.PNG)
1Что такое SIEM и зачем нужна
SIEM (Security Information and Event Management) — это класс систем информационной безопасности, который собирает, нормализует и анализирует события (логи) со всей IT-инфраструктуры в реальном времени. SIEM-система выявляет инциденты безопасности, которые невозможно обнаружить, глядя на каждый источник по отдельности.
В отличие от точечных средств защиты (антивирус, межсетевой экран, IDS), SIEM собирает данные из десятков источников и сопоставляет их по правилам корреляции. Например, одиночная неудачная авторизация — это норма. Но 50 неудачных попыток с разных IP за 5 минут, а затем успешный вход и запуск PowerShell — это атака, которую увидит только SIEM.
2Как работает SIEM-система
Принцип работы SIEM можно описать в четыре этапа: сбор логов, корреляция событий, генерация алертов и реагирование. Каждый этап критически важен для своевременного обнаружения угроз.
| Этап | Что происходит | Пример |
|---|---|---|
| 1. Сбор логов | Агенты и коннекторы собирают события с серверов, СЗИ, сетевого оборудования, АРМ | Syslog с межсетевого экрана, журналы AD, логи антивируса |
| 2. Нормализация и корреляция | События приводятся к единому формату и сопоставляются по правилам | Brute-force + успешный вход + запуск cmd.exe = цепочка атаки |
| 3. Алерт (оповещение) | Система создаёт инцидент и уведомляет аналитика SOC | Тикет с приоритетом Critical в системе управления инцидентами |
| 4. Реагирование | Аналитик или автоматический плейбук блокирует угрозу | Блокировка учётной записи, изоляция хоста, уведомление руководства |
Современные SIEM-системы обрабатывают тысячи событий в секунду (EPS). Для среднего бизнеса с 200-500 устройствами типичная нагрузка составляет 2 000-5 000 EPS. Крупные предприятия и КИИ генерируют 10 000-50 000 EPS и выше.
3Российские SIEM-системы — сравнение
После ухода зарубежных вендоров (Splunk, IBM QRadar, ArcSight) с российского рынка выбор SIEM сузился до отечественных решений и open-source. Вот ключевые варианты для бизнеса в 2026 году:
| Название | Вендор | Лицензия | Стоимость | Для кого |
|---|---|---|---|---|
| MaxPatrol SIEM | Positive Technologies | Коммерческая, реестр РПО | от 3 млн ₽/год | Средний и крупный бизнес, КИИ |
| RuSIEM | РуСИЕМ | Коммерческая, реестр РПО | от 1,5 млн ₽/год | СМБ от 100 узлов |
| KUMA | Лаборатория Касперского | Коммерческая, реестр РПО | от 2 млн ₽/год | Экосистема Kaspersky, средний бизнес |
| Wazuh | Open Source (сообщество) | GPLv2, бесплатно | Бесплатно (+ стоимость внедрения) | Старт, ограниченный бюджет, MSSP |
| Pangeo RADAR | NGR Softlab | Коммерческая, реестр РПО | от 2 млн ₽/год | Крупный бизнес, госструктуры |
Важно для КИИ
4SIEM и приказ ФСТЭК №117
Приказ ФСТЭК России №117, вступивший в силу 1 марта 2026 года, вводит количественную оценку защищённости — показатель КЗИ (коэффициент защищённости информации). SIEM-система напрямую влияет на несколько критериев расчёта КЗИ:
Критерий «Мониторинг событий ИБ» — наличие SIEM повышает оценку по данному критерию
Критерий «Обнаружение инцидентов» — автоматическая корреляция и алертинг
Критерий «Реагирование на инциденты» — интеграция SIEM с SOAR и плейбуками
Критерий «Управление уязвимостями» — SIEM выявляет эксплуатацию уязвимостей в реальном времени
Критерий «Журналирование» — централизованный сбор и хранение логов не менее 6 месяцев
Без SIEM достичь минимального порога КЗИ = 1 практически невозможно, особенно для организаций с классом защищённости К1-К2. SIEM — фундамент системы мониторинга ИБ.
