исследование 3 июня 2026

KUMA, MaxPatrol SIEM или Splunk: сравнение и миграция

Splunk ушёл из России: продлить лицензию и подписку на обновления в штатном режиме нельзя, техподдержка и доступ к новым версиям недоступны. Для большинства команд это значит не «дотянуть ещё год», а спланировать переход на отечественную SIEM. Тот же контур — сбор и нормализация событий, корреляция, оповещения, дашборды, расследования — закрывают два зрелых российских продукта: **KUMA** (Лаборатория Касперского) и **MaxPatrol SIEM** (Positive Technologies). **Если коротко:** замена Splunk на российскую SIEM реальна без потери детекта, но требует подготовки. KUMA и MaxPatrol SIEM сопоставимы по базовому контуру и отличаются прежде всего экосистемой, моделью лицензирования и подходом к контенту правил корреляции. Эта статья — про критерии выбора и план миграции; за сравнением конкретных поставщиков по подтверждённым сигналам идите в [рейтинг SIEM](/rating/siem-log-management). Мест и баллов мы здесь не присваиваем — сравнение качественное.

5 мин. чтения Блоки данных: 5 Позиции: не продаются Авторы: Антон Смирнов, Ирина Карпова

Короткий вывод

soc telemetry

SIEM ценна, когда события складываются в рабочую картину

В пилоте SIEM важно проверять поток событий, качество правил и покрытие источников, а не только презентационный интерфейс.

Тематическое фото для исследования: KUMA, MaxPatrol SIEM или Splunk: сравнение и миграция — Тематическая иллюстрация к исследованию: KUMA, MaxPatrol SIEM или Splunk: сравнение и миграция. Ibrahim Boran / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Антон Смирнов Старший редактор исследований ИБ-рынка

Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.

7 лет в SEO-аналитике и редакционных B2B-исследованиях
Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему Splunk больше не вариант

Splunk прекратил продажи и поддержку в России после 2022 года. На практике это снимает саму возможность безопасной эксплуатации в средне- и долгосрочной перспективе:

- **Лицензии и продление.** Легально продлить подписку или докупить объём индексации через вендора нельзя. «Серые» схемы продления несут юридические и операционные риски и не дают гарантий работоспособности. - **Обновления и поддержка.** Новые версии, патчи безопасности самой платформы и обращения в техподдержку недоступны. SIEM, которая сама не патчится, со временем становится точкой риска, а не контроля. - **Контент детекта.** Без доступа к обновлениям правил и аналитики качество детекта постепенно деградирует относительно актуальных угроз. - **Регуляторика.** Для значимых объектов КИИ, госсектора и подключения к ГосСОПКА требуются доверенные средства из реестра отечественного ПО и, как правило, с сертификацией ФСТЭК. Иностранная SIEM этому требованию не отвечает по определению.

Вопрос поэтому звучит не «мигрировать ли со Splunk», а «на что и как мигрировать без потери видимости в SOC».

Сравнение по ключевым критериям

Критерий	KUMA (Лаборатория Касперского)	MaxPatrol SIEM (Positive Technologies)	Splunk
Лицензирование	По числу источников/событий, российский вендор, доступно продление	По активам/числу источников, российский вендор, доступно продление	Продление и закупка в РФ недоступны
Реестр отечественного ПО / ФСТЭК	Российский продукт, ориентирован на реестр и сертификацию	Российский продукт, ориентирован на реестр и сертификацию	Отсутствует в реестре, не сертифицирован под РФ
Модель развёртывания	On-premise, масштабируется коллекторами и сегментами	On-premise, распределённая архитектура сбора	On-premise / облако (в РФ неактуально)
Контент-правила корреляции	Правила и фиды от вендора, интеграция с TI Kaspersky	Сильная экспертиза детекта PT, регулярные пакеты правил	Богатый контент и сообщество, но без доступа из РФ
Экосистема и интеграции	Глубокая связка с продуктами Kaspersky (EDR, TI, песочница)	Связка с продуктами PT (MaxPatrol VM, PT NAD, песочница)	Широкая экосистема приложений, недоступная для закупки
ГосСОПКА	Применима в контуре ГосСОПКА как доверенное СЗИ	Применима в контуре ГосСОПКА как доверенное СЗИ	Не подходит для доверенного контура

Сложность миграции со Splunk по направлениям (редакционная оценка)

Редакционная оценка относительной трудоёмкости направлений миграции (0–100) по открытым данным и практике внедрений. Это не вендорский бенчмарк и не заменяет оценку на вашем стенде.

