Рейтинг российских SIEM-систем 2026
После 2022 года Splunk, IBM QRadar и Micro Focus ArcSight свернули продажи и поддержку в России — и рынок систем управления событиями безопасности (SIEM) пересобрался на отечественных продуктах. К 2026 году несколько российских SIEM вышли на корпоративный уровень, но различаются по нагрузке (EPS), зрелости контент-правил, глубине корреляции и готовности интеграций с SOAR и ГосСОПКА. **Если коротко:** для большинства задач замена западной SIEM уже есть. Выбор зависит не от «бренда», а от потока событий под вашей инфраструктурой (EPS), качества и покрытия правил детектирования, набора коннекторов к вашим источникам, требований регуляторов и сценария эксплуатации (свой SOC или сервис). Ниже — почему рынок изменился, кто на нём представлен, по каким критериям сравнивать и как не ошибиться на пилоте. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге SIEM](/rating/siem-log-management).
SIEM ценна, когда события складываются в рабочую картину
В пилоте SIEM важно проверять не презентационный интерфейс, а поток событий, качество правил, покрытие источников и способность команды быстро понять, что именно происходит в инфраструктуре.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Почему рынок SIEM в России изменился
Уход западных вендоров совпал с ужесточением регуляторики. Splunk, IBM QRadar и ArcSight перестали продаваться и обновляться в России: прекратились поставки лицензий, обновления контента и техподдержка, а продление по «серым» схемам несёт юридические и операционные риски. Для SIEM это особенно болезненно — продукт живёт обновлениями правил и коннекторов, и «замороженная» система быстро теряет детектирующую ценность.
Параллельно выросли требования к мониторингу. Для субъектов критической информационной инфраструктуры (КИИ) подключение к государственной системе ГосСОПКА и обмен с НКЦКИ фактически требуют зрелого сбора и корреляции событий, а для значимых объектов и госсектора важны наличие в реестре отечественного ПО и сертификация ФСТЭК. Поэтому вопрос звучит уже не «нужна ли отечественная SIEM», а «какая именно и как её внедрить без потери видимости».
Рынок SIEM в России: коротко в цифрах
Продажи, обновления контента и поддержка свёрнуты
KUMA, MaxPatrol SIEM, RuSIEM, Solar, R-Vision SIEM, Security Vision и др.
Поток событий в секунду под вашей инфраструктурой
Подключение к НКЦКИ повышает планку зрелости мониторинга
Замер EPS, проверка коннекторов и срабатываний правил на боевых данных
Кто представлен на российском рынке SIEM
Ниже — ориентир по основным игрокам. Это не рейтинг: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/siem-log-management). Цель таблицы — показать, чем продукты различаются по позиционированию и под какие сценарии заходят чаще всего. Перед закупкой сверяйте актуальный статус продукта в [реестре отечественного ПО](https://reestr.digital.gov.ru/) и [реестре сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/).
