...
Информационно-аналитический центр Anti-Malware.ru продолжает сравнивать российские системы класса «управление информацией и событиями в области безопасности». Во второй части сравнения представлены SIEM-системы Alertix, R-Vision SIEM, SearchInform SIEM, Smart Monitor и Solar SIEM.
- 1. Введение
- 2. Сравнение российских систем класса SIEM, часть II
- 3. Выводы
Введение
Этот материал является продолжением сравнения российских SIEM-систем. Первая его часть была опубликована ранее и доступна по ссылке.
Методология и перечень критериев сравнения являются общими для всех частей. Напомним, что в предыдущей части были представлены данные по шести SIEM-системам: Ankey SIEM NG («Газинформсервис»), KOMRAD Enterprise SIEM (ГК «Эшелон»), KUMA («Лаборатория Касперского»), MaxPatrol SIEM (Positive Technologies), RuSIEM от одноимённой компании и SIEM на платформе Security Vision («Интеллектуальная безопасность»).
В охват второй части включены SIEM-системы Alertix (NGR Softlab), R-Vision SIEM (R-Vision), SearchInform SIEM («СёрчИнформ»), Smart Monitor («ВолгаБлоб») и Solar SIEM (ГК «Солар»).
Подробные сведения о предмете и методологии сравнения доступны в первой части материала (см. ссылку выше).
Сравнение российских систем класса SIEM, часть II
Общие сведения
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Компания-вендор | NGR Softlab (ООО «ЭнДжиАр софтлаб») |
R-Vision (ООО «Р-Вижн») |
SearchInform (ООО «СёрчИнформ») |
VolgaBlob (ООО «ВолгаБлоб») |
Группа компаний «Солар» (ООО «Гефест Технолоджис») |
| Штаб-квартира | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Москва | Россия, Москва |
| Веб-сайт | ngrsoftlab.ru | rvision.ru | searchinform.ru | smartmonitor.ru | rt-solar.ru |
| Сравниваемые версии | 3.9 | 2.8.2001 | 1.67 | 5.2 | 2026.1 |
| Целевой сегмент | Отраслевые и корпоративные SOC | Государственный сектор, энтерпрайз, холдинги с ДЗО, крупные и средние компании | Государственный сектор и коммерческие организации, включая СМБ и крупный бизнес | Государственный сектор и коммерческие организации, включая СМБ и крупный бизнес | B2B, B2E B2G - после получения сертификата ФСТЭК России |
| Сертификаты ФСТЭК и ФСБ России | Сертификат ФСТЭК России № 4596 | Сертификат ФСТЭК России № 4888 | Сертификат ФСТЭК России № 4424 | Сертификат ФСТЭК России № 4932 |
В процессе получения сертификата ФСТЭК России по СОВ.У4 (II кв. 2026 г.) Сертификация ФСБ России планируется в 2027 году |
| ПО в реестре Минцифры | Запись № 10868 от 25.06.2021 | Запись № 21323 от 08.02.2024 | Запись № 4711 от 19.09.2018 | Запись № 10541 от 17.05.2021 | Запись № 21682 от 07.03.2024 |
| Обзор на Anti-Malware.ru | Обзор SIEM Alertix 3.9 | Обзор R-Vision SIEM | Обзор СёрчИнформ SIEM 1.47 | Отсутствует | Отсутствует |
| Комплаенс (соответствие каким требованиям позволяет обеспечить) | Федеральные законы № 187-ФЗ и 554-ФЗ Приказы ФСТЭК России № 117, 21, 31, 239 ГОСТ Р 57580 СТО БР ИББС 1.3-2016 и 2.5-2014 PCI DSS |
Федеральные законы № 187-ФЗ, 161-ФЗ, 152-ФЗ Приказы ФСТЭК России № 17, 21, 31, 117, 239 PCI DSS ГОСТ Р 57580.1-2017, ГОСТ Р 57580.2-2018, ГОСТ Р ИСО/МЭК 27002-2021 |
Федеральные законы № 187-ФЗ и 152-ФЗ Указ Президента РФ от 01.05.2022 № 250 Приказы ФСТЭК России № 117 и 239 Приказы ФСБ России № 282 от 19.06.2019 и № 77 от 13.02.2023 ГОСТ Р 57580.1-2017 |
Приказы ФСТЭК России № 17, 21, 239 ГОСТ Р 57580 PCI DSS |
Федеральные законы № 58-ФЗ от 7 апреля 2025 г. (поправки в № 187-ФЗ), 152-ФЗ Приказы ФСТЭК России № 21, 117 ГОСТ Р 57580.1-2017 СТО БР ИББС PCI DSS |
| Интеграция с ГосСОПКА | Да | Да (в случае использования R-Vision SOAR) |
Да | Да (настройка интеграции возможна с использованием базовых функций модуля Core, c модулем "Менеджер инцидентов" интеграция может быть расширена, настроены условия отправки, подтверждения аналитика для отправки, сбор дополнительной информации перед отправкой и др.) |
Да (коннектор докупается отдельно) |
| Использование сторонних компонентов с открытым исходным кодом | Используются | Используются (ClickHouse, PostgreSQL, NATS, MinIO, Vector, Kubernetes) |
Используются | Используются (базовые хранилища данных - OpenSearch и/или ClickHouse, для передачи данных в систему могут опционально использоваться различные компоненты с исходным кодом, например Vector, Logstash, Kafka) |
Используются (K8s, Kafka, Vector, LogStash, PostgreSQL, ClickHouse) |
| Функциональное ядро продукта | Собственная разработка + Logstash | Собственная разработка | Собственная разработка | Собственная разработка | Собственная разработка |
| Крупнейшее из известных внедрений (по количеству EPS и подключенных источников) | Ядро коммерческого SOC, корпоративный SOC (примерно 15 000-20 000 EPS) | 72 000 EPS (в пике примерно 130 000 EPS) - ДомКлик 100 000 EPS - заказчик не разглашается |
Не разглашается | Avito 2 500 000 EPS |
Центр мониторинга и реагирования на инциденты кибербезопасности Solar JSOC (30 000 EPS на конец 2025 года) |
| Общее количество внедрений | Около 50 | 30 | 500+ | 70+ | Сведения отсутствуют |
| Секторы экономики, в которых выполнены внедрения | Нефтегазовая промышленность, финансовый сектор, авиаотрасль, коммерческий SOC | Финансы, промышленность, ретейл, госсектор, ИТ, нефтегазовая промышленность, ТЭК | Госсектор и оборона, здравоохранение, IT, ТЭК, пищевая промышленность, строительство и недвижимость, сельское хозяйство, соцсфера, торговля, транспорт, услуги, финансовый сектор, ресурсоснабжение | Финансы, энергетика, государственный сектор, промышленность, торговля, связь, интернет-коммерция | Банки, промышленность, ретейл, ИТ, электронная коммерция |
Системная архитектура
Варианты исполнения и поставки
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Варианты инсталляции | Всё в одном, распределённая | Всё в одном, распределённая | Всё в одном, распределённая горизонтально / вертикально |
Всё в одном, кластер, геораспределённый кластер | Всё в одном, распределённая |
| Микросервисная архитектура | Да | Да (Kubernetes) |
Да | Да (является типовым сценарием упаковки SM для готовых сборок - демонстрационных стендов, пилотных инсталляций, курсовых инсталляций для обучения студентов и др.) |
Да (Kubernetes) |
| Наличие версии для локальной установки (on-premise) | Да | Да | Да | Да | Да |
| Наличие облачной версии (SaaS) | Да (силами партнёров) |
Да | Частично (SaaS нет; есть возможность инсталляции в облаке) |
Да (по договору с партнёрами) |
Нет (планируется на конец 2026 года) |
| Поддержка MSSP | Да | Да | Нет | Да (есть функциональное наполнение для MSSP и успешные кейсы построения MSSP партнёрами) |
Да |
| Поддержка мультиарендности (мультитенантности) | Да (в рамках корпоративных SOC или холдинговых структур) |
Да | Да | Да | Да |
| Возможность распространения шаблонов ресурсов (правил корреляции, фильтров, настроек) по тенантам | Да (в рамках мультиинстанса) |
Да | Да | Да (возможно не только распространение, но и централизованное управление запусками правил и централизованная обработка результатов этих правил) |
Да |
| Наличие сформированных образов для платформ виртуализации | Нет | Да | Нет | Нет (устанавливается с помощью дистрибутива) |
Нет |
| Поддерживаемые гипервизоры (для инсталляции) | Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | VMware ESXi / vSphere Microsoft Hyper-V KVM (в т.ч. Proxmox) zVirt РЕД Виртуализация ROSA Virtualization и др. |
Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | Ограничения по гипервизорам отсутствуют, требуется только поддержка ОС, указанных в ячейке ниже | Любые гипервизоры первого типа, включая ESXi, Hyper-V, KVM-based |
