе максимального размера единовременной отправки |
| Средняя степень сжатия при передаче событий | х7-х8 (зависит от типов событий) |
х10 | х2-х10 | х7-х8 (зависит от типов событий) |
х5 | х6 |
| Средняя степень сжатия при хранении событий | х8-x16 (в зависимости от настроек и потока событий) |
х20 | х4-x16 | х8-x16 (в зависимости от настроек и потока событий) |
x8 | x8 |
Производительность и масштабирование
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Ограничения по количеству обрабатываемых событий в секунду (EPS) | В зависимости от конфигурации: для низконагруженных систем - до 3 000 EPS; для средненагруженных систем - от 3 000 до 10 000 EPS; для высоконагруженных систем - от 10 000 до 30 000 EPS; для сверхнагруженных систем - от 30 000 до 300 000 EPS (достигается путём развёртывания нескольких конвейеров) |
Зависит от ограничений лицензий и аппаратных или виртуальных характеристик серверов | Ограничений не заявлено | До 50 000 на один конвейер, до 500 000 на одну инсталляцию | Не более 90 000 на каждую ноду коррелятора | Подтверждено на внедрениях 100 000 EPS. В целом EPS ограничен только аппаратными ресурсами, система поддерживает горизонтальное масштабирование |
| Минимальное количество серверов для разворачивания системы, обрабатывающей поток 10 000 EPS, и их характеристики | 2 сервера Сервер 1: ЦП - 14 ядер, ОЗУ - 68 ГБ, диск - 1 ТБ (системные данные) Сервер 2: ЦП - 32 ядра, ОЗУ - 96 ГБ, диск - 500 ГБ (системные данные) Хранение (LogSpace): 30 ТБ для хранения в течение полугода |
2 сервера 1. Сервер БД (Postgres + ClickHouse): ЦП - 4 ядра, ОЗУ - 32 ГБ, диск - 20 ТБ (при необходимости хранения сырых событий) 2. Сервер управления: ЦП - 8 ядер, ОЗУ - 32 ГБ, диск - до 1 ТБ SSD |
1 сервер ЦП: 24 vCPU ОЗУ: 48 ГБ Диск: 1 ТБ Объём диска для хранения событий не указан |
2 сервера Сервер 1: ЦП - 14 ядер, ОЗУ - 68 ГБ, диск - 1 ТБ (системные данные) Сервер 2: ЦП - 32 ядра, ОЗУ - 96 ГБ, диск - 500 ГБ (системные данные) Хранение (LogSpace): 30 ТБ для хранения в течение полугода |
ЦП: 32 ядра ОЗУ: 192 ГБ Диск: 17,5 ТБ 130 ТБ для хранения в течение полугода |
3 сервера Web: 12 ядер ЦП, 16 ГБ ОЗУ, 200 ГБ SSD Services: 20 ядер ЦП, 32 ГБ ОЗУ, 500 ГБ SSD Database: 16 ядер ЦП, 64 ГБ ОЗУ, 1000 ГБ SSD Хранение событий в течение 180 дней: 18 ТБ SSD |
| Возможность увеличения мощности компонентов системы | Да (поддерживается горизонтальное и вертикальное расширение, также поддерживается возможность увеличения аппаратных характеристик, в том числе расширение хранилища данных) |
Да | Да | Да | Да | Да (есть возможность масштабирования, в т. ч. путем установки отдельных компонентов для взаимодействия с внешними системами в изолированных межсетевым экраном сегментах инфраструктуры, без необходимости установки прямого сетевого соединения с основной базой данных) |
| Возможность развития системы за счёт добавления дополнительных компонентов (горизонтальное масштабирование) | Да | Да | Да | Да | Да | Да (горизонтальная масштабируемость позволяет наращивать производительность до 32 серверов. Также возможно обеспечение горизонтального масштабирования за счёт наращивания числа сервисов коннекторов) |
| «Горячее» расширение | Да | Да | Да | Да | Да | Да |
| Возможность построения иерархических структур отдельных самостоятельных инсталляций (вертикальное масштабирование) | Да | Да | Да | Да | Да | Да (с возможностью построения любой иерархии) |
| Возможность работы в высоконагруженных средах | Да (до 300 000 EPS) |
Да | Да | Да | Да | Да |
| Потоковая обработка событий | Да | Да | Да | Да | Да | Да |
Отказоустойчивость и резервирование
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Возможности по резервированию ядра системы | Возможно резервирование данных, параметров задач, а также событий ИБ, которые хранятся в компоненте Events Storage (хранилище событий). Резервирование ядра поддерживается с применением внешних средств / технологий. Схема резервирования компонентов SIEM - Active-Passive, для БД - Active-Active | Возможно резервирование конфигурационных файлов сервисов и БД | Отказоустойчивость: Kubernetes и RAFT + возможность резервного копирования | Реализация в виде кластера с дублированием устанавливаемых ролей | Ежедневный бэкап | Active-Active, Active-Standby |
| Возможности по резервированию компонентов сбора событий | Реализация в виде кластера с дублированием устанавливаемых ролей | Возможно резервирование конфигурационных файлов сервисов сбора событий | Балансировщики и дублирование коллекторов | Реализация в виде кластера с дублированием устанавливаемых ролей | Резервирование сервера сбора логов | Дублирование компонентов Active-Active, Active-Standby |
| Возможности по резервированию и обеспечению отказоустойчивости БД | Резервирование с помощью сценариев, кластеризация для Elasticsearch, PostgreSQL / Jatoba | Кластеризация БД | Шардирование и репликация (кластеризация БД) | Реализация в виде кластера с дублированием устанавливаемых ролей | Резервирование БД n+1 | Необходимо средство управления репликацией и балансировкой нагрузки для кластера БД PostgreSQL, например, обвязка Patroni + etcd + haproxy + keepalived |
| Возможность временного сохранения событий локально на сборщике, если отсутствует связь с ядром | Да | Да | Да | Да | Да | Да (в этом случае хранение происходит на сервисе коннекторов в формате агента) |
| Резервное копирование конфигурации системы | Да (поддерживается резервное копирование конфигурации компонентов, кроме коллектора) |
Да | Да | Да | Да | Да (используются настройки СУБД, входящих в состав итогового решения) |
| Возможность автоматического восстановления конфигурации из резервной копии | Да (для автоматизации восстановления конфигурации компонентов из резервной копии потребуется запуск встроенных скриптов "./restore.sh" для каждой роли Ankey SIEM NG) |
Нет (планируется в 2026 г.) |
Да | Да | Да | Да (используются настройки СУБД, входящих в состав итогового решения) |
| Возможность восстановления базы данных после сбоев | Да (в ручном режиме) |
Да | Да | Да | Да | Да (используются настройки СУБД, входящих в состав итогового решения) |
| Балансировка нагрузки | Частично (балансировки нагрузки на компоненты нет, однако есть перераспределение ресурсов между компонентами пайплайна обработки событий в зависимости от нагрузки) |
Нет (планируется в 2026 г.) |
Да | Частично (балансировки нагрузки на компоненты нет, однако есть перераспределение ресурсов между компонентами пайплайна обработки событий в зависимости от нагрузки) |
Да | Да (LB, proxy, VIP и т. д.) |
| Кластеризация Active-Active | Да (Elasticsearch) |
Да | Да | Да | Да (n+1) |
Да |
| Кластеризация Active-Passive | Да (Core, RMQ Message Bus, PostgreSQL / Jatoba) |
Да (хранилище, система обработки событий) |
Да | Да (ядро, сервер, коллекторы) |
Да (ядро, хранилище) |
Да (кластеризация может проводиться по каждому из элементов архитектуры в отдельности (веб-портал, сервисы, база данных), комбинацией элементов, по всем элементам) |
| Управление нагрузкой на инфраструктуру | Да (расписание задач, настройка исключений, мониторинг нагрузки) |
Да (в рамках сбора событий) |
Да | Да (расписание задач, настройка исключений, мониторинг нагрузки) |
Да | Да |
| Мониторинг собственного состояния системы | Да | Да | Да | Да | Да | Да (платформа обладает встроенной функциональностью детального мониторинга технического состояния каждого сервера, на котором функционирует один из её компонентов) |