Перенос правил корреляции 85 /100

85 /100

Перенастройка парсеров источников 70 /100

70 /100

Перенос дашбордов и отчётов 60 /100

60 /100

Обучение команды SOC 55 /100

55 /100

План миграции со Splunk на российскую SIEM

01 Инвентаризация Splunk
Выгрузите перечень источников, объёмы индексации, активные правила корреляции (saved searches/correlation searches), дашборды, отчёты и роли доступа.
02 Профилирование детекта
Зафиксируйте, какие сценарии реально работают: какие правила дают сработки, какие use-cases критичны для SOC и ГосСОПКА. Это и есть то, что нельзя потерять.
03 Шорт-лист и пилот
Возьмите 1–2 кандидата (KUMA, MaxPatrol SIEM), разверните стенд, подключите репрезентативный срез источников и проверьте парсинг и корреляцию на реальных событиях.
04 Перенос парсеров и нормализации
Сопоставьте источники с готовыми парсерами SIEM, допишите кастомные для нестандартных форматов, проверьте корректность полей нормализации.
05 Перенос правил корреляции
Перенесите критичные use-cases: часть закрывается штатным контентом вендора, кастомные правила переписываются под язык корреляции новой SIEM вручную.
06 Параллельный режим
Запустите новую SIEM рядом со Splunk на части трафика, сверьте сработки и полноту покрытия, устраните «слепые зоны».
07 Переключение и вывод
Поэтапно переведите источники и дежурные процессы SOC, перенесите дашборды, обучите команду и выведите Splunk из эксплуатации.

Чек-лист выбора между KUMA и MaxPatrol SIEM

Экосистема оцените, какие средства защиты уже стоят: связка с продуктами Kaspersky тянет к KUMA, с продуктами Positive Technologies — к MaxPatrol SIEM.

Объём и источники посчитайте число источников и поток событий (EPS) и сверьте с моделью лицензирования каждого вендора.

Зрелость контента запросите состав штатных правил корреляции и частоту их обновления под актуальные угрозы.

Парсеры источников проверьте наличие готовых парсеров под ваш стек (СЗИ, ОС, сетевое, прикладное ПО) и трудоёмкость кастомных.

Реестр и сертификация подтвердите наличие в реестре отечественного ПО и нужный класс сертификата ФСТЭК под вашу задачу.

ГосСОПКА если требуется подключение, уточните поддержку форматов и интеграцию с НКЦКИ.

Масштабирование проверьте архитектуру сбора (коллекторы, распределённость) под вашу географию и нагрузку.

Пилот на ваших данных заложите стенд с реальными источниками до тендера, а не после.

Сравните вендоров по подтверждённым внедрениям в [рейтинге SIEM](/rating/siem-log-management).

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг SIEM и систем управления логами →](/rating/siem-log-management)**. Полезно прочитать рядом: [рейтинг российских SIEM 2026](/research/reyting-rossiyskih-siem-2026), [что такое SIEM](/research/chto-takoe-siem) и [как выбрать SIEM для ГосСОПКА](/research/siem-dlya-gossopka).

Частые вопросы

Можно ли продлить лицензию Splunk в России?

В штатном режиме — нет: вендор ушёл с рынка, продление подписки, доступ к обновлениям и техподдержке недоступны. Обходные схемы несут юридические и операционные риски и не гарантируют работоспособность. Для значимых объектов КИИ и контура ГосСОПКА иностранная SIEM к тому же не отвечает требованиям к доверенным средствам защиты из реестра.

Переносятся ли правила корреляции со Splunk автоматически?

Полностью автоматического переноса нет. Язык корреляции и модель данных у Splunk и у российских SIEM различаются, поэтому правила переносятся не «один в один». Часть сценариев закрывается штатным контентом нового вендора, а критичные кастомные правила переписываются вручную под язык корреляции выбранной SIEM. Поэтому на шаге профилирования важно зафиксировать, какие use-cases реально работают, — чтобы перенести именно их.

Что выбрать под экосистему Kaspersky или Positive Technologies?

Это один из главных практических критериев. Если в инфраструктуре уже развёрнуты продукты Лаборатории Касперского (EDR, threat intelligence, песочница), связка с KUMA даёт более плотную интеграцию и единый контур управления. Если стек построен на продуктах Positive Technologies (MaxPatrol VM, PT NAD, песочница), естественнее ложится MaxPatrol SIEM. При смешанном или нейтральном ландшафте решают остальные критерии — лицензирование, зрелость контента и наличие парсеров под ваши источники.

Сколько длится миграция со Splunk?

От нескольких недель для небольшой инсталляции до нескольких месяцев для распределённой инфраструктуры с большим числом кастомных правил. Основное время уходит не на установку, а на перенос парсеров, переписывание правил корреляции и параллельную обкатку, которая подтверждает, что детект не деградировал. Параллельный режим со Splunk на этапе перехода убирает риск «слепых зон» в SOC.

Где сравнить конкретных поставщиков SIEM между собой?

В рейтинге SIEM и систем управления логами — там компании сравниваются по подтверждённым сигналам (внедрения, кейсы, репутация), а не по рекламе и без присвоения «мест» в этой статье.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России

Рейтинг SIEM и систем управления логами Сравнить поставщиков по подтверждённым сигналам Рейтинг российских SIEM-систем 2026 Что такое SIEM и как она работает в SOC Как выбрать SIEM для подключения к ГосСОПКА