| Поддерживаемые ОС (для инсталляции) | Ubuntu Astra Linux 1.8 РЕД ОС Alt Linux SberLinux |
Astra Linux РЕД ОС Debian Ubuntu CentOS Alt Linux RHEL SberLinux |
Astra Linux Ubuntu Microsoft Windows Server Смешанные инсталляции |
Протестированные версии: Red Hat Enterprise Linux (RHEL) 7 и 8 Astra Linux CE 2.12.45 и 2.12.46 Astra Linux SE 1.7 и 1.8 Ubuntu Server 20.04, 22.04, 24.04 РЕД ОС Муром 7.3 Debian 10, 11, 12 Oracle Linux 8.6 и 8.7 |
Ubuntu Astra Linux |
| Возможность работы в системах оркестровки контейнеризированных приложений | Нет (используются образы Docker, Docker-compose) |
Да | Нет | Да | Да (только в k8s) |
| Возможность автообновления отдельных компонентов системы (например, парсеров событий или ядра корреляции) | Да | Да | Да | Да (с помощью дистрибутива) |
Да |
| Обновление без остановок / простоев системы ("горячее") | Да | Да | Да | Да (при использовании кластерной архитектуры) |
Да |
Хранение данных и передача событий
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Основная СУБД | OpenSearch 3.x | ClickHouse | MongoDB | OpenSearch и / или ClickHouse, в зависимости от архитектуры и решаемых задач. Есть возможность подключения к внешним хранилищам (OpenSearch, Elasticsearch, ClickHouse, Hadoop, DB) используя технологию Search Anywhere | ClickHouse |
| Возможность хранения данных на внешних носителях (NAS / SAN) | Да (поддержка S3 + проброс Lun) |
Да | Да | Да | Да |
| Автоматическое архивирование данных (по триггеру, по времени), в т. ч. на внешние хранилища | Да | Да | Да | Да | Да |
| Поддержка нескольких хранилищ событий | Да | Да | Да | Да (OpenSearch, Elasticsearch, ClickHouse, Hadoop и другие базы данных через JDBC) |
Нет (в разработке) |
| Возможность настройки глубины хранения событий | Да (для каждого индекса) |
Да | Да | Да (есть возможность настройки для каждого источника) |
Да (нормализованные / сырые события) |
| Возможность гибкой настройки хранения для различных событий | Да | Да | Да | Да (возможность использовать для различных данных разные хранилища и применять разные настройки индексов и их параметров ротации) |
Нет (в разработке) |
| Возможность хранения "сырых" событий | Да | Да | Да (для событий, собранных в пассивном режиме) |
Да | Да |
| Потребление трафика при передаче событий от сборщиков до центра системы (для распределённых систем) | 25 Мбит/с на 1 000 EPS | Утилизация канала варьируется в зависимости от веса событий, настройки сжатия (до 10 раз), фильтрации передаваемых событий, нормализации / агрегации / корреляции событий на сборщике или передачи всех сырых событий в центр системы | 10 Мбит/с на 1000 EPS | 10 Мбит/с на 1000 EPS | Не измерено |
| Ограничение потребления трафика при передаче событий от сборщиков до центра системы (для распределённых систем) | Для площадок с каналами связи менее 8 Мбит/с (в т. ч. менее 1 Мбит/с) существует реализация сбора инцидентов, события хранятся на площадках | С помощью системы batch (через настройку частоты передачи сообщений и размеров батчей) |
Не предусмотрено | Настраиваемый уровень сжатия данных при передаче, фильтрация данных, использование брокера очередей для сглаживания пиковой нагрузки | Не предусмотрено |
| Средняя степень сжатия при передаче событий | Сведения отсутствуют либо не предусмотрено | х2-х8 | х3-х10 | х2 | Не измерено |
| Средняя степень сжатия при хранении событий | От x1,3 до x3, в зависимости от конфигурации | Горячее / тёплое – до x6-x8 Холодное – до x24 |
х3-х7 | x2-x5 (в зависимости от типа используемого хранилища) | х12 |
Производительность и масштабирование
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Ограничения по количеству обрабатываемых событий в секунду (EPS) | Не более 50 000 для 1 кластера При геораспределённой инсталляции или горизонтальном масштабировании ограничивается только ресурсами заказчика |
Ограничений не заявлено | EPS ограничен только аппаратными ресурсами, система поддерживает горизонтальное масштабирование | EPS ограничен только аппаратными ресурсами, система поддерживает горизонтальное масштабирование | Логическое ограничение в 500 000 EPS |
| Минимальное количество серверов для разворачивания системы, обрабатывающей поток 10 000 EPS, и их характеристики | 1 сервер: ЦП - 14 ядер или 28 vCPU, 36 ГБ ОЗУ, диск - 480 ГБ SAS 3 сервера: ЦП - 16 ядер или 32 vCPU, 64 ГБ ОЗУ, диск - 5 ТБ SSD Hot + 17 ТБ SAS Warm + 130 ТБ S3 Cold (Средний размер события 2,5 кБ. Минимальные требования рассчитаны на полноценную работу решения с средненедельным потоком 10 000 EPS, с полнотекстовым поиском за весь период и хранением 1 месяц. Вследствие особенностей лицензирования система рассчитана на пиковые превышения и сохранение работоспособности.) |
Конфигурация для развёртывания системы на 1 сервере: ЦП - 24 vCPU ОЗУ - 64 ГБ Диск - 500 ГБ Для хранения данных может требоваться дополнительное дисковое пространство |
Конфигурация для развёртывания системы на 1 сервере (ориентировочные данные): ЦП - 16 ядер/32 потока ОЗУ - 128 ГБ Диск - 1 ТБ Для хранения данных может требоваться дополнительное дисковое пространство |
Конфигурация для развёртывания системы на 1 сервере: ЦП - 16 ядер ОЗУ - 64 ГБ Диск - 1 ТБ Для хранения данных может требоваться дополнительное дисковое пространство |
Конфигурация для развёртывания системы на 1 сервере: ЦП - 32 vCPU ОЗУ - 64 ГБ Диск - 1 ТБ SSD Для хранения данных может требоваться дополнительное дисковое пространство |
| Возможность увеличения мощности компонентов системы | Да (горизонтальное масштабирование более эффективно) |
Да | Да | Да (поддерживается горизонтальное и вертикальное масштабирование, осуществляется с расширением лицензии) |
Да |
| Возможность развития системы за счет добавления дополнительных компонентов (горизонтальное масштабирование) | Да | Да | Да | Да (поддерживается как на уровне сбора, так и на уровне хранения данных) |
Да |
| "Горячее" расширение | Да | Да | Да | Да | Да |
| Возможность построения иерархических структур отдельных самостоятельных инсталляций (вертикальное масштабирование) | Да | Да | Да | Да (архитектура может состоять из нескольких связанных инсталляций) |
Нет (в разработке) |
| Возможность работы в высоконагруженных средах | Да | Да | Да | Да | Да |
| Потоковая обработка событий | Да (фильтрация, парсинг, нормализация и обогащение данных) |
Да | Да | Да (фильтрация, парсинг, нормализация и обогащение данных. Основные возможности корреляции основаны на rule-based механизмах по поиску в проиндексированных данных) |
Да |
Отказоустойчивость и резервирование
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Возможности по резервированию ядра системы | Кластеризация, репликация | Кластер Kubernetes (три master-ноды и две worker-ноды) |
Для виртуальной инсталляции средствами гипервизора (vSphere HA — Active-Active, снапшот — Active-Passive) | Active-Active, Active-Standby | Дублирование |
| Возможности по резервированию компонентов сбора событий | Active-Active | Кластер Kubernetes (запасные worker-ноды для переброса подов коллектора при падении одного из worker'ов) |
Серверный, агентский и безагентский сбор, внешний коннектор, горизонтальное и вертикальное масштабирование | Определяется логически и архитектурно | Дублирование |
| Возможности по резервированию и обеспечению отказоустойчивости БД | Кластер OpenSearch с шардированием | Настройка кластера ClickHouse с репликацией и шардированием; бэкапы можно складывать в S3-подобное хранилище |