| Сбор и возможность отправки собственных метрик функционирования (состояния) во внешнюю систему мониторинга | Сбор реализуется с использованием стороннего ПО | Syslog (на 2026 г. запланированы существенные улучшения) |
Метрики: VictoriaMetrics, API, установка агентов мониторинга (например, Zabbix) Журнал: Syslog, почта |
Сбор реализуется с использованием стороннего ПО, отправка собственных метрик возможна через настройку конфигурации Victoria Metrics | Syslog | Syslog, почта, мессенджеры |
Защищённость системы
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Ролевая модель для доступа к функциям системы | Да | Да | Да | Да | Да | Да (RBAC + ABAC, контентно-ролевая модель управления доступом ко всем элементам решения) |
| Ролевая модель для доступа к данным | Да | Да | Да | Да | Да | Да (RBAC + ABAC, для каждой используемой роли может быть настроен уникальный набор доступов к данным. Поддерживается шифрование базы данных и отдельных критически важных элементов) |
| Разграничение доступа по атрибутам | RBAC | Нет (планируется в 2026 г.) |
Да | RBAC | Нет | Да |
| Аутентификация с использованием служб каталогов | Да (LDAP - AD / FreeIPA) |
Да | Да (FreeIPA, LDAP, ADFS) |
Да (доступны интеграции по LDAP и SAML 2.0) |
Да | Да (поддерживается технология единого входа (SSO), аутентификация посредством настройки интеграции с серверами (сервисами) TACACS+, RADIUS, LDAP, Keycloak. Также есть возможность использовать локальные учётные записи) |
| Аутентификация с использованием RADIUS | Нет | Нет | Нет | Нет | Нет | Да |
| Двухфакторная аутентификация | Да (с использованием интеграции по LDAP и SAML 2.0) |
Нет (планируется в 2026 г.) |
Да (в рамках работы в SMP / XDR) |
Да (с использованием интеграции по LDAP и SAML 2.0) |
Нет | Да (платформа поддерживает аутентификацию пользователей с использованием клиентского сертификата безопасности для защищенного подключения к целевому серверу) |
| Возможность маскирования отдельных полей хранимых данных | Нет | Да | Нет | Нет | Нет | Да |
| Журналирование действий и изменений, инициированных пользователями | Да | Да | Да | Да | Да | Да |
| Журналирование изменений, инициированных системными компонентами | Да | Да | Да | Да | Да | Да |
| Безопасные протоколы передачи данных между компонентами системы | TLS/SSL. Есть возможность использовать собственный сертификат | TLS/SSL. Есть возможность использовать собственный сертификат | TLS версии 1.2 и 1.3 | TLS/SSL. Есть возможность использовать собственный сертификат | TLS | Со стороны системы нет технических ограничений использования различных алгоритмов шифрования. Стандартные настройки NGINX обеспечивают шифрование (HTTPS), по умолчанию используется библиотека OpenSSL. Шифрование SSH-сессий поддерживает алгоритмы, которые задекларированы в RFC 4251. TLS 1.3, 1.2, шифрование AES 256-Ш |
| Обеспечение и подтверждение безопасности кода и разработки | Соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» | Соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» | Соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования» | Сертификат ФСТЭК России подтверждает наличие практик безопасной разработки (соответствие ГОСТ Р 56939-2024 «Защита информации. Разработка безопасного программного обеспечения. Общие требования») | Статический анализ кода. phpstan, SonarQube, linter | При каждом выпуске релиза проводится анализ статическим (SAST) и динамическим (DAST) анализатором кода. Система имеет заключение ФСБ России, сертификат соответствия ФСТЭК России по 4-му уровню доверия и сертификат соответствия МО России по НДВ-2 |
Интеграция
Подключение источников событий
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Количество поддерживаемых источников событий | Примерно 240 | Ограничений не заявлено | 350+ | 400+ | 500+ | 150+, список пополняется (может быть подключён любой источник, поддерживающий один из общепринятых стандартов передачи логов / данных) |
| Возможность подключения нестандартных источников | Да | Да (за счёт применения коллекторов, а не коннекторов) |
Да | Да | Да | Да |
| Контроль поступления событий от источников | Да | Да | Да | Да | Да | Да |
| Мониторинг метрик работы источников событий | Да | Да (ЦП, ОЗУ, ПЗУ) |
Да | Да | Да | Да |
| Централизованная настройка источников событий средствами системы | Да (настройки в едином веб-интерфейсе) |
Да (по типу источника) |
Да | Да (через MaxPatrol EDR, а также через примеры групповых политик для Windows, роли Ansible для *nix) |
Да | Да |
| Автообнаружение / автораспознавание источников событий (активов, компонентов инфраструктуры и пр.) | Да (соответствие событий активу) |
Да (автоматический парсинг и добавление в рамках активов) |
Да | Да (через сканирование активов) |
Да | Да |
Обогащение данными из других систем, в том числе систем ИБ
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Обмен данными с другим решением класса SIEM / LM | Да (отправка копий событий источников во внешние системы Event Broker) |
Да | Да | Да | Да | Да (с использованием API платформы и API технологических партнёров. Примеры систем: KUMA SIEM, IBM QRadar, MaxPatrol SIEM, RuSIEM, RuSIEM, Splunk, PangeoRadar и др. (в том числе самописные)) |
| Интеграция с IRP / SOAR | Да | Да | Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code) |
| Интеграция со сканерами уязвимостей (VM) | Да (Ankey SIEM NG VM) |
Да | Да | Да | Да | Да (есть как интеграция, так и собственный сканер. Имеется возможность использовать модуль VM, который позволяет консолидировать информацию с имеющихся сканеров анализа защищённости, платформ управления обновлениями и других продуктов сбора и анализа данных для выстраивания процессов обнаружения, приоритизации и устранения технических уязвимостей) |
| Интеграция с EDR / XDR | Да | Да | Да | Да | Да (через API) |
Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code) |
| Интеграция со службами каталогов | Да (Microsoft AD, ALD Pro, FreeIPA) |
Да | Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code. Примеры: Microsoft AD, Astra Linux Directory и Open LDAP и др.) |
| Интеграция с ITSM / CMDB | Да | Нет | Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code. Имеется также собственный продукт CMDB. Примеры интеграций: OTRS, Jira, Naumen SD, Creatio, Redmine, HP Service Manager и др. |
| Интеграция с системами Service Desk | Да | Да | Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code. Имеется также собственный продукт Service Desk) |
| Подключение фидов киберразведки (Threat Intelligence) | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code. Примеры: интеграция «из коробки» с коммерческими (Kaspersky, F6, BI.ZONE, RST Cloud) и open-source (Alien Vault, Feodo Tracker, DigitalSide) фидами. Также есть набор фидов от Security Vision) |
| Подключение репутационных баз (IP-адреса / URL) | Да | Да | Да | Да | Да | Да (за счёт коробочных интеграций, преднастроенных транспортных протоколов и Low-Code / No-Code. Примеры: IPGeolocation.io, KasperskyOpenTip, IPInfo.io, IpGeolocation.io (Whoisxmlapi), Shodan, VirusTotal, MaxMind Geo-IP, HaveiBeenPwned, URLScan.io и др.) |
| Возможность применения с GIT-системами для управления контентом (detection as code) | Да | Нет | Да (не из коробки) |
Да (Detection as code - есть, интеграция с GIT - через плагины для VS Code) |
Нет | Да (на базе встроенного в платформу конструктора коннекторов Low-Code / No-Code коннектор подключается к Git-репозиторию, преобразовывает хранимые там скрипты детектирования в правила корреляции SIEM) |
