исследование 3 июня 2026

Рейтинг ITDR-решений 2026: защита идентичностей

ITDR (Identity Threat Detection and Response) — обнаружение и реагирование на угрозы идентичностей: атаки на Active Directory, домены, каталоги и облачные учётные записи. Это молодой класс: чаще всего ITDR существует не как отдельный продукт, а как функция внутри XDR, SIEM, PAM или специализированных систем защиты каталогов. Поэтому «рейтинг ITDR-решений» в привычном смысле — это в первую очередь сравнение подходов и покрытия, а не готовый список из десятка самостоятельных коробок. **Если коротко:** честно оценивать ITDR нужно по четырём осям — покрытие AD и каталогов, детектирование атак на идентичности, возможности реагирования и интеграция с IAM/SIEM. Ниже — что входит в класс, по каким критериям сравнивать и почему мы не публикуем выдуманные вендорские баллы. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге ITDR-решений](/rating/itdr-identity-threat-detection-response).

7 мин. чтения Блоки данных: 6 Позиции: не продаются Авторы: Антон Смирнов, Ирина Карпова

Короткий вывод

security context

Визуальный контекст исследования

Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.

Тематическое фото для исследования: Рейтинг ITDR-решений 2026: защита идентичностей — Тематическая иллюстрация к исследованию: Рейтинг ITDR-решений 2026: защита идентичностей. Morthy Jameson / Pexels

shortlist

Рейтинги подрядчиков по теме исследования

Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.

NGFW, UTM и межсетевые экраны Next-generation firewalls, UTM, классические межсетевые экраны и шлюзы защиты периметра. WAF и API Security Web Application Firewall, защита API, анализ трафика приложений и блокировка атак на веб-сервисы. EPP, EDR, XDR и антивирусная защита Защита рабочих станций и серверов, EPP, EDR, XDR, антивирусная защита, расследование и реагирование на конечных точках. SIEM и log management Сбор, нормализация, хранение и корреляция событий безопасности, SIEM и управление журналами. PAM Privileged Access Management: контроль, изоляция, аудит и ротация привилегированных доступов. DLP Data Loss Prevention: предотвращение утечек данных, контроль каналов передачи и расследование инцидентов.

methodology

Как проверять выводы исследования

Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.

E-E-A-T

Авторы и проверка материала

У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.

author Антон Смирнов Старший редактор исследований ИБ-рынка

Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.

7 лет в SEO-аналитике и редакционных B2B-исследованиях
Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T

author Ирина Карпова Редактор методологии и проверки источников

Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.

9 лет в редакционной аналитике, проверке источников и методологии рейтингов
Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA

Experience

Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.

Expertise

В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.

Authoritativeness

Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.

Trust

Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.

Почему ITDR — молодой и «размытый» класс

Идентичность стала главным периметром: большинство современных атак идут не через эксплойт сервиса, а через скомпрометированную учётную запись, кражу токенов, эскалацию привилегий и боковое перемещение в Active Directory. ITDR вырос как ответ именно на это — закрыть слепую зону между классическими EDR (защита хоста) и IAM/PAM (управление доступом).

Но как самостоятельный рынок ITDR ещё не оформился. На практике функции ITDR встречаются в разных местах: модуль защиты AD внутри XDR-платформы, корреляция identity-событий в SIEM, поведенческая аналитика (UEBA), отдельные решения по аудиту и мониторингу каталогов. Это нужно учитывать честно: выбирая «ITDR», вы чаще выбираете не отдельный продукт, а способ закрыть конкретные сценарии атак на идентичности теми инструментами, что уже есть или появятся в вашем стеке.

Из чего складывается ITDR: четыре оси оценки

Чтобы сравнение было предметным, мы оцениваем ITDR не по «бренду», а по четырём функциональным осям. Они же — основа критериев выбора ниже.

- **Покрытие AD и каталогов.** On-prem Active Directory, доверенные домены, Entra ID (Azure AD), LDAP-каталоги, гибридные связки. Глубина инвентаризации, выявление мисконфигураций и опасных прав (например, путей к Domain Admin). - **Детектирование атак на идентичности.** Kerberoasting, AS-REP roasting, DCSync, DCShadow, Golden/Silver Ticket, Pass-the-Hash/Ticket, аномалии входов, подозрительная эскалация привилегий. - **Реагирование.** От алертов до активных действий: блокировка учётки, сброс сессий, изоляция, откат изменений в каталоге, плейбуки и автоматизация. - **Интеграция с IAM/SIEM/SOC.** Передача событий в SIEM, обогащение, связка с PAM и IAM, API и готовые коннекторы, вписываемость в существующий SOC-процесс.

Зрелость функций класса ITDR

Усреднённая редакционная оценка готовности функций по классу решений на открытых данных. Это не вендорский бенчмарк и не заменяет пилот в вашей инфраструктуре.

Аудит и инвентаризация Active Directory 85 /100

85 /100

Детект известных атак на AD (Kerberoasting, DCSync и др.) 80 /100

80 /100

Интеграция с SIEM и передача событий 80 /100

80 /100

Поведенческая аналитика входов (UEBA) 70 /100

70 /100

Покрытие облачных каталогов (Entra ID и др.) 65 /100

65 /100

Автоматическое реагирование и плейбуки 60 /100

60 /100

Какими бывают ITDR-решения: классы

Под задачу «обнаружить и остановить атаку на идентичности» подходят разные классы продуктов. Это не рейтинг и не список конкретных вендоров — таблица показывает, где функции ITDR обычно живут и под какие сценарии заходят. Сравнение конкретных поставщиков по подтверждённым сигналам смотрите в [рейтинге категории](/rating/itdr-identity-threat-detection-response).