Кластер на уровне БД, RAID-массивы, встроенные инструменты бэкапирования и восстановления | Возможно построение отказоустойчивого кластера | Дублирование |
| Возможность временного сохранения событий локально на сборщике, если отсутствует связь с ядром | Да | Да (при потере связи накапливаются локально в буферах) |
Да | Да (объём кэшируемых данных настраивается, при высоких требованиях к времени хранения на стадии сбора рекомендуется использовать брокер очередей) |
Нет |
| Резервное копирование конфигурации системы | Да | Да (Postgres, etcd, ClickHouse) |
Да | Да (возможна настройка автоматического резервного копирования конфигураций) |
Нет |
| Возможность автоматического восстановления конфигурации из резервной копии | По запросу пользователя из интерфейса | Да | Да | Да (есть возможность автоматического восстановления при сбоях) |
Нет |
| Возможность восстановления базы данных после сбоев | Да | Да | Да | Да (если используется репликация или резервное копирование событий от источников данных) |
Нет |
| Балансировка нагрузки | Да | Да | Да | Да (доступна автоматическая балансировка на уровне сбора и хранения данных, балансировка веб-доступа настраивается на отдельном прокси) |
Да |
| Кластеризация Active-Active | Да | Да | Да | Да (кластеризация Active-Active доступна как на уровне сбора данных, так и на уровне хранилища) |
Да |
| Кластеризация Active-Passive | Нет (можно использовать схему Active-Active без подачи данных на резервные узлы) |
Да | Да (набор компонентов – на выбор пользователя) |
Да (с помощью компонента "Геораспределенный кластер" можно создать отдельный набор компонентов, например в удалённом ЦОДе, который будет работать в пассивном режиме) |
Нет |
| Управление нагрузкой на инфраструктуру | Да (управление собираемыми данными с агентов, настройка частоты запуска правил и мониторинг времени выполнения, ограничение размера запроса для JDBC, лимитирование потребляемых ресурсов скриптами) |
Да | Нет | Да (лимиты на ребалансировку кластера, запуск служебных задач в периоды низкой загрузки, фильтрация событий, аналитика по поисковой нагрузке для её перераспределения во времени, при необходимости) |
Нет |
| Мониторинг собственного состояния системы | Да | Да | Да | Да (в системе присутствует компонент самомониторинга, собирающий всю необходимую информацию о состоянии кластера, об утилизации ресурсов, системных событиях, процессах индексации и поиска по данным) |
Да |
| Сбор и возможность отправки собственных метрик функционирования (состояния) во внешнюю систему мониторинга | API, Zabbix Agent | Импорт метрик из Prometheus или отправка метрик через конвейеры SIEM | Не предусмотрено | Информация собирается в журналах событий, внешняя система может читать метрики через API либо получать метрики или алерты по состоянию, отправляемые Smart Monitor | Prometheus |
Защищённость системы
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Ролевая модель для доступа к функциям системы | Да | Да | Да | Да (RBAC) |
Да |
| Ролевая модель для доступа к данным | Да | Да | Да | Да (RBAC, ABAC) |
Нет |
| Разграничение доступа по атрибутам | Да | Да | Нет | Да | Да |
| Аутентификация с использованием служб каталогов | Да | Да (LDAP) |
Да | Да | Да |
| Аутентификация с использованием RADIUS | Нет | Нет | Да (в рамках поддержки ОС) |
Да (с помощью сторонних компонентов) |
Нет |
| Двухфакторная аутентификация | Да | Да | Нет | Да (с помощью сторонних компонентов) |
Нет |
| Возможность маскирования отдельных полей хранимых данных | Да | Нет | Нет | Да | Нет |
| Журналирование действий и изменений, инициированных пользователями | Да | Да | Да | Да (перечень логируемых событий настраивается) |
Да |
| Журналирование изменений, инициированных системными компонентами | Да | Да | Да | Да (перечень логируемых событий настраивается) |
Да |
| Безопасные протоколы передачи данных между компонентами системы | TLS, SSL, TLS/SSL и пр. | TLS/SSL | Защита канала между сервером и толстыми клиентами | TLS/SSL | TLS, mTLS |
| Обеспечение и подтверждение безопасности кода и разработки | Подразделение безопасной разработки, внешний аудит от партнёров. Подтверждается сертификатом ФСТЭК России | Корпоративные процессы SDLC и процесс сертификации ФСТЭК России | Продукт имеет сертификат ФСТЭК России № 4424 по 4-му уровню доверия и технических условий. Разработчик имеет лицензии ФСБ, ФСТЭК России на деятельность по разработке и производству средств защиты конфиденциальной информации | Сканеры безопасности (статические, динамические), автоматизированный процесс сборки с проверками, проверки антивирусами, автоматизированные сканеры качества кода, средства контроля зависимостей. Есть сертификат ФСТЭК России | В процессе сертификации по требованиям ФСТЭК России |
Интеграция
Подключение источников событий
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Количество поддерживаемых источников событий | 100 | 220+ | 100+ (может быть подключён любой источник, поддерживающий один из общепринятых стандартов передачи логов / данных) |
Ограничений не заявлено | 50 |
| Возможность подключения нестандартных источников | Да | Да | Да | Да (любые возможные типы источников. Часто используются: Syslog, WinEventLog, Perfmon, WMI, file, SNMP, JDBC, SQL, HTTP, API) |
Да |
| Контроль поступления событий от источников | Да | Да | Да | Да (в рамках компонента самомониторинга) |
Да |
| Мониторинг метрик работы источников событий | Да | Да | Да | Да | Да |
| Централизованная настройка источников событий средствами системы | Да (управление конфигурацией агентов, применение управляющих скриптов, конфигурация JDBC-сборщиков, применение скриптов сбора) |
Да (централизованная настройка коллекторов, точек входа и агентов) |
Нет | Да (с помощью веб-интерфейса компонента Smart Beat Manager конфигурации сбора данных настраиваются и распределяются по группам агентов и коллекторов) |
Нет |
| Автообнаружение / автораспознавание источников событий (активов, компонентов инфраструктуры и пр.) | Да (обнаружение новых активов в событиях, обнаружение неподключённых источников Syslog, направляющих события в систему) |
Нет | Да (при получении событий от источника) |
Да (обновление списка активов инвентаризации, уведомления о новых источниках, аналитика на дашбордах, автоматическое распространение конфигураций на новые агенты, автоматический опрос новых устройств при появлении по ним информации в журналах событий) |
Нет |
Обогащение данными из других систем, в том числе систем ИБ
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Обмен данными с другим решением класса SIEM / LM | Да | Да | Да | Да (API, электронная почта) |
Да (Kafka) |
| Интеграция с IRP / SOAR | Да | Да | Да | Да (API, электронная почта. Есть встроенные возможности по управлению инцидентами и автоматическому реагированию на них в рамках активных действий, ad-hoc действий или пайплайнов обработки инцидентов, рабочих процессов) |
Да (продукт включает в себя SOAR, но можно интегрировать со сторонним) |
| Интеграция со сканерами уязвимостей (VM) | Да | Да | Да | Да | Да |
| Интеграция с EDR / XDR | Да | Да | Нет | Да | Да |
| Интеграция со службами каталогов | Да | Да | Да | Да | Да |
| Интеграция с ITSM / CMDB | Да | Да | Нет | Да (может использоваться как один из источников данных для обогащения информации по активам) |
Да |
| Интеграция с системами Service Desk | Да | Да | Нет (однако есть своя встроенная) |