| Возможность бесшовного взаимодействия с TI, EDR и пр. (экосистемность) | Да (EDR, TI, VM, IRP, NTA / NDR и др.) |
Нет | Да (классы продуктов не указаны) |
Да (EDR, TI, VM, IRP, NTA / NDR и др.) |
Нет (только через API) |
Да (AM, SOAR, VM / SPC / VS, TI, EDR, UEBA, SGRC, взаимодействие с проектными модулями платформы Security Vision) |
| Импорт индикаторов компрометации (IoC) | Да | Да (планируется к улучшению в 2026 г.) |
Да | Да | Да | Да |
| Импорт / экспорт данных с другой инсталляции системы | Да | Да | Да | Да | Да | Да |
| Наличие и вид API | Да (открытый REST API по протоколу HTTPS) |
Да (открытый REST API по протоколу HTTPS) |
Да (REST API) |
Да (открытый REST API по протоколу HTTPS) |
Да (REST API) |
Да (REST API, API платформы и API технологических партнёров) |
Основная функциональность
Управление событиями и данными
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Управление событиями и данными | ||||||
| Агентский сбор событий | Да | Да | Да | Да (при использовании с агентами MaxPatrol EDR) |
Да | Да (при необходимости при помощи коннектора могут применяться и сторонние решения с агентами - например, DLP или AV/EDR) |
| Централизованное управление агентами | Да (установка и изменение настроек с одного места, статус работы и запуск задач через веб) |
Да | Да | Да (при использовании с агентами MaxPatrol EDR) |
Да | Да (через веб-интерфейс. Реализована возможность автоматической настройки параметров сбора событий в зависимости от типа источника из единого интерфейса) |
| Неагентский сбор событий | Да | Да | Да | Да | Да | Да |
| Активный сбор событий | Да | Да | Да | Да | Да | Да |
| Пассивный сбор событий | Да | Да | Да | Да | Да | Да |
| Сбор событий и данных в изолированных сегментах сети | Да | Да | Да | Да | Да | Да |
| Сбор событий с Linux | Да | Да | Да | Да | Да | Да |
| Сбор событий по Syslog | Да | Да | Да | Да | Да | Да |
| Сбор событий по SNMP | Да | Да | Да | Да | Да | Да |
| Сбор событий по NetFlow | Да | Да | Да | Да | Да | Да |
| Сбор событий по RPC | Да | Нет (его заменяют Windows-агенты и WEC-коллектор) |
Да | Да | Да | Да |
| Сбор событий по WMI | Да | Да | Да | Да | Да | Да |
| Сбор событий по ODBC | Да | Да | Нет (его заменяют предустановленные способы сбора для актуальных СУБД) |
Да | Да | Да |
| Нормализация событий | Да | Да | Да | Да | Да | Да |
| Избирательная (частичная) нормализация отдельных событий | Да | Да | Да | Да | Да | Да |
| Возможность фильтрации собираемых событий до нормализации | Да | Да | Да | Да (в зависимости от типа источника используются регулярные выражения PCRE и XPath, маски IP-адресов, каналы журнала и др.) |
Да | Да |
| Возможность фильтрации собираемых событий после нормализации | Да | Да | Да | Да | Да | Да (на коннекторе и / или обработчике) |
| Потоковая корреляция | Да (правила корреляции, работающие в реальном времени на некотором количестве событий) |
Да | Да | Да | Да | Да |
| Корреляция по историческим данным (ретроспективная) | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да |
| Корреляция без нормализации | Нет | Да | Да | Нет | Нет | Да |
| Корреляция с учётом контекста / состояния (stateful) | Да | Да | Да | Да | Да | Да |
| Многоуровневая корреляция (результаты работы одного правила поступают на вход других правил) | Да | Да | Да | Да | Да | Да (cложные правила корреляции с многоуровневой вложенностью условий, в том числе используя повторения в правиле, опциональность событий, первое событие – с условием типа «отрицание») |
| Агрегация событий | Да | Да (в рамках инцидентов; в рамках обычных событий планируется в 2026 г.) |
Да | Да | Да | Да |
| Приоритизация событий | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да |
| Приведение событий к единой временной зоне | Да | Да | Да | Да | Да | Да |
| Перенаправление событий | Да | Нет (планируется в 2026 г.) |
Да | Да (с помощью Event Broker) |
Да | Да |
| Возможность сбора данных о сетевом трафике | Да (с помощью компонента выявления сетевых угроз) |
Да | Да | Да (с помощью компонента выявления сетевых угроз) |
Да | Да |
| Поддерживаемые форматы сбора и получения событий | Любые, с учётом использования сторонних скриптов на Python | XML, RFC, CEF, JSON, RAW и т. д. | API, Netflow, sFlow, Kafka, NATS, SQL, TCP, UDP, HTTP, FTP, NFS, ETW, Files, SNMP, WMI и др. | Любые, благодаря возможностям скриптов сбора в CustomEventCollector | Пассивный (Syslog, Netflow) и активный (через RuSIEM Agent). WMI, Netflow, SNMP, File, SQL, Hash, FTP, SSH, CheckPoint LEA, REST API и др. Суммарно более 20 |
WMI, Active Directory, LDAP, DNS, Exchange, IMAP, POP3, SMTP, Syslog, Microsoft SQL, PostgreSQL, MySQL, Oracle, Event Log, SSHShell, Apache Kafka, SMB |
| Поддерживаемые форматы нормализации и протоколы | WinEventLog, JSON, XML, Plaintext | GROK, ECS, EVTX-XML, REGEX и т. д. (есть возможность создавать собственные парсеры) |
JSON, CEF, Regexp, Syslog (RFC3164 и RFC5424), CSV/TSV, Ключ-значение, XML, Netflow v5, v9, IPFIX (v10), sFlow v5, SQL | WinEventLog, JSON, XML, Plaintext, а также любые их комбинации | JSON, XML, Syslog plain, Syslog TLS, Syslog CEF, Syslog LEEF, NetFlow (3,6,9), SNMP(1, 2, 2с), CheckPoint LEA, Cisco SDEE | JSON, XML, JSON (JPath), XML (XPath) и TCP / UDP |
Управление активами
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Наличие возможности задания или импорта информации об активах (assets) | Да | Да | Да | Да | Да | Да (через интеграцию с инфраструктурой, решениями ИБ / ИТ, а также с помощью вендорской логики сбора информации об активах (агентская и безагентская реализация)) |
| Автоматическое добавление активов | Да (на основе получаемых событий + сканирование активов) |
Да | Да | Да | Да (для активов, на которых установлен агент; при интеграции с CMDB-системами или через использование скриптов) |
Да (можно настроить расписание сканирования инфраструктуры для обнаружения новых активов или синхронизация с внешними источниками) |
| Ручное создание активов | Да | Да | Да | Да | Да | Да |
| Группировка активов | Да | Да | Да | Да | Да | Да (тип, роль, группа, подсети, организация, расположение и проч.) |
| Построение и учёт иерархических связей между элементами ИТ-инфраструктуры | Да (в разделе «Топология») |
Нет | Да | Да | Да | Да (в основе продукта лежит ресурсно-сервисная модель, позволяющая создать модель предприятия с нужным уровнем декомпозиции. Интерактивность графа позволяет осуществлять переход в карточку любого отображаемого актива, а также отображать дополнительные связи взаимосвязанных активов) |
| Определение критической значимости актива | Да | Да | Да | Да | Да | Да (с помощью конструкторов есть возможность устанавливать пользовательскую логику определения критической значимости актива. Предусмотрена логика определения значимости в рамках пакета экспертизы от вендора) |
| Встроенный поиск уязвимостей на активах | Да (при наличии модуля VM + сканирование активов) |
Нет | Да | Да (в рамках платформы MaxPatrol) |
Нет (только при интеграции со сторонними решениями) |
Да (реализован полноценный процесс поиска уязвимостей на базе сканера Security Vision и реализации рабочего процесса по управлению уязвимостями) |
| Обогащение информации об активах (источники) | Сведения отсутствуют либо не предусмотрено | Не предусмотрено (планируется в 2026 г.) |