Класс решения	Где обычно реализован ITDR	Сильная сторона	Ограничение
Защита каталогов / AD-security	Специализированный продукт	Глубина по AD, мисконфигурации, пути атак	Уже AD-контур, слабее по облаку и хостам
XDR с модулем identity	Часть XDR-платформы	Связка хост + идентичность + сеть	ITDR — лишь один из модулей
SIEM/UEBA	Корреляция и аналитика событий	Гибкость правил, единое окно SOC	Нужен инжиниринг и зрелый процесс
PAM с мониторингом	Управление привилегиями	Контроль привилегированных сессий	Фокус на привилегиях, не на всём каталоге
Облачный identity-мониторинг	Часть CIEM/CNAPP или IdP	Покрытие Entra ID и облачных ролей	Слабее по классическому on-prem AD

ITDR коротко: что важно понимать

Главный вектор Идентичности

Большинство атак идёт через учётные записи и AD

Зрелость класса Молодой

Чаще функция внутри XDR / SIEM / PAM, а не отдельный продукт

Ось №1 при выборе Покрытие AD

On-prem AD, доверия, гибрид, облачные каталоги

Типичный пилот 2–4 нед.

Проверка детектов на реальном каталоге

Чек-лист выбора ITDR-решения

Зафиксируйте каталоги перечислите все: on-prem AD, доверенные домены, Entra ID, LDAP, гибрид.

Проверьте покрытие сценариев атак Kerberoasting, DCSync, Pass-the-Hash, эскалация привилегий, аномальные входы.

Оцените аудит мисконфигураций выявляет ли решение опасные права и пути к Domain Admin до атаки.

Уточните возможности реагирования только алерты или активные действия (блокировка учётки, сброс сессий, откат).

Проверьте интеграцию с SIEM/SOC формат событий, коннекторы, обогащение, вписываемость в процесс.

Свяжите с IAM и PAM как ITDR взаимодействует с управлением доступом и привилегиями.

Сверьте реестры статус в реестре отечественного ПО и сертификат ФСТЭК под вашу задачу, если это требование.

Заложите пилот проверьте детекты на реальном каталоге 2–4 недели, а не только демо-стенд.

Как внедрять ITDR: 5 шагов

01 Инвентаризация идентичностей
Соберите все каталоги, доверия, привилегированные группы и сервисные учётки — без полной картины детекты будут слепыми.
02 Оценка поверхности атаки
Найдите мисконфигурации, избыточные права и пути эскалации к Domain Admin — закройте очевидное до этапа детектирования.
03 Пилот детектов
Прогоните решение на реальном каталоге, проверьте срабатывания на типовых атаках (Kerberoasting, DCSync, Pass-the-Hash).
04 Интеграция с SIEM/SOC
Заведите события в SIEM, настройте обогащение и связку с IAM/PAM, опишите роли и эскалацию.
05 Реагирование и плейбуки
Отработайте сценарии ответа — от алерта до блокировки учётки и отката изменений; зафиксируйте регламент.

Как мы оцениваем поставщиков

cyber-index.ru не продаёт места в рейтинге и не публикует выдуманные вендорские баллы. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Числа в графиках этой статьи — редакционная оценка зрелости класса по открытым данным, а не оценки конкретных компаний. Поэтому статью стоит читать в связке с [рейтингом ITDR-решений](/rating/itdr-identity-threat-detection-response): здесь — класс и критерии, там — сравнение конкретных поставщиков по подтверждённым фактам.

Следующий шаг

Определились с критериями — переходите к сравнению поставщиков: **[рейтинг ITDR-решений →](/rating/itdr-identity-threat-detection-response)**. Полезно прочитать рядом: [что такое ITDR и чем он отличается от EDR/XDR](/research/chto-takoe-itdr) и [атаки на Active Directory и как их обнаруживать](/research/ataki-na-active-directory).

Частые вопросы

Что такое ITDR простыми словами?

ITDR (Identity Threat Detection and Response) — это обнаружение и реагирование на угрозы для идентичностей: атаки на Active Directory, кражу учётных записей и токенов, эскалацию привилегий и боковое перемещение. Подробнее — в статье что такое ITDR и чем он отличается от EDR/XDR.

Чем ITDR отличается от EDR и XDR?

EDR защищает конечные точки (хосты), XDR объединяет сигналы хоста, сети и почты. ITDR фокусируется именно на слое идентичностей и каталогов. На практике функции ITDR часто входят в XDR как отдельный модуль, поэтому границы размыты.

Это отдельный продукт или функция?

Чаще функция. Рынок ITDR молодой: возможности обнаружения атак на идентичности встречаются внутри XDR, SIEM/UEBA, PAM и специализированных систем защиты каталогов. Самостоятельных «коробочных» ITDR немного, и выбор обычно идёт по покрытию сценариев, а не по ярлыку.

По каким критериям сравнивать ITDR-решения?

По четырём осям: покрытие AD и каталогов (включая облачные), детектирование атак на идентичности (Kerberoasting, DCSync, Pass-the-Hash и др.), возможности реагирования и интеграция с IAM/SIEM/SOC. Эти же критерии разобраны в чек-листе выше.

Где сравнить конкретных поставщиков?

В рейтинге ITDR-решений — там компании ранжированы по подтверждённым сигналам, а не по рекламе. Перед закупкой также сверяйте реестр отечественного ПО и реестр сертифицированных СЗИ ФСТЭК.

verification

Источники и метод проверки

source Единый реестр российского ПО Минцифры России source Государственный реестр сертифицированных средств защиты информации ФСТЭК России source Банк данных угроз безопасности информации (БДУ) ФСТЭК России

Рейтинг ITDR-решений Сравнить поставщиков по подтверждённым сигналам Что такое ITDR и чем он отличается от EDR/XDR Атаки на Active Directory и как их обнаруживать