Да (отправка информации по инцидентам, двухсторонняя синхронизация статусов) |
Да |
| Подключение фидов киберразведки (Threat Intelligence) | Да | Да | Да | Да (есть модуль Threat Intelligence, позволяющий работать с индикаторами, есть платные партнёрские интеграции, предоставляющие набор экспертизы по индикаторам) |
Да |
| Подключение репутационных баз (IP-адреса / URL) | Да | Да | Нет | Да | Да |
| Возможность применения с GIT-системами для управления контентом (detection as code) | Да | Да | Нет | Да | Нет |
| Возможность бесшовного взаимодействия с TI, EDR и пр. (экосистемность) | Да (CTT Threat Feed) |
Да (классы продуктов не указаны) |
Да (спектр решений СёрчИнформ) |
Да (для EDR есть отдельный модуль SmartEDR, даёт аналитику по телеметрии и расширяет возможности автоматической реакции через агенты EDR) |
Да (классы продуктов не указаны) |
| Импорт индикаторов компрометации (IoC) | Да | Да | Да | Да (любые открытые источники и коммерческие поставщики индикаторов) |
Да |
| Импорт / экспорт данных с другой инсталляции системы | Да | Да | Да | Да (доступен экспорт и импорт конфигураций, контента, данных) |
Да |
| Наличие и вид API | Да (Swagger, OpenSearch API, Kibana API, свой API) |
Да (GraphQL API) |
Да (REST API) |
Да (REST API с полным набором возможных в системе операций) |
Да |
Основная функциональность
Управление событиями и данными
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Агентский сбор событий | Да | Да | Да | Да | Да |
| Централизованное управление агентами | Да | Да | Да | Да | Да |
| Неагентский сбор событий | Да | Да | Да | Да | Да |
| Активный сбор событий | Да | Да | Да | Да | Да |
| Пассивный сбор событий | Да | Да | Да | Да | Да |
| Сбор событий и данных в изолированных сегментах сети | Да | Да | Да | Да | Да (выносной агент сбора) |
| Сбор событий с Linux | Да | Да | Да | Да | Да |
| Сбор событий по Syslog | Да | Да | Да | Да | Да |
| Сбор событий по SNMP | Да | Да | Да | Да | Нет |
| Сбор событий по NetFlow | Да | Да | Да | Да | Нет |
| Сбор событий по RPC | Нет | Да | Да | Да | Да |
| Сбор событий по WMI | Нет | Да | Да | Да | Да |
| Сбор событий по ODBC | Да (используется JDBC) |
Да | Да | Да | Да |
| Нормализация событий | Да | Да | Да | Да | Да |
| Избирательная (частичная) нормализация отдельных событий | Да | Да | Да | Да | Да |
| Возможность фильтрации собираемых событий до нормализации | Да | Да | Да | Да (на агентах или коллекторах) |
Да (xpath, regex) |
| Возможность фильтрации собираемых событий после нормализации | Да | Да | Да | Да | Нет |
| Потоковая корреляция | Нет | Да | Да | Нет (потребность в быстрой реакции закрывается поисками с коротким временным окном. Вендор отмечает, что в других кейсах применяемый подход по работе с данными даёт ряд преимуществ - например, при работе с историческими данными, выявлении цепочек атак, использовании сложных обработок с использованием lookup, join, aggs, transaction) |
Сведения отсутствуют или не предусмотрено |
| Корреляция по историческим данным (ретроспективная) | Да | Да | Да | Да | Нет |
| Корреляция без нормализации | Да | Да | Нет | Да | Нет |
| Корреляция с учётом контекста / состояния (stateful) | Да | Да | Да | Да (язык запросов содержит команды, позволяющие агрегировать события или последовательность событий по определённым признакам. Примеры таких команд - transaction, streamstats) |
Да |
| Многоуровневая корреляция (результаты работы одного правила поступают на вход других правил) | Да | Да | Да | Да (можно реализовать двумя способами: в рамках одного запроса, запустив дополнительный поиск по результатам через команды map или foreach, либо через активное действие run job action, через которое можно запускать смежную задачу) |
Да |
| Агрегация событий | Да | Да | Да | Да (возможна как на уровне коллектора, так и на уровне поискового движка с использованием различных статистических команд, aggs, stats, timeaggs, eventstats, streamstats и др. Агрегация событий может включать как исходный индекс, по которому осуществляется поиск, так и дополнительные данные в соседних индексах, внешних хранилищах или доступных по API) |
Да |
| Приоритизация событий | Да | Да | Да | Да | Да |
| Приведение событий к единой временной зоне | Да | Да | Нет | Да | Да |
| Перенаправление событий | Да | Да | Нет | Да | Да |
| Возможность сбора данных о сетевом трафике | Да | Да | Да | Да | Да |
| Поддерживаемые форматы сбора и получения событий | Syslog, NetFlow, SNMP, WEC, средствами агента (Beats, Sysmon, Wazuh), JDBC (SQL), сбор средствами Python-скриптов с поддержкой JSON | Syslog / CEF, Raw TCP / UDP, Netflow (v5, v9, IPFIX), Kafka, NATS, FTP, SMB , WMI, HTTP, ODBC / JDBC (Microsoft SQL, MySQL, Oracle DB, Mongo DB, ClickHouse, PostgreSQL) | Syslog, TLS Syslog, ODBC, WinRPC, SQL, Event Logging, Oracle, 1С, Netflow, SSH, SNMP и пр. | Любые возможные. Часто используются: Syslog, WinEventLog, Perfmon, WMI, file, SNMP, JDBC, SQL, HTTP, API | Syslog, CEF, File, RPC (WMI), JDBC, Local EVTX |
| Поддерживаемые форматы нормализации и протоколы | Своя схема данных / RFC 5425 / RFC 3164 / EVTX / ECS (elastic common schema) / JSON | APACHE LOG, AVRO, AVRO RAW, AWS ALB LOG, AWS CLOUDWATCH LOG SUBSCRIPTION MESSAGE, AWS VPC FLOW LOG, BYTES, CBOR, CEF, COMMON LOG, CSV, DNS LOOKUP, DURATION, ETLD, EXTRACT FROM DIT, GLOG, GROK, GROKS, HTML, INFLUXDB, JSON, JSON EXTRACT PAYLOAD, KEY VALUE, KLOG, LEEF, LINUX AUTHORIZATION, LOGFMT, MSGPACK, MSGPACK BATCH, NETFLOW, NGINX LOG, PROTO, QRADAR, QUERY STRING, RUBY HASH, SYSLOG, TOKENS, URL, USER AGENT, XML | Syslog, TLS Syslog, ODBC, WinRPC, SQL, Event Logging, Oracle, 1С, Netflow, SSH, SNMP и пр. | Рекомендуемая схема - ECS (Elastic Common Schema), по желанию можно использовать любой другой формат нормализации | Plaintext, JSON, XML, Database, Key-value |
Управление активами
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Наличие возможности задания или импорта информации об активах (assets) | Да | Да | Да | Да (через модуль инвентаризации, доступно наполнение инвентаризации для любых классов активов) |
Да |
| Автоматическое добавление активов | Да | Да | Да | Да (через модуль инвентаризации) |
Нет |
| Ручное создание активов | Да | Да | Да | Да (через модуль инвентаризации) |
Да |
| Группировка активов | Да | Да | Да | Да | Да |
| Построение и учёт иерархических связей между элементами ИТ-инфраструктуры | Да (ПО, аппаратная составляющая, тип актива, площадка, ответственный, группировка тегами) |
Да | Нет | Да (есть возможность настройки связи между типами активов, доступна отрисовка карты связей конкретного актива) |
Нет (в бэклоге) |
| Определение критической значимости актива | Да | Да | Да | Да (условия определения критической значимости задаются при настройке категории актива) |
Да |
| Встроенный поиск уязвимостей на активах | Нет (используются данные внешних систем) |
Да (при использовании R-Vision VM) |
Да | Да (модуль SmartEDR предоставляет функциональность Threat Prediction для поиска уязвимостей на основании информации об используемом ПО на конечных точках) |
Нет |
| Обогащение информации об активах (источники) | Агент, Microsoft AD, сканеры уязвимостей, события, ITSM / CMDB | AD, KSC, SCCM, CMDB, Zabbix, vCenter, MaxPatrol 8, MaxPatrol VM | Из самой SIEM | Из любых источников данных. Стандартные источники - AD, CMDB, базы антивирусов, HR-системы | AD, CMDB, KSC и т. д. |
Управление инцидентами