VM-отчеты, Kaspersky Security Center, API | Из результатов аудита и из нормализованных событий | Через списки или интеграцию с CMDB | Реализована возможность интеграции с внешними сервисами / ИТ-системами / СЗИ для получения информации об активах. Нет ограничений по типу вендора / сервиса для получения от него информации об активах. Реализуется через Low-Code / No-Code конструктор интеграций |
Управление инцидентами
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Количество полей в карточке инцидента | Около 20, есть возможность расширения под нужды пользователя | Основных полей - 20, количество дополнительных - в зависимости от самого инцидента | Около 20 | Расширяемо под нужды пользователя, точное количество не указано | 685 из коробки (настраиваемый параметр) | Не лимитируется. Карточка инцидента формируется под уникальный запрос. Есть возможность использовать вид карточки из пакета экспертизы производителя |
| Кастомизируемая карточка инцидента | Да | Нет | Нет | Да | Да (можно добавлять собственные поля) |
Да (полностью кастомизируется на базе Low-Code / No-Code) |
| Статусы инцидентов | Да | Да | Да | Да | Да | Да (могут быть использованы любые статусы. Добавление / корректировка статусов происходит путем редактирования справочников системы, а также с помощью Low-Code / No-Code конструкторов. Есть возможность использовать статусы из набора экспертизы вендора) |
| Уровни критической значимости инцидентов | Да | Да | Да | Да | Да (от 1 до 5) |
Да (логика приоритизации и расчёта критической значимости может изменяться и подстраиваться под уникальный запрос) |
| Возможность сохранения / прикрепления произвольной информации (в т. ч. файлов) из событий в инцидент | Да | Нет (планируется в 2026 г.) |
Да | Да | Да (кроме прикрепления файлов) |
Да (файлы в различных форматах и произвольная информация) |
| Возможность проверки собранных в инциденте индикаторов во внешних сервисах (whois, репутационные базы и пр) | Да (с использованием репутационных списков) |
Нет (планируется в 2026 г.) |
Да | Да | Да | Да (реализована возможность интеграции с внешними сервисами обогащения (whois, репутационные базы и пр.). Нет ограничений по типу вендора / сервиса проверки индикаторов. Реализуется через Low-Code/No-Code конструктор интеграций) |
| Фиксация временных интервалов обработки для контроля SLA и метрик при работе с инцидентом | Да | Нет (планируется в 2026 г.) |
Да (в рамках работы в SMP / XDR) |
Да | Частично | Да (в том числе с применением ИИ) |
| Работа с инцидентом по принципу «одного окна» | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да (предоставляет полнофункциональный графический интерфейс для ручного и автоматизированного управления реагированием на инциденты в режиме одного окна с использованием объектно-ориентированного реагирования и динамических плейбуков (собственное ноу-хау) |
| Назначение инцидентов и задач пользователям (исполнителям) | Да | Да | Да | Да | Да | Да |
| История изменений инцидента | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да |
| Выгрузка инцидентов | Да | Да | Да | Да | Да | Да (API, CSV, XLSX, PDF, ODS, аналитические отчёты и др.) |
| Выявление инцидентов в режиме реального времени | Да | Да | Да | Да | Да | Да (логика обработки данных реализуется через рабочие процессы. Жизненный цикл инцидента ИБ формируется с учётом семи этапов обработки в соответствии с методологией NIST. Обработка реализуется по нажатию функциональной кнопки оператором, на основании автоматических транзакций в рабочих процессах, а также с помощью ML-моделей) |
| Пути эскалации инцидента | Вручную или с использованием API | Вручную | Вручную или через интеграцию с SOAR / IRP / ITSM | Через интеграцию с MaxPatrol 360 | Через SOAR или вручную | С помощью Low-Code / No-Code конструкторов настраивается требуемый путь эскалации. Он может быть реализован в рамках уведомления и назначения карточки инцидента внутри платформы либо использовать сторонние каналы оповещения и ИТ-системы. Для настройки путей применяется в т. ч. ИИ |
| Оповещение об инциденте | Почта | SMTP (почта), HTTP (Webhook, Telegram) | Почта, мессенджеры, POST-запросы / Webhook, интеграции по API | Почта, мессенджеры | Почта, Telegram, веб-интерфейс, интеграции через API | Почта, Telegram, eXpress, внутриплатформенная система оповещений и другие необходимые каналы |
| Принятие решений в рамках процесса обработки инцидентов | Ручное или с использованием API | Ручное | Ручное, автоматическое | Предусмотрено, конкретные виды не указаны | Ручное, автоматическое (при интеграции с IRP / SOAR) | Ручное и автоматическое, есть рекомендации от ML-модели по действиям реагирования в зависимости от фазы инцидента, а также предустановленные экспертные рекомендации по анализу, сдерживанию, реагированию и работе с пост-инцидентами ИБ, которые используются при формировании динамического сценария с учётом контекста конкретного инцидента ИБ на основе тактик и техник MITRE ATT&CK |
| Возможность реагирования | Да (при использовании сторонней SOAR- или EDR-системы) |
Да (использование скриптов реакции) |
Да | Да (при использовании с MaxPatrol EDR) |
Да (автоматически при использовании скриптов) |
Да (в т. ч. с использованием ИИ. Динамические плейбуки автоматически адаптируются под конкретный киберинцидент. Система позволяет автоматизировать сценарии реагирования различных типов и в неограниченном количестве. Пользователь системы может использовать логику динамических плейбуков, а также добавлять свои собственные сценарии реагирования с помощью конструкторов) |
| Автоматические механизмы фильтрации ложных срабатываний | Нет | Нет | Да | Да | Нет | Да (реализованы ИИ-помощники для анализа вердиктов инцидентов и помощи в управлении новыми задачами: система анализирует все инциденты и состояния их жизненного цикла для определения возможных ложноположительных срабатываний (False Positive) и снижения нагрузки на персонал) |
| Возможность выделения ложных срабатываний пользователем | Да | Да | Да | Да | Да | Да |
| Риск-корреляция (учёт уровня риска - например, весов событий или показателей критической значимости активов) | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да (реализована как часть рабочего процесса (конструктор системы) Low-Code / No-Code) |
| Возможность применения произвольных (пользовательских) формул для расчёта уровня риска | Да | Нет (планируется в 2026 г.) |
Нет | Да | Да | Да (реализована как часть рабочего процесса (конструктор системы) Low-Code / No-Code) |
Визуализация и аналитика
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Сопоставление правил корреляции с MITRE ATT&CK для выявления техник атакующих | Да | Да | Да (дополнительная возможность выгрузки контента в готовом формате для импорта в MITRE Navigator для сверки покрытия) |
Да | Да | Да (реализовано более 1 000 правил корреляции для выявления техник атакующих в соответствии с MITRE ATT&CK) |
| Возможность сохранения наборов фильтров и поисковых запросов для повторного использования | Да | Да | Да | Да | Да | Да |
| Язык поисковых запросов | Да (PDQL) |
Да (regex-like) |
Да (SQL-like c возможностью использования функций ClickHouse) |
Да (PDQL) |
Да (заявлен полнотекстовый поиск, в т. ч. по сырым событиям) |
Да (язык не указан) |
| Полнотекстовый поиск по «сырым» событиям | Да (через PDQL-запрос) |
Да | Да | Да | Да | Да |
| Ретроспективный поиск индикаторов компрометации | Да | Нет (планируется в 2026 г.) |
Да | Да | Да | Да |
| Построение графов (например, сетевого взаимодействия, процессов и их родителей и пр.) | Да | Нет | Да (в рамках работы в SMP / XDR) |