5SIEM как услуга (MSSP) vs собственная SIEM
Внедрение SIEM «под ключ» на своей площадке требует значительных ресурсов: лицензия, серверы, аналитики SOC, разработка правил корреляции, круглосуточная эксплуатация. Альтернатива — подключение SIEM как управляемой услуги (MSSP/MDR).
| Параметр | Собственная SIEM | SIEM как услуга (MSSP) |
|---|---|---|
| Старт | 3-6 месяцев внедрения | 2-4 недели подключения |
| Капитальные затраты | от 3 млн ₽ (лицензия + серверы) | Нет — только ежемесячная подписка |
| Персонал | 2-3 аналитика SOC (ФОТ ~300 тыс/мес каждый) | Не требуется — команда провайдера |
| Правила корреляции | Нужно разрабатывать самостоятельно | Готовые правила + адаптация под клиента |
| Масштабирование | Покупка доп. мощностей | Гибкое, по запросу |
| Итого от | 5-8 млн ₽/год | от 600 тыс ₽/год |
Для организаций с 50-500 рабочими станциями MSSP-модель, как правило, выгоднее в 3-5 раз. Собственная SIEM оправдана при наличии зрелого SOC и штата аналитиков.
6Как КРЕДО-С внедряет SIEM
КРЕДО-С предоставляет SIEM-мониторинг как управляемую услугу SOC. Мы берём на себя весь цикл: от аудита инфраструктуры до круглосуточного мониторинга и реагирования на инциденты. Вы получаете работающую SIEM без капитальных затрат и найма аналитиков.
10K+
EPS
событий в секунду
<30мин
MTTR
время реагирования
100+
Источников
типов подключения
от 50K
₽/мес
стоимость мониторинга
Подключение от 2 недель — без простоя инфраструктуры
Готовые правила корреляции для российских СЗИ и типовых атак
Круглосуточный мониторинг аналитиками SOC уровня L1-L3
Интеграция с ГосСОПКА для субъектов КИИ
Ежемесячные отчёты для руководства и регуляторов
Помощь в расчёте КЗИ по приказу ФСТЭК №117
7Частые вопросы
Чем SIEM отличается от антивируса и IDS?▼
Антивирус защищает конкретное устройство от известных угроз. IDS обнаруживает сетевые атаки. SIEM — это «мозг», который собирает данные со всех средств защиты (включая антивирус и IDS), сопоставляет их и выявляет сложные атаки, невидимые для отдельных инструментов.
Сколько стоит внедрение SIEM для среднего бизнеса?▼
Собственная SIEM обойдётся от 3-5 млн ₽ в первый год (лицензия, серверы, внедрение) плюс расходы на персонал. SIEM как услуга (MSSP) — от 50 000 ₽/мес для организаций от 50 узлов, что в 3-5 раз дешевле при сопоставимом качестве мониторинга.
Обязательна ли SIEM по закону?▼
Для субъектов КИИ (187-ФЗ) мониторинг событий ИБ обязателен, и SIEM — основной инструмент для этого. Для остальных организаций SIEM не требуется напрямую, но приказ ФСТЭК №117 включает критерии мониторинга и журналирования, которые без SIEM выполнить практически невозможно.
Можно ли использовать бесплатный Wazuh вместо коммерческой SIEM?▼
Wazuh — полноценный open-source SIEM, который подходит для старта и ограниченных бюджетов. Однако он не входит в реестр российского ПО, что может быть критично для госструктур и КИИ. Для коммерческих организаций Wazuh — рабочий вариант, особенно в связке с MSSP-провайдером, который возьмёт на себя настройку и эксплуатацию.
Эта статья подготовлена командой КРЕДО-С — эксперта по информационной безопасности с 1993 года. Используйте наш калькулятор стоимости SOC, пройдите бесплатный экспресс-аудит ИБ или проверьте размер штрафов за нарушения ИБ.
Юрий Вишняков
Руководитель отдела практической информационной безопасности
Мониторинг ИТ-инфраструктуры клиентов и оперативное реагирование на инциденты. Руководит командой SOC-аналитиков 24/7. Экспертиза: SIEM, EDR/XDR, Threat Hunting, IR.