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Количество полей в карточке инцидента | Не лимитируется | 100 | До 70 | Структура полей адаптируется пользователем при необходимости, количество полей технически не ограничено | Не ограничено |
| Кастомизируемая карточка инцидента | Да (структура неизменяема, содержимое полей доступно к изменению) |
Да (с использованием R-Vision SOAR) |
Да | Да | Да |
| Статусы инцидентов | Да | Да | Да | Да (перечень статусов и переходы между ними настраиваются в системе и образуют рабочие процессы, по которым двигается инцидент. Рабочих процессов может быть произвольное количество, они связываются с типами инцидентов) |
Да |
| Уровни критической значимости инцидентов | Да | Да | Да | Да (по умолчанию в системе 4 уровня критической значимости, можно задать произвольное количество и наименование уровней) |
Да |
| Возможность сохранения / прикрепления произвольной информации (в т. ч. файлов) из событий в инцидент | Да | Да | Да | Да (можно сохранять любую информацию, есть функциональность заметок, где можно описывать отчёты по инцидентам и связывать их с карточкой инцидента, активами инвентаризации, исходными данными или статистикой, а также прикладывать изображения или вложения) |
Да |
| Возможность проверки собранных в инциденте индикаторов во внешних сервисах (whois, репутационные базы и пр) | Да | Да (с использованием R-Vision SOAR) |
Нет | Да (через активные действия в рабочих процессах или ad-hoc действия) |
Да (любые запросы по REST API) |
| Фиксация временных интервалов обработки для контроля SLA и метрик при работе с инцидентом | Да | Да (с использованием R-Vision SOAR) |
Да | Да (есть дашборды, позволяющие получить детальную информацию по соблюдению SLA) |
Да |
| Работа с инцидентом по принципу "одного окна" | Да | Да | Да | Да | Да (идеология системы заключается именно в этом) |
| Назначение инцидентов и задач пользователям (исполнителям) | Да | Да | Да | Да | Да |
| История изменений инцидента | Да | Да (с использованием R-Vision SOAR) |
Да | Да (изменений и действий в рамках инцидента) |
Да |
| Выгрузка инцидентов | Да | Да | Да | Да | Да |
| Выявление инцидентов в режиме реального времени | Да | Да | Да | Да (правила корреляции по cron с высокой частотой запуска обеспечивают минимальную задержку) |
Да |
| Пути эскалации инцидента | Вручную; передача во внешние системы (автоматически либо вручную) | Через SOAR | Вручную, автоматически, по заданным условиям и т. д. | Переводы на следующие линии поддержки, отправка уведомлений или автоматическая реакция, а также возможность передачи информации во внешний IRP / SOAR | Автоматически или вручную |
| Оповещение об инциденте | Почта, мессенджеры, интеграции | Почта, мессенджеры, интеграции | Почта, мессенджеры, пуш-уведомления | Почта, мессенджеры, СМС, Telegram и интеграции через API | Telegram, Email, любые запросы по REST API |
| Принятие решений в рамках процесса обработки инцидентов | Ручное, на основе связи скриптов с правилами корреляции | Ручное, автоматическое, по заданным критериям | Ручное, автоматическое, по заданным критериям, на основе скриптов и т. д. | Ручное, автоматическое | Ручное, автоматическое (по условиям полученной от интеграций информации и т. д.) |
| Возможность реагирования | Да | Да (из кода правила корреляции, вручную через агенты, R-Vision SOAR) |
Да (автоматически (путем направления команд), с использованием внешних инструментов, уже имеющихся у заказчика) |
Да (содержит набор предустановленных активных действий, есть возможность добавления кастомных активных действий. Активные действия могут быть использованы для произвольной реакции на результат поисковых заданий. Есть возможность гибкой настройки реагирования в рамках предустановленных и кастомных рабочих процессов обработки инцидентов и ad-hoc действий) |
Да (PowerShell, Bash, Python, REST API) |
| Автоматические механизмы фильтрации ложных срабатываний | Нет | Да (с использованием R-Vision SOAR) |
Да | Да | Да (профили исключений) |
| Возможность выделения ложных срабатываний пользователем | Да | Да | Да | Да | Да |
| Риск-корреляция (учёт уровня риска - например, весов событий или показателей критической значимости активов) | Да | Да | Нет | Да (по риск-баллам доступна дополнительная аналитика, дашборды, есть возможность фиксировать инциденты при превышении порогов за период времени) |
Да |
| Возможность применения произвольных (пользовательских) формул для расчета уровня риска | Нет (формула зашита, пользователь может задавать до трёх параметров, влияющих на вес) |
Да | Нет | Да | Да |
Визуализация и аналитика
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Сопоставление правил корреляции с MITRE ATT&CK для выявления техник атакующих | Да | Да | Нет | Да (есть модуль MITRE ATT&CK, с помощью которого ведётся работа с матрицей внутри Smart Monitor, определяются приоритеты, покрытие угроз, доступна аналитика по срабатываниям на дашбордах или в виде матрицы MITRE. Есть возможность фиксировать дополнительные инциденты при фиксации срабатываний из разных техник / тактик у одного объекта) |
Да (с помощью ИИ-ассистента) |
| Возможность сохранения наборов фильтров и поисковых запросов для повторного использования | Да | Да | Да | Да (запросы могут быть сохранены в избранном для конкретного пользователя либо в качестве сохранённого запроса) |
Да (включая настройки визуализации) |
| Язык поисковых запросов | Да (DSL, Lucene) |
Да (RQL) |
Нет | Да (язык поисковых запросов и корреляции Smart Monitor Language) |
Нет (применяется принцип No Code (графический)) |
| Полнотекстовый поиск по «сырым» событиям | Да | Да | Да | Да | Да |
| Ретроспективный поиск индикаторов компрометации | Да | Да | Да | Да | Нет |
| Построение графов (например, сетевого взаимодействия, процессов и их родителей и пр.) | Да | Да (с использованием R-Vision SOAR) |
Да (инциденты и их родители, миграция пользователей по рабочим местам, GeoIP и пр.) |
Да (возможно отображение в виде графов любых связанных сущностей в активах инвентаризации) |
Нет |
| Создание / изменение панелей визуализации (дашбордов) | Да | Да | Да | Да | Да |
| Интерактивная работа с дашбордами (drill-down) | Да | Да | Да | Да (переходы доступны во всех элементах системы, ссылки могут быть добавлены в инциденты, дашборды, ресурсно-сервисную модель, инвентаризацию и др.) |
Да |
| Возможность выгрузки данных из дашбордов (например, отфильтрованные отображаемые события, результаты агрегаций и пр.) | Да | Да | Да (отфильтрованные отображаемые события, результаты агрегаций и пр.) |
Да (есть экспорт в PDF, табличные данные можно экспортировать в CSV или XLSX) |
Да |
| Инструментарий для командной работы (например, таск-трекер) | Да | Нет | Да (управление задачами) |
Да (компонент "Заметки". В заметках может быть не только текст, но и информация по активам, связанные инциденты, результаты поиска и аналитика по данным, изображения и вложения. Используются для сохранения информации и передачи информации между сотрудниками. Также предусмотрен рабочий процесс с переходами между линиями поддержки. Для шеринга знаний помимо заметок доступны и комментарии к инцидентам) |
Нет |
Отчёты и документы
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Формирование и рассылка отчетов по расписанию | Да | Да | Да | Да | Да |
| Формирование и рассылка отчетов по критерию / триггеру | Да (при формировании уведомления в ГосСОПКА приходит отчёт и уведомление ответственному за отправку. Также в рамках расследования при квалификации события и при завершении расследования) |