Да | Да | Да (с возможностью выполнять действия (с использованием коннекторов) в интерактивном режиме. Есть граф связей, граф расследования, граф «Маршрут нарушителя» (с использованием технологий ИИ), граф достижимости (куда потенциально может распространиться инцидент ИБ)) |
| Создание / изменение панелей визуализации (дашбордов) | Да | Да | Да | Да | Да | Да (предусмотрена полная кастомизация виджетов и дашбордов) |
| Интерактивная работа с дашбордами (drill-down) | Да | Нет | Да | Да | Да | Да (с любой вложенностью) |
| Возможность выгрузки данных из дашбордов (например, отфильтрованные отображаемые события, результаты агрегаций и пр.) | Да (можно скачать в PNG) |
Нет | Да | Да | Да | Да (возможно выгружать в виде отчета в различных форматах) |
| Инструментарий для командной работы (например, таск-трекер) | Да | Нет (сервис комментариев планируется в 2026 г.) |
Да (версионность, теги, связность и создание описаний ресурсов) |
Да | Да | Да (имеются встроенные чаты, отдельная вкладка с возможностью создания внутренних задач, а также задач во внешние системы, возможность отправить сообщение в мессенджер и в почту. Все коммуникации сохраняются в карточке инцидента. Также в карточке инцидента есть отдельная вкладка для важных заметок, например особенностей, выявленных при работе с данным инцидентом) |
Отчёты и документы
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Формирование и рассылка отчетов по расписанию | Да | Частично (формирование - да, рассылка планируется в 2026 г.) |
Да | Да | Да | Да (с помощью конструктора отчетов) |
| Формирование и рассылка отчетов по критерию / триггеру | Да | Частично (формирование - да, рассылка планируется в 2026 г.) |
Да | Да | Нет | Да (реализовано через интеграцию с целевой системой и настройки расписания) |
| Встроенный конструктор отчетов | Да | Нет | Да | Да | Да | Да |
| Возможность формирования отчетов в виде документов | Да | Нет | Да | Да | Да | Да (в т. ч. с возможностью настройки выгружаемого отчета по инцидентам: формат документа (А5, А4, А3), ориентация документа (портретная, альбомная), отступы документа, нумерация страниц, колонтитулы) |
| Отчёты и сводки для топ-менеджмента | Да (есть шаблоны / конструктор отчётов) |
Нет | Да | Да | Да | Да (добавляются в качестве шаблона отчета и выгружаются по расписанию, либо создается уникальный добор для визуализации сводок для руководства) |
| Отчёты и сводки для регуляторов | Да (есть шаблоны / конструктор отчётов) |
Нет | Да | Да | Да | Да (в т. ч. с разбором бюллетеней и применением ИИ) |
| Отчёты и сводки для технических специалистов | Да (есть шаблоны / конструктор отчётов) |
Да | Да | Да | Да | Да (с помощью конструктора отчетов) |
| Форматы экспорта отчетов | JSON, PDF, XML, XLSX | CSV, XLSX, NDJSON | PDF, HTML, CSV, разделенный CSV, XLSX | JSON, PDF, XML, XLSX | PDF, XLSX, CSV, DOCX | PDF, DOCX, XLSX, CSV, ODS, ODT, TXT |
Эксплуатация системы
Предустановленная функциональность
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Наличие предустановленных правил нормализации | Да | Да | Да | Да | Да | Да |
| Наличие предустановленных правил фильтрации | Да | Да (актуальные версии всегда доступны на сайте для скачивания) |
Да | Да | Нет | Да |
| Наличие предустановленных правил детектирования / корреляции | Да | Да (актуальные версии всегда доступны на сайте для скачивания) |
Да | Да | Да | Да |
| Количество предустановленных правил нормализации | 4163 | 20 правил, работающих в коде продукта, и 20 предустановленных типов правил | 350+ и 90+ (Community Pack) | Около 10 000 | 270+ | 100+ источников событий со своими схемами нормализации |
| Количество предустановленных правил фильтрации | 106 (во вкладке события) |
200+ | 1200+ | 38 правил агрегации | Сведения отсутствуют либо не предусмотрено | Правила фильтрации настраиваются для каждого профиля сбора данных, на текущий момент профилей сбора данных более 80. Ограничений по количеству правил фильтрации нет |
| Количество предустановленных правил детектирования / корреляции | Детектирования - 47, корреляции - 55 | 150+ | 850+ и 400+ (Community Pack) | 1750 | 750+ | 1100+ |
| Частота обновления правил | Ежемесячно | Ежеквартально | Ежеквартально | До двух раз в месяц | Раз в 2 недели | Ежедневно |
| Количество готовых коннекторов к источникам событий и / или другим СЗИ «из коробки» (например, коннекторы к 1С, Active Directory и пр.) | 240+ | Неприменимо (в системе используется механизм коллекторов, а не коннекторов) |
15+ | 430+ | 25+ | 230+ |
| Наличие предустановленных графических панелей (дашбордов) | Да | Да | Да | Да | Да | Да |
| Наличие предустановленных виджетов | Да | Да | Да | Да | Да | Да |
| Наличие предустановленных отчетов | Да | Да | Да | Да | Да | Да |
| Дополнительный контент (не входит в комплект поставки, но доступен для скачивания / приобретения) | Пакет обнаружения компьютерных атак, инфраструктурный контент, другие пакеты разработки под нужды пользователя | Пакеты экспертиз | Правила, дашборды, скрипты, нормализаторы, реагирование (Community Pack) | Пакеты экспертизы для промышленного сегмента | Весь контент доступен из коробки и периодически обновляется (при наличии действующей технической поддержки) | Конструктор Low-Code / No-Code позволяет добавить свои правила и кастомизировать штатные бесплатно. Также имеется маркетплейс для получения дополнительного контента для платформы |
Кастомизация
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Возможность изменения и добавления правил нормализации | Да | Да | Да | Да | Да | Да |
| Возможность изменения и добавления правил фильтрации | Да | Да | Да | Да | Да | Да |
| Возможность изменения и добавления правил детектирования / корреляции | Да (корреляции - изменять и добавлять, детектирования - только добавлять) |
Да | Да (при дублировании) |
Да | Да | Да |
| Язык для написания правил корреляции | Да (eXtraction and Processing (XP)) |
Нет (вместо языка используется графический конструктор) |
Частично (псевдокод, конструктор) |
Да (eXtraction and Processing (XP)) |
Нет (вместо языка используется графический конструктор) |
Да (предусмотрены скрипты и встраивание языков, также используется конструктор Low-Code / No-Code) |
| Возможность создания правил корреляции, начинающихся с отрицания (когда какое-то событие не произошло) | Да | Да (можно использовать CEL-выражения) |
Да | Да | Нет | Да |
| Сложные правила корреляции (например, две цепочки событий в рамках одного правила) | Да | Да | Да | Да | Да | Да (также есть возможность многоуровневой корреляции с передачей результатов работы одного правила корреляции на вход другим правилам корреляции) |
| Наличие подсказок и проверки синтаксиса правил при их создании | Да | Да | Да | Да | Нет | Да (графический редактор правил обладает интуитивно понятным интерфейсом и сопровождается подробной документацией) |
| Возможность валидации правил перед загрузкой их в работу | Да | Да | Да | Да | Нет | Да (графический редактор правил не даст сохранить невалидное правило) |
| Версионирование разрабатываемых правил | Да | Нет | Да | Да | Нет | Да |
| Возможность создания пользовательских полей в таксономии без ограничений | Нет (имеется ограничение до 25 шт.) |
Да | Да | Нет (имеется ограничение до 25 шт.) |
Да | Да |
| Возможность добавления временных зон и их использования как переменных в правилах корреляции | Да (в зависимости от источника) |
Да (с помощью CEL-выражений) |