Да | Да | Да | Да |
| Встроенный конструктор отчетов | Да | Да | Да | Да | Да |
| Возможность формирования отчетов в виде документов | Да | Да | Нет | Да | Нет |
| Отчёты и сводки для топ-менеджмента | Да | Да (отчеты собираются вручную) |
Да | Да (включая элементы основанные на данных - "Живые статьи" с возможностью добавления витрин данных или дашбордов внутри статьи) |
Да |
| Отчёты и сводки для регуляторов | Да (оповещение по форме НКЦКИ) |
Да (отчеты собираются вручную) |
Да (с отправкой) |
Да | Нет |
| Отчёты и сводки для технических специалистов | Да | Да (отчеты собираются вручную) |
Да | Да | Да |
| Форматы экспорта отчетов | PDF, XLS, CSV | PDF, CSV, HTML | PDF, HTML, XML, XLS, XLSX, TXT | CSV, JSON, XLSX, дашборд можно экспортировать в PDF | CSV |
Эксплуатация системы
Предустановленная функциональность
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Наличие предустановленных правил нормализации | Да | Да | Да | Да | Да |
| Наличие предустановленных правил фильтрации | Да | Да (на уровне правил нормализации) |
Да | Да | Да |
| Наличие предустановленных правил детектирования / корреляции | Да | Да | Да | Да (контент поставляется в контентных модулях, основной модуль для SIEM - Cyber Security) |
Да |
| Количество предустановленных правил нормализации | 100 | 290+ | 500+ | 100+ | 97 |
| Количество предустановленных правил фильтрации | 100 | 290+ | 500+ | 100+ | 97 |
| Количество предустановленных правил детектирования / корреляции | 400 | 850+ | 500+ | 3000+ | 1000 |
| Частота обновления правил | Ежеквартально | Каждые 2 недели | 1-3 раза в месяц | Ежеквартально, с мажорными релизами. Критически важный контент по актуальным угрозам распространяется сразу после реализации | Ежемесячно |
| Количество готовых коннекторов к источникам событий и / или другим СЗИ "из коробки" (например, коннекторы к 1С, Active Directory и пр.) | 100 | 220+ | 40+ | 70+ | 5 |
| Наличие предустановленных графических панелей (дашбордов) | Да | Да | Да | Да (контент поставляется в контентных модулях, основной модуль для SIEM - Cyber Security) |
Да |
| Наличие предустановленных виджетов | Да | Да | Да | Да (контент поставляется в контентных модулях, основной модуль для SIEM - Cyber Security) |
Да |
| Наличие предустановленных отчетов | Да | Да | Да | Да (контент поставляется в контентных модулях, основной модуль для SIEM - Cyber Security) |
Нет |
| Дополнительный контент (не входит в комплект поставки, но доступен для скачивания / приобретения) | Весь контент доступен из коробки, дополнительно возможна кастомная реализация под заказчика: дашборды, правила, шаблоны отчётов, скрипты, списки | Схемы дашбордов, правила, шаблоны отчетов, рекомендации по реагированию | Вся возможная функциональность сразу включена в комплект поставки | Перечень модулей доступен на сайте | Вся возможная функциональность сразу включена в комплект поставки |
Кастомизация
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Возможность изменения и добавления правил нормализации | Да | Да | Да | Да | Да |
| Возможность изменения и добавления правил фильтрации | Да | Да | Да | Да | Да |
| Возможность изменения и добавления правил детектирования / корреляции | Да | Да | Да | Да | Да |
| Язык для написания правил корреляции | Да (YAML) |
Да (VRL) |
Нет (вместо языка используется графический конструктор) |
Да (язык поисковых запросов и корреляции Smart Monitor Language) |
Частично (Low Code, графический, есть возможность вычислять значения в переменных) |
| Возможность создания правил корреляции, начинающихся с отрицания (когда какое-то событие не произошло) | Да | Да | Нет | Да | Да |
| Сложные правила корреляции (например, две цепочки событий в рамках одного правила) | Да | Да | Да | Да (например, возможно построение двух цепочек через команды streamstats или transaction и совмещение их через append или join) |
Да |
| Наличие подсказок и проверки синтаксиса правил при их создании | Да (валидация и тестирование) |
Да | Да | Да (есть подсветка синтаксиса и ссылки на документацию при вводе команды) |
Нет |
| Возможность валидации правил перед загрузкой их в работу | Да | Да | Да | Да | Да |
| Версионирование разрабатываемых правил | Да | Да | Нет | Да (сторонними средствами, например через Git) |
Нет |
| Возможность создания пользовательских полей в таксономии без ограничений | Да | Да | Да | Да | Да |
| Возможность добавления временных зон и их использования как переменных в правилах корреляции | Да | Да | Нет | Да | Да |
| Внутренние статические листы / массивы данных / активные списки, наполняемые из полей события ИБ в системе вручную или при срабатывании критерия | Да | Да | Да | Да | Да |
| Возможность использования внешних динамических листов / массивов данных / активных списков | Да | Да | Нет | Да | Да |
| Разбор событий в произвольном формате с помощью регулярных выражений | Да | Да | Нет | Да (основной парсинг осуществляется на коллекторе, при необходимости можно извлечь дополнительные поля на лету в поисковом запросе с использованием команды rex) |
Да |
| Возможность изменения имеющихся коннекторов или создания / написания новых коннекторов в дополнение к доступным "из коробки" (интеграция с самописным ПО, legacy и пр.) | Да | Да | Да | Да | Да |
| Возможность изменения или создания новых парсеров | Да | Да | Да | Да | Да |
| Конструкторы правил | Да | Да | Да (нормализации, корреляции, фильтрации) |
Да | Да |
| Конструктор сценариев реагирования | Да | Да (с использованием R-Vision SOAR) |
Да | Да (действия по реагированию могут быть упакованы в рабочий процесс) |
Да |
Автоматизация
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Поддержка сценариев реагирования (плейбуков) | Да (связь скриптов с правилами корреляции и приоритизация их выполнения, описание процесса реагирования в блокноте аналитика) |
Да (с использованием R-Vision SOAR) |
Да | Да (действия по реагированию могут быть упакованы в рабочий процесс) |
Да |
| Ведение реестра объектов инцидента (внутренние хосты и учетные записи) и внешних артефактов (внешние IP-адреса, хеши, URL, домены, e-mail и т.д.) | Да | Да (с использованием R-Vision SOAR) |
Да | Да (как в карточке инцидента, так и в качестве отдельной заметки, связанной со всеми сущностями по инциденту) |
Да |
| Выстраивание взаимосвязей объектов и артефактов отдельно взятого инцидента со всеми выявленными инцидентами | Да | Да (с использованием R-Vision SOAR) |
Да | Да (связи настраиваются через инвентаризацию, система позволяет через инвентаризацию перейти в связанные объекты и / или просматривать дополнительные инциденты у связанных объектов) |
Да |
| Формирование действий по реагированию в зависимости от каких-либо критериев (например, типа объекта или артефакта, фазы инцидента и пр.) | Да (на основании связи скриптов и правил корреляции) |
Да (с использованием R-Vision SOAR) |
Да | Да | Да |
| Возможность автоматизации задач в рамках процесса управления инцидентами силами специалистов заказчика (автоматический расчет цепочки делегирования задач, расчет сроков устранения на основании рабочих календарей специалистов заказчика, автоматическая классификация инцидентов по методологии заказчика и т.д.). | Нет | Да (с использованием R-Vision SOAR) |
Нет | Да (автоматизация настраивается с использованием рабочих процессов и активных действий внутри них, а также активных действий для правил корреляции. Для контроля сроков и SLA есть дополнительные дашборды, с помощью которых можно контролировать процесс обработки инцидентов. Классификация инцидентов также возможна автоматически, условия классификации настраиваются) |