Да | Да (в зависимости от источника) |
Да | Да |
| Внутренние статические листы / массивы данных / активные списки, наполняемые из полей события ИБ в системе вручную или при срабатывании критерия | Да | Да | Да | Да | Да | Да |
| Возможность использования внешних динамических листов / массивов данных / активных списков | Да | Да | Да | Да (загрузка внешних данных в табличные листы продукта; внешние листы — с помощью пользовательских скриптов) |
Нет | Да |
| Разбор событий в произвольном формате с помощью регулярных выражений | Да | Да | Да | Да | Нет (используется grok) |
Да |
| Возможность изменения имеющихся коннекторов или создания / написания новых коннекторов в дополнение к доступным «из коробки» (интеграция с самописным ПО, legacy и пр.) | Да | Неприменимо (вендор отмечает, что в системе используется механизм коллекторов, а не коннекторов, поэтому все источники по протоколам и так можно подключить) |
Да | Да | Да | Да |
| Возможность изменения или создания новых парсеров | Да (копированием правила в пользовательскую ветку) |
Да | Да (при дублировании) |
Да | Да | Да |
| Конструкторы правил | Да | Да | Да | Да | Да | Да (через веб-интерфейс, а также конструктор Low-Code / No-Code, позволяющий добавить свои и кастомизировать штатные правила) |
| Конструктор сценариев реагирования | Да (с использованием стороннего SOAR) |
Нет | Да (в рамках работы в SMP / XDR) |
Да (при использовании с MaxPatrol EDR, с MaxPatrol 360) |
Нет | Да (через веб-интерфейс, а также конструктор Low-Code / No-Code, позволяющий добавить свои и кастомизировать штатные сценарии) |
Автоматизация
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Поддержка сценариев реагирования (плейбуков) | Да (с использованием стороннего SOAR) |
Да (реализовано с использованием скриптов на Python / Bash и т. д.) |
Да (в рамках работы в SMP / XDR) |
Да (при использовании с MaxPatrol 360) |
Да (при интеграции с IRP / SOAR) |
Да (динамические плейбуки автоматически адаптируются под конкретный киберинцидент. При формировании динамического сценария используется объектно-ориентированный подход к реагированию. Пользователь системы может использовать логику динамических плейбуков, а также добавлять свои собственные сценарии реагирования с помощью конструкторов) |
| Ведение реестра объектов инцидента (внутренние хосты и учётные записи) и внешних артефактов (внешние IP-адреса, хеши, URL, домены, e-mail и т.д.) | Да | Нет (планируется в 2026 г.) |
Да (в рамках работы в SMP / XDR) |
Да (данные отражены в карточке инцидента) |
Нет | Да (есть набор объектов, предустановленных «из коробки», а также конструктор Low-Code / No-Code, позволяющий добавить свои и кастомизировать штатные) |
| Выстраивание взаимосвязей объектов и артефактов отдельно взятого инцидента со всеми выявленными инцидентами | Да | Нет | Да (в рамках работы в SMP / XDR) |
Да | Нет | Да (при помощи графов, позволяющих выполнять действия (с использованием коннекторов) в интерактивном режиме) |
| Формирование действий по реагированию в зависимости от каких-либо критериев (например, типа объекта или артефакта, фазы инцидента и пр.) | Да (с использованием стороннего SOAR) |
Нет | Да (в рамках работы в SMP / XDR) |
Да (при использовании с MaxPatrol 360) |
Нет | Да (динамические плейбуки учитывают свойства событий ИБ, атрибуты атакованных активов и пользователей, использованные техники и инструменты атаки) |
| Возможность автоматизации задач в рамках процесса управления инцидентами силами специалистов заказчика (автоматический расчёт цепочки делегирования задач, расчёт сроков устранения на основании рабочих календарей специалистов заказчика, автоматическая классификация инцидентов по методологии заказчика и т.д.). | Да (с использованием стороннего SOAR) |
Нет | Частично (в рамках работы в SMP / XDR) |
Да (при использовании с MaxPatrol 360) |
Нет | Да (процессы автоматизации включают назначение ответственных исполнителей, классификацию, категоризацию, выполнение различных команд на удалённых системах, эскалацию, сохранение истории изменения каждого поля, фиксацию основных метрик SLA, а также выполнение других действий согласно встроенной или кастомной методологии) |
| Использование технологий искусственного интеллекта (например, применение больших языковых моделей (LLM) для реализации чат-бота при работе с инцидентами и пр.) | AI-поиск по активам | Не используются | Kaspersky Investigation & Response Assistant (KIRA), сервис AI по рейтингу и скорингу активов, AI-обнаружение DLL Hijacking и Lateral Movement | Применение LLM для интерпретации сущностей при работе с событиями | Не используются | Технологии ИИ используются как независимо, так и совместно с линейными алгоритмами: правилами корреляции, сигнатурным анализом, деревьями решений и др. для получения полной картины объектов наблюдения или для выявления сработок / рекомендаций, где нет возможности применить набор заранее подготовленных правил / условий или они не дают полного и адаптивного к изменениям результата |
| Использование алгоритмов машинного обучения (например, поиск аномалий, предиктивная аналитика по угрозам и рискам, поведенческая аналитика и пр.) | Не используются | Не используются (планируется в 2026 г.) |
Deep Learning, обнаружение аномалий, регрессия и т.д. | Средствами модуля поведенческого анализа MaxPatrol BAD (Behavioral Anomaly Detection) | Поиск аномалий, поведенческая аналитика | Выявление аномалий и отклонений от типового поведения различных сущностей (устройств, учётных записей, приложений, артефактов и др.) в инфраструктуре, обнаружение типовых атак, обнаружение исполнения вредоносных команд или действий пользователей. Система автоматически обучается на основании сырых событий по каждому объекту инфраструктуры. В системе предустановлены различные ML-модели и специализированные правила выявления аномалий (с возможностью коррекции и расширения параметров через UI-конструкторы) |
| Выявление неизвестных угроз | Не предусмотрено | Не предусмотрено (планируется в 2026 г.) |
С помощью технологий ИИ | Средствами модуля поведенческого анализа MaxPatrol BAD (Behavioral Anomaly Detection) | Не предусмотрено | Платформа позволяет выявлять многоступенчатые инциденты, выполняя ретроспективный анализ окрестностей инцидента и обогащая инцидент данными из внешних аналитических сервисов и дополнительными данными напрямую с затронутых атакой объектов |
| Выявление внутренних угроз (инсайдеров) | Не предусмотрено | Не предусмотрено | С помощью технологий ИИ | Средствами модуля поведенческого анализа MaxPatrol BAD (Behavioral Anomaly Detection) | Через поведенческую аналитику | С помощью UEBA и технологий ИИ |
| Автоматизация аналитики верхнего уровня (уровня общего представления о ситуации) | Не предусмотрено | Не предусмотрено | Граф расследования (в рамках работы в SMP / XDR) |
В разработке, реализация в 2026 г. | Не предусмотрено | Возможности по автоматизации аналитики по требуемой методике, а также визуализации полученных результатов с помощью отчетов и дашбордов |
Интерфейс и пользовательский опыт
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Языки графического интерфейса | Русский, английский | Русский, английский | Русский, английский | Русский, английский | Русский, английский, испанский, индонезийский | В системе поддерживается мультиязычность и возможность добавить любой язык (русский, английский, белорусский, казахский и т. д.) |
| Тип консоли администратора | Веб-консоль | Веб-консоль | Веб-консоль | Веб-консоль | Веб-консоль | Веб-консоль |
| Управление настройками агентского сбора через веб-интерфейс | Да | Да | Да | Да (при использовании с MaxPatrol EDR) |
Да | Да |
| Управление параметрами парсинга данных через веб-интерфейс | Да | Да | Да | Да | Да | Да (параметры парсинга настраиваются через Low-Code / No-Code конструкторы платформы) |
| Наличие отдельного интерфейса (консоли) для аналитика | Да (веб-консоль, где набор доступных элементов интерфейса меняется в зависимости от роли пользователя) |
Нет (планируется в 2026 г.) |
Да (набор разделов меняется в зависимости от роли пользователя) |
Да (одна общая консоль, где набор доступных элементов интерфейса меняется в зависимости от роли пользователя) |
Нет | Да (набор функциональных кнопок и прав для аналитика реализуется через настройку роли. Функциональность системы позволяет создавать и настраивать произвольные разделы (меню) в интерфейсе, с последующим отображением в них выбранных объектов, рабочих процессов, справочников, отчетов и дашбордов) |
| Наличие у аналитика возможности делать заметки для самого себя или коллег («блокнот») | Нет | Нет (планируется в 2026 г.) |
Да | Да (совместно с MaxPatrol 360) |
Да | Да (в системе есть возможность фиксировать заметки на отдельной вкладке каждой карточки. Заметки выводятся в виде форматированного текста, а также есть возможность прикреплять вложения любого формата, например рисунок или текстовый файл) |
| Реализация принципа Low-Code / No-Code (создание и редактирование экранных форм, интеграций, ролевой модели, внешнего вида, дашбордов и отчетов при помощи графического интерфейса без использования языков программирования) | Да (создание / редактирование дашбордов, отчётов, подключение источников, конструктор правил корреляции, основные настройки системы - через веб-интерфейс) |
Да (планируется улучшить в 2026 г.) |
Да (конструктор правил) |
Да (доступно редактирование ролевой модели, дашбордов и отчетов) |
Да | Да (можно создавать и редактировать экранные формы, интеграции, ролевые модели, внешний вид, дашборды и отчёты через графический интерфейс без использования языков программирования. Это достигается за счёт набора встроенных Low-Code / No-Code конструкторов, которые обеспечивают кастомизацию под конкретные задачи организации) |
Техническая поддержка и обучение
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Языки поддержки | Русский, английский | Русский | Русский, английский | Русский, английский | Русский, английский | Русский, английский. Партнёры также могут обучать на языке страны, где производится внедрение |
| Каналы поддержки | Электронная почта, телефон, Service Desk | Электронная почта, Telegram, MAX | Веб-портал, уведомления через почту и телефон | Электронная почта, телефон, сервис технической поддержки | Электронная почта, телефон, Telegram | Учётная система, портал, личный кабинет, телефонная связь или мессенджер |
| Период обслуживания | Базовая - 8х5, расширенная - круглосуточно (согласно регламенту) |
8х5 | 24х7 | 8х5, 24x7 | 8х5, 24x7 | Различается в зависимости от регламента |
| Время реагирования на обращение | Базовая - 1 час, расширенная - 5 минут (согласно регламенту) |
От 1 до 8 часов, в зависимости от типа техподдержки | 30 минут | От 1 до 8 часов, в зависимости от типа техподдержки и критической значимости запроса | В соответствии с SLA | Регистрация обращений - в режиме 24х7. Реагирование - в соответствии с уровнем техподдержки согласно регламенту |
| Время решения обращения | До 30 дней | От 1 часа, в зависимости от сложности вопроса и типа техподдержки | В зависимости от типа поддержки и критической значимости запроса, согласно регламенту | В зависимости от типа поддержки и критической значимости запроса, согласно регламенту | До 1 дня | Различается в зависимости от регламента |
| Возможность выезда к клиенту для решения обращения | Да (силами группы экспертизы и интеграции) |
Да (в рамках расширенной техподдержки) |
Да | Да (согласно регламенту) |
Да (при пакете расширенной технической поддержки) |
Да (в зависимости от уровня техподдержки) |
| Наличие технической документации на сайте | Да | Да | Да | Да | Да | Да (в веб-интерфейсе решения и в личном кабинете) |
| Наличие технической документации по запросу | Да | Да | Да | Да | Да | Да |
| Наличие учебных курсов от вендора | Да | Да (бесплатные и на платной основе) |
Да | Да (клиентские и партнёрские, для разных ролей: инженер, разработчик, аналитик и т. д.) |
Да | Да (на базе учебного центра) |
| Сопровождение от вендора | Предусмотрено, конкретные виды не указаны | Предусмотрено в рамках расширенной техподдержки, конкретные виды не указаны | Установка и настройка, обновление, оценка и оптимизация и поддержка на площадке (в зависимости от уровня технической поддержки) |
Предусмотрено, конкретные виды варьируются в зависимости от уровня технической поддержки | Помощь в разработке контента для системы | Вид и формат сопровождения уточняются в рамках проектной реализации |
Лицензирование
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Минимальная поставка | Базовая лицензия, инфраструктурная лицензия и лицензия на функциональные возможности | Base SMART - сбор Syslog / сбор с Windows до 200 EPS | Лицензия на поток объёмом 500 EPS | Базовая лицензия, инфраструктурная лицензия и лицензия на функциональные возможности | Лицензия на поток объёмом 2000 EPS | Платформа |
| Возможности расширения | Поддерживается с помощью увеличения количества лицензий, расширения общего количества лицензируемых узлов и общего потока событий | Оплата и дальнейшее обновление файла лицензии | Есть возможность, обсуждается с менеджером | В случае расширения функциональности (дополнительные модули) или увеличения объемов обработки данных (EPS) осуществляется дозакупка соответствующих лицензий. Порядок оплаты определяется индивидуально | Расширение через запрос вендору | Расширения возможны в каждой закупленной комплектации |
| Объекты лицензирования | Количество активов, EPS | EPS, коллекторы, необходимость масштабирования | EPS | Количество активов, EPS и необходимость наличия дополнительных параметров (функциональных компонентов) | EPS | Стоимость итогового решения складывается из функциональности (набора модулей, продуктов) и количества коннекторов (интеграций со сторонними решениями и сервисами) либо количества обрабатываемых событий в секунду от внешних систем (данная метрика применяется для ряда высоконагруженных модулей). См. также ячейку «Дополнительные параметры» |
| Дополнительные параметры, влияющие на стоимость (при наличии) | Дополнительные прикладные модули к платформе, если они требуются | EPS, коллекторы | Модули: Netflow Support (Netflow), GosSOPKA (ГосСОПКА), Threat Intelligence (TI), Модуль AI (Artificial intelligence) | Наличие функциональных компонентов: 1) повышение эффективности обнаружения атак на базе ML-модуля MaxPatrol BAD (Behavioral Anomaly Detection), 2) пересылка полного потока событий в стороннюю систему, 3) отказоустойчивый кластер, 4) конфигурация для тестирования и отладки (Non Production), 5) сбор и обработка событий в системах промышленной автоматизации и технологических сетях, 6) коннекторы для взаимодействия с ГосСОПКА и ФинЦЕРТ |
Модуль RuSIEM Analytics - поведенческий анализ и выявление аномалий Модуль RuSIEM IoC - обновляемая база индикаторов компрометации |