Да (через SOAR) |
| Использование технологий искусственного интеллекта (например, применение больших языковых моделей (LLM) для реализации чат-бота при работе с инцидентами и пр.) | Не используются | Не используются | Не используются | Конвертация запросов пользователей на обычном языке в язык запросов Smart Monitor Language, доступно в модуле KAIF | На текущий момент - в виде заготовленных промптов для ИИ-ассистента |
| Использование алгоритмов машинного обучения (например, поиск аномалий, предиктивная аналитика по угрозам и рискам, поведенческая аналитика и пр.) | Машинное обучение в UEBA | Машинное обучение в UEBA (при подключении соответствующего модуля) |
Не используются | Команды для работы с машинным обучением, train - обучение модели, predict - предсказание на основании обученной модели | Используются, назначение не указано |
| Выявление неизвестных угроз | Путём ретропоиска по IoC, запросам аналитика и правилам корреляции | При помощи алгоритмов на базе методов статистического анализа и машинного обучения (ML) (при подключении модуля UEBA) |
Через выявление подозрительных одиночных признаков, а не длительных атак | С помощью возможностей ML и модуля UBA | Сведения отсутствуют или не предусмотрено |
| Выявление внутренних угроз (инсайдеров) | За счёт UEBA | Можно отслеживать запуск процессов и приложений, события авторизации, доступ к файлам, перебор паролей, определение DGA и look-alike доменов, почтовый трафик, смену учётной записи, действия пользователей, управление группами безопасности | Через предустановленные правила, через интеграции с другими решениями (DLP, DCAP и пр.) | С помощью соответствующих правил корреляции и поведенческой аналитики, доступной в UBA | Сведения отсутствуют или не предусмотрено |
| Автоматизация аналитики верхнего уровня (уровня общего представления о ситуации) | Python-скрипты, функциональность BI-систем при построении дашбордов (фильтрация, агрегация, группировка) | Формирование описания инцидента в его карточке, прикреплённые корреляционные события, рекомендации по расследованию "из коробки" | В виде графического представления | Механизмы ресурсно-сервисной модели, модуля "Менеджер инцидентов" и дашбордов, возможности автоматического обогащения инцидентов дополнительной информацией | Предусмотрено, конкретные реализации не указаны |
Интерфейс и пользовательский опыт
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Языки графического интерфейса | Русский | Русский, английский | Русский, английский | Русский, английский, японский, испанский | Русский |
| Тип консоли администратора | Веб-консоль | Веб-консоль | Отдельное приложение | Веб-консоль | Веб-консоль |
| Управление настройками агентского сбора через веб-интерфейс | Да | Да | Нет (все управление через консоль) |
Да | Да |
| Управление параметрами парсинга данных через веб-интерфейс | Да | Да | Нет (все управление через консоль) |
Да | Да |
| Наличие отдельного интерфейса (консоли) для аналитика | Да (на основании ролевой модели, поддержка API для подключения внешней Kibana) |
Да (разработка контента в плагине VS Code от R-Vision) |
Да (одна общая консоль, где набор доступных элементов интерфейса меняется в зависимости от роли пользователя) |
Да (веб-интерфейс общий для всех пользователей, но доступный контент для пользователя зависит от его набора ролей. Через ролевую модель настраиваются представления для всех типов пользователей) |
Да (единый интерфейс с разграничением прав) |
| Наличие у аналитика возможности делать заметки для самого себя или коллег ("блокнот") | Да | Да | Да | Да (заметки могут содержать не только текст, но и информацию по активам, связанные инциденты, результаты поиска и аналитику по данным, изображения и вложения. Заметки могут быть персональными и ими можно делиться с коллегами) |
Да (в рамках инцидента) |
| Реализация принципа Low-Code / No-Code (создание и редактирование экранных форм, интеграций, ролевой модели, внешнего вида, дашбордов и отчетов при помощи графического интерфейса без использования языков программирования) | Да (ролевая модель, дашборды, отчёты, интеграции, связь правил и скриптов) |
Да | Да | Да (дашборды и отчёты полностью настраиваются через графический интерфейс, в интерфейсе можно создать формы для запуска активных действий аналитиком с указанием состава полей, предзаполненных при необходимости. Меню и доступные интерфейсы для пользователя также полностью настраиваются) |
Да (всё взаимодействие с контентом построено на No-Code, за исключением шаблонов парсинга и интеграций) |
Техническая поддержка и обучение
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Языки поддержки | Русский | Русский, английский | Русский, английский | Русский | Русский |
| Каналы поддержки | Электронная почта, телефон, портал | Электронная почта, телефон, портал техподдержки, Telegram | Электронная почта, телефон, мессенджеры | Электронная почта, портал технической поддержки | Электронная почта, мессенджеры |
| Период обслуживания | 8х5 / 12х5 / 24х7 | 24x7 (пакеты «Стандарт», «Расширенный», «Премиум», «ПремиумПлюс») |
8х5 | 8х5 | 8х5 |
| Время реагирования на обращение | До 15 мин | От 15 минут | Согласно условиям договора | Определяется в конкретном договоре на оказание услуг расширенной технической поддержки | 1 минута |
| Время решения обращения | До 1 дня | Сведения отсутствуют либо не предусмотрено | Согласно условиям договора | Определяется в конкретном договоре на оказание услуг расширенной технической поддержки | До 1 дня |
| Возможность выезда к клиенту для решения обращения | Да | Да (зависит от пакета поддержки) |
Да (согласно условиям договора) |
Да (в рамках отдельного договора, предусматривающего выезды) |
Да |
| Наличие технической документации на сайте | Да | Да | Нет | Да | Нет |
| Наличие технической документации по запросу | Да | Да | Да | Да | Да |
| Наличие учебных курсов от вендора | Да (курс инженера и аналитика) |
Да (бесплатный курс) |
Да | Да (есть курсы "Admin" и "Developer", зачисление на курсы по предварительной записи) |
Да (под запрос или кастомно) |
| Сопровождение от вендора | Разработка контента | Бесплатный пилотный проект (помощь в разработке правил корреляции и настройке системы). Также при внедрении можно приобрести сопровождение от вендора для настройки системы и разработки контента | Помощь в развертывании и настройке продукта, обучение пользователей, обучение в создании правил и фильтров, проверка пользовательских скриптов и т. д. Есть возможность дополнительно пройти углубленный курс администрирования в учебном центре вендора | Есть базовая и расширенная поддержка, регламенты доступны на сайте производителя | Контент в решении от центра мониторинга и реагирования на инциденты кибербезопасности Solar JSOC, рассмотрение фичреквестов, бандлы и интеграции с другими решениями "Солара" |
Лицензирование
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Минимальная поставка | Лицензия на средненедельный поток объёмом 500 EPS, только модуль корреляции | Лицензия на поток объёмом 3 000 EPS | 20 лицензий | Модуль Core и параметры, характеризующие минимальные объёмы данных. Стоимость минимальной лицензии - 460 т.р. | Лицензия на поток объёмом 250 EPS |