Расширенные параметры: 1) дополнительные ноды (для отказоустойчивости, балансировки нагрузки, разделения инсталляций или по другим причинам); 2) уровень технической поддержки; 3) тип лицензии – постоянные, временные (CAPEX, OPEX); 4) мультиарендность – количество подключаемых к сервису юридических лиц, обслуживаемых в рамках общей инсталляции (для холдингов и MSS-провайдеров) |
| Ограничения при истечении срока действия лицензии | Отсутствие обновлений, отсутствие права использования продукта, отсутствие доступа к технической поддержке | При подписочной системе - нет права использовать решение. В других вариантах - нет обновлений | Отключение приёма новых событий и создания контента | Отсутствие обновлений, права использования продукта и доступа к технической поддержке | Отсутствуют обновления | Отсутствуют обновления |
| Наличие бессрочных лицензий | Да (отдельно поставляемые лицензии коннекторов и пакетов контента) |
Да | Нет | Да | Да | Да |
| Наличие подписочных лицензий | Да | Да | Да | Да | Да | Да |
| Модульность | Да | Да | Да | Да | Да | Да |
| Наличие бесплатной версии | Частично (для тестирования или пилотного проекта) |
Да (доступна для скачивания на сайте) |
Частично (пилотный проект с ограничением по длительности, в планах - комьюнити-версия) |
Частично (пилотный проект с ограничением по длительности) |
Да | Да (по программе поддержки) |
| Необходимые лицензии на стороннее ПО | Не требуются | Не требуются | Не требуются | Не требуются | Не требуются | Не требуются при поставке. Могут быть использованы third-party компоненты, которые требуют дополнительного приобретения (СУБД + ОС). |
| Прайс-лист | Закрытый | Закрытый | Закрытый | Закрытый | Закрытый | Для Enterprise - закрытый Для СМБ - открытый |
| Схема продаж | Смешанная | Партнёрская | Партнёрская | Партнёрская | Партнёрская | Партнёрская |
Прочие особенности, которые могут представлять интерес для заказчика
| Параметр сравнения / Продукт | Ankey SIEM NG | KOMRAD Enterprise SIEM | KUMA | MaxPatrol SIEM | RuSIEM | Security Vision |
| Срок существования продукта | Более 5 лет | Более 10 лет | Более 5 лет | 10 лет | 11 лет | Более 10 лет |
| Дорожная карта развития продукта | Есть, ознакомление по запросу | Есть, ознакомление по запросу | Есть, ознакомление по запросу | Есть, ознакомление по запросу | Есть, ознакомление по запросу | Есть, ознакомление по запросу |
| Количество партнёров, аттестованных к внедрению продукта | 5 | 80+ | 25+ | 90+ | 300+ | 10+ |
| Количество партнёров, аттестованных к сопровождению продукта | 67 | 80+ | 25+ | 450+ | 10 | 10+ |
| Охват техник MITRE ATT&CK | 64% | 50% | Более 60% | 70% | 20% | Более 75% |
| Возможность работы с матрицей MITRE ATT&CK внутри SIEM | Нет | Да | Частично (через сайт, полноценная реализация планируется) |
Частично (через сайт mitre.ptsecurity.com; полноценная реализация ожидается в 2026 г.) |
Нет | Да (матрица MITRE ATT&CK реализована в древовидном формате с визуализацией взаимосвязей между тактиками, техниками и подтехниками, а также в формате общего списка. Реализована возможность отображения матрицы MITRE ATT&CK в карточках инцидентов ИБ и атак в формате интерактивной (с возможностью перехода в карточки техник) таблицы с подсветкой техник, которые были определены в рамках конкретных инцидентов ИБ. В функциональном блоке реализована возможность обновления матрицы MITRE ATT&CK при помощи механизма коннекторов) |
| Функциональность управления журналами (Log Management) | Да | Да | Нет | Да (при полном / частичном отключении логики корреляции и нормализации для каждого конвейера) |
Да | Да (с помощью веб-интерфейса можно настроить параметры журналирования событий в системе и отправки во внешние системы, при необходимости) |
| Возможность построения озера данных ИБ (Security Data Lake) на базе системы | Да | Нет | Да | Да | Нет | Да |
| Наличие инструмента для миграции с SIEM другого производителя | Частично (миграция через адаптацию контента, коннекторов) |
Нет | Нет (всегда подразумевает ручную работу) |
Частично (миграция через написание профилей сбора и адаптации экспертного контента, есть опыт реализации) |
Нет (миграция вручную) |
Частично (для систем, позволяющих выгрузить базу правил корреляции в нормализованном виде, есть возможность нормализации в собственный формат и загрузки в платформу) |
| Пакеты экспертизы | Да | Да | Да | Да | Весь контент доступен из коробки и периодически обновляется (при наличии действующей технической поддержки) | Да |
| Наличие собственного исследовательского центра, поставляющего пакеты экспертизы | Да (компания «Датаджайл») |
Да (Центр кибербезопасности ГК «Эшелон») |
Да | Да | Да | Да (внутренний) |
| Состав пакета экспертизы | Правила нормализации, обогащения, агрегации, корреляции, табличные списки | Правила нормализации, фильтрации, корреляции | Правила нормализации, обогащения, корреляции, таблицы, дашборды, фильтры, рекомендации по настройке | Правила нормализации, обогащения, агрегации, корреляции, табличные списки | Правила корреляции, симптомы | В зависимости от поставки набор экспертизы может отличаться. Это могут быть правила корреляции и нормализации, обработчики, коннекторы и др. |
| Частота выпуска пакетов экспертизы | Ежеквартально | Ежеквартально (как минимум) |
Ежеквартально | Обновление экспертизы - 2 раза в месяц Для трендовых уязвимостей - до 72 часов Обновление IoC - ежедневно |
2 раза в месяц | Правила и табличные списки IoC - ежедневно Полный контент - ежемесячно |
Выводы
Российские заказчики предъявляют к отечественным SIEM-системам ряд требований. Большое значение для них имеют производительность, отказоустойчивость, возможности расширения и масштабирования. Заметную роль играет экспертиза, предоставляемая вендором. Есть, в частности, спрос на готовые наборы правил и другого контента «из коробки». Важно и удобство эксплуатации наряду с возможностями автоматизации рутинных задач.
В целом требований много, и они разнообразны. Не пытаясь осуществить ранжирование сравниваемых продуктов и решений, мы, однако, надеемся, что собранные и представленные нами здесь данные послужат ориентиром и навигатором при составлении перечней необходимых и приоритетных функций, равно как и при последующем выборе и внедрении SIEM-системы.
Редакция Anti-Malware.ru благодарит коллег и экспертов, принимавших деятельное участие в подготовке сравнения российских SIEM-систем. Нам помогали:
Александр Лимарев, начальник отдела систем мониторинга компании «Газинформсервис».
Сергей Максименко-Литвак, руководитель группы управления событиями ИБ компании «Газинформсервис».
Павел Пугач, системный аналитик «СёрчИнформ».
Александр Ненахов, менеджер продукта Solar SIEM, ГК «Солар».
Николай Лишке, директор Центра кибербезопасности АО «Эшелон Технологии».
Дмитрий Дронов, старший менеджер предпродажной поддержки SIEM / XDR, «Лаборатория Касперского».
Олег Акишев, руководитель отдела разработки NGR Softlab.
Алексей Дашков, директор центра развития продуктов NGR Softlab.
Илья Одинцов, менеджер по продукту SIEM Alertix, NGR Softlab.
Ксения Моисеева, лидер продуктового развития SIEM, BAD и IM, Positive Technologies.
Виктор Никуличев, руководитель продукта R-Vision SIEM.
Даниил Вылегжанин, руководитель отдела предпродажной подготовки, RuSIEM.
Александр Афонин, руководитель отдела внедрения, RuSIEM.
Дмитрий Фоминых, специалист, Security Vision.
Ольга Григорова, специалист, Security Vision.
Илья Мельников, эксперт по мониторингу в области кибербезопасности, VolgaBlob.
Михаил Кондрашин, архитектор решений, TrendAI.