| Возможности расширения | EPS докупается, вся дополнительная функциональность лицензируется по итоговому EPS | Расширение лицензии | Единственный пункт, влияющий на стоимость – количество сетевых узлов, с которых будет происходить сбор данных. Если количество увеличивается – нужно докупать лицензии. Все остальное поставляется при покупке полным комплектом в максимальной функциональности и без ограничения по производительности | Расширение лицензий на требуемый объём инсталляции, докупка модулей для расширения функциональности | Во II кв. 2026 г. планируется добавление пакетов EPS |
| Объекты лицензирования | Средненедельное количество EPS | EPS (отдельно LM, отдельно корреляция) | Количество сетевых узлов, с которых будет проводиться сбор данных (условно - количество серверов + количество сетевого оборудования) | Объём инсталляции в терабайтах данных, модули | EPS |
| Дополнительные параметры, влияющие на стоимость (при наличии) | Модули: UEBA, Геокластер, MSS-консоль, коннектор в ГосСОПКА, инвентаризация, управление инцидентами | Multitenancy, агенты, коннекторы к ГосСОПКА и ФинЦЕРТ, модули UEBA и TIP, Netflow, SOAR, SGRC, VM | Отсутствуют | Отсутствуют | Отказоустойчивость, ГосСОПКА |
| Ограничения при истечении срока действия лицензии | Бессрочная лицензия - нет доступа к техподдержке, срочная лицензия - ограничение в функциональности (при этом сбор сохраняется, корреляция тоже) | Ограничения на внесение изменений в конфигурацию системы, нет обновлений и техподдержки | Отсутствуют обновления и доступ к технической поддержке. Вся функциональность доступна без ограничений | Ограничиваются технические возможности по использованию продукта, в частности поиск по данным | Ограничение технической поддержки, ограничение поставки новых пакетов экспертизы |
| Наличие бессрочных лицензий | Да | Да | Да | Да | Нет |
| Наличие подписочных лицензий | Да | Да | Да | Да | Нет |
| Модульность | Да | Да (дополнительные модули UEBA, TIP) |
SIEM поставляется в максимальной комплектации. Никаких дополнительных функций докупать или скачивать не нужно | Да (перечень доступных модулей есть на сайте) |
Нет (только два отдельных параметра за дополнительную стоимость - ГосСОПКА и отказоустойчивость) |
| Наличие бесплатной версии | Нет | Частично (бесплатный пилотный проект) |
Частично (бесплатный пилотный проект) |
Нет | Частично (бесплатный пилотный проект) |
| Необходимые лицензии на стороннее ПО | Не требуются | Не требуются | Требуются, если серверная ОС и / или СУБД не являются опенсорсными | Не требуются | Не требуются |
| Прайс-лист | Закрытый | Закрытый | Закрытый | Открытый | Закрытый |
| Схема продаж | Партнёрская | Партнёрская | Прямая / смешанная (в приоритете прямые продажи) |
Смешанная | Смешанная, преимущественно партнёрская |
Прочие особенности, которые могут представлять интерес для заказчика
| Параметр сравнения / Продукт | Alertix | R-Vision SIEM | СёрчИнформ SIEM | Smart Monitor | Solar SIEM |
| Срок существования продукта | 7 лет | 3 года | 10 лет | 12 лет | 3 года в разработке, 6 месяцев на рынке |
| Дорожная карта развития продукта | Есть, ознакомление по запросу | Есть, ознакомление по договоренности с вендором | Есть, конфиденциально | Есть, ознакомление по запросу | Есть, открытая |
| Количество партнеров, аттестованных к внедрению продукта | 50+ | 10+ | 100+ | 39 | 2 |
| Количество партнеров, аттестованных к сопровождению продукта | 5 | 10+ | Сопровождение осуществляется вендором | 39 | 5 |
| Охват техник MITRE ATT&CK | Зависит от подключённых источников | 78% | Не оценено | 50% | 40% |
| Возможность работы с матрицей MITRE ATT&CK внутри SIEM | Нет (только маппинг правил на матрицу, с переходом на портал MITRE) |
Да | Нет | Да (есть модуль MITRE ATT&CK c возможностью работать с матрицей в различных сценариях, при приоритизации техник, при оценке покрытия и при выявлении срабатываний) |
Нет |
| Функциональность управления журналами (Log Management) | Да | Да | Да | Да | Нет |
| Возможность построения озера данных ИБ (Security Data Lake) на базе системы | Да | Да | Да | Да (можно использовать Smart Monitor как для построения озера данных, так и для подключения и аналитике по уже существующему озеру данных с использованием технологии Search Anywhere) |
Да |
| Наличие инструмента для миграции с SIEM другого производителя | Да (перенос хранилища событий, интеграция с GIT для переноса правил (detection as code)) |
Да | Нет | Да | Нет |
| Пакеты экспертизы | Весь контент доступен всем клиентам, не разделяется на пакеты | Да | Да | Да (поставляются в виде правил и дашбордов в контентных модулях) |
Да |
| Наличие собственного исследовательского центра, поставляющего пакеты экспертизы | Да (внутренний) |
Да (Центр исследований и аналитики R-Vision (SEA)) |
Нет | Да | Да (центр мониторинга и реагирования на инциденты кибербезопасности Solar JSOC) |
| Состав пакета экспертизы | Правила корреляции, дашборды, скрипты, новые источники | Правила детектирования, правила нормализации, схемы дашбордов, рекомендации по реагированию | Правила корреляции для существующих и новых источников | Правила корреляции, дашборды, аналитика | Правила нормализации, корреляции, Threat Hunting, шаблоны парсинга |
| Частота выпуска пакетов экспертизы | Ежеквартально | 2 раза в месяц | 1-3 раза в месяц | Ежеквартально | 1 раз в месяц, вместе с релизом новой версии |
Выводы
На российском рынке ИБ доступен весьма широкий выбор систем класса «управление информацией и событиями информационной безопасности». Перечень, представленный в этом сравнении, не является исчерпывающим и в определённой мере имеет иллюстративный характер. На ряде ярких примеров мы показываем, какими функциональными возможностями способна обладать современная SIEM-система и на какие нюансы могут обращать внимание заказчики таких программных комплексов.
Информационно-аналитический центр Anti-Malware.ru ведёт постоянный мониторинг событий и изменений на мировых и отечественных рынках ИТ и ИБ. Мы приглашаем заинтересованных вендоров к участию в наших последующих сравнениях, а читателей — к ознакомлению с новыми аналитическими материалами, позволяющими принимать самостоятельные информированные решения о выборе и внедрении различных продуктов и услуг.
Редакция Anti-Malware.ru благодарит коллег и экспертов, принимавших деятельное участие в подготовке сравнения российских SIEM-систем. Нам помогали:
- Александр Лимарев, начальник отдела систем мониторинга компании «Газинформсервис».
- Сергей Максименко-Литвак, руководитель группы управления событиями ИБ компании «Газинформсервис».
- Павел Пугач, системный аналитик «СёрчИнформ».
- Александр Ненахов, менеджер продукта Solar SIEM, ГК «Солар».
- Николай Лишке, директор Центра кибербезопасности АО «Эшелон Технологии».
- Дмитрий Дронов, старший менеджер предпродажной поддержки SIEM / XDR, «Лаборатория Касперского».
- Олег Акишев, руководитель отдела разработки NGR Softlab.
- Алексей Дашков, директор центра развития продуктов NGR Softlab.
- Илья Одинцов, менеджер по продукту SIEM Alertix, NGR Softlab.
- Ксения Моисеева, лидер продуктового развития SIEM, BAD и IM, Positive Technologies.
- Виктор Никуличев, руководитель продукта R-Vision SIEM.
- Даниил Вылегжанин, руководитель отдела предпродажной подготовки, RuSIEM.
- Александр Афонин, руководитель отдела внедрения, RuSIEM.
- Дмитрий Фоминых, специалист, Security Vision.
- Ольга Григорова, специалист, Security Vision.
- Илья Мельников, эксперт по мониторингу в области кибербезопасности, VolgaBlob.
- Михаил Кондрашин, архитектор решений, TrendAI.