| Решение | Вендор | Позиционирование | Чаще всего подходит для |
|---|---|---|---|
| KUMA | Лаборатория Касперского | SIEM в составе единой экосистемы (XDR, TI, EDR) | Компании, строящие SOC на стеке одного вендора |
| MaxPatrol SIEM | Positive Technologies | SIEM с упором на экспертизу и контент-правила | Зрелый SOC, требовательный к покрытию детектов |
| RuSIEM | RuSIEM | Доступная SIEM с акцентом на быстрый старт | Средний бизнес, первый SOC, ограниченный бюджет |
| Solar (SIEM/MSSP) | Ростелеком-Солар | SIEM в связке с управляемыми услугами и SOC | Компании, идущие в сторону MSSP/аутсорс-SOC |
| R-Vision SIEM | R-Vision | SIEM в составе платформы IRP/SOAR/TI | Команды, строящие сквозной процесс детект → реагирование |
| Security Vision | Security Vision | Платформа с SIEM и сильным SOAR/автоматизацией | Автоматизация реагирования и оркестрация процессов SOC |
По каким критериям сравнивать SIEM на практике
Функционально ведущие отечественные SIEM закрывают тот же контур, что Splunk или QRadar: сбор и нормализация событий, корреляция, контент-правила детектирования, хранение и поиск, дашборды и отчёты, интеграция с SOAR и обмен с ГосСОПКА. Разница — в деталях, которые и определяют успех проекта:
- **EPS под вашим профилем.** Паспортная производительность и реальная нагрузка под вашими источниками (с включённой нормализацией и корреляцией) — разные значения. Требуйте замер EPS на боевых данных, а не из презентации. - **Покрытие и зрелость контент-правил.** Сколько готовых правил «из коробки», как часто обновляется контент, насколько просто писать и сопровождать собственные правила. - **Коннекторы к вашим источникам.** Есть ли парсеры под ваш парк (ОС, сетевое оборудование, прикладные системы, отечественные СЗИ) — частое узкое место миграции. - **Корреляция и борьба с шумом.** Глубина логики, поддержка UEBA/поведенческой аналитики, инструменты дедупликации и снижения ложных срабатываний. - **Интеграция с SOAR и ГосСОПКА.** Сквозной процесс «детект → инцидент → реагирование» и готовый обмен с НКЦКИ важны для КИИ и зрелого SOC. - **Масштабирование и хранение.** Горизонтальное масштабирование, ретеншн «горячих» и «холодных» данных, стоимость хранения при росте объёма логов.
Зрелость класса российских SIEM по функциям (редакционная оценка)
Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на вашем потоке событий.
Чек-лист выбора SIEM
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом SIEM](/rating/siem-log-management): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам и местам.
Следующий шаг
Определились с критериями — переходите к сравнению поставщиков: **[рейтинг SIEM и систем управления логами →](/rating/siem-log-management)**. Полезно прочитать рядом: [что такое SIEM и как она работает в SOC](/research/chto-takoe-siem), [KUMA, MaxPatrol SIEM или Splunk: сравнение и миграция](/research/kuma-maxpatrol-splunk-sravnenie) и [как выбрать SIEM для подключения к ГосСОПКА](/research/siem-dlya-gossopka). </content> </invoke>
Частые вопросы
Можно ли остаться на Splunk, QRadar или ArcSight в России?
В штатном режиме — нет: вендоры свернули продажи, обновления контента и поддержку. Для SIEM это критично — без обновления правил и коннекторов система быстро теряет детектирующую ценность, а обходные схемы продления несут юридические и операционные риски. Для КИИ и госсектора это к тому же расходится с требованиями к доверенным средствам защиты.
Чем измерять и сравнивать SIEM?
Базовая метрика — EPS (события в секунду) под вашим реальным профилем источников, причём с включённой нормализацией и корреляцией. Дальше — покрытие контент-правил, наличие коннекторов под ваш парк, качество корреляции и борьба с ложными срабатываниями, масштабирование и стоимость хранения. Брать паспортные цифры из презентации без пилота не стоит.
Что нужно для подключения к ГосСОПКА?
Субъектам КИИ важна готовность SIEM к обмену с НКЦКИ и сквозной процесс «детект → инцидент → реагирование», часто в связке с SOAR. Конкретные требования зависят от категории объекта и оформляются вместе с подключением к ГосСОПКА; SIEM при этом должна обеспечивать зрелый сбор, корреляцию и хранение событий. Детальнее — в материале [SIEM для ГосСОПКА](/research/siem-dlya-gossopka).
Сколько занимает миграция с западной SIEM?
От нескольких недель для небольшой инфраструктуры до нескольких месяцев для крупного SOC. Основное время уходит на перенос и адаптацию контент-правил, подключение источников и обкатку корреляции. Критичны пилот и параллельный режим — они убирают «слепую зону» мониторинга при переключении.
Где сравнить конкретных вендоров между собой?
В рейтинге SIEM и систем управления логами — там компании ранжированы по подтверждённым сигналам и местам, а не по рекламе.
Источники и метод проверки
После 2022 года Splunk, IBM QRadar и Micro Focus ArcSight свернули продажи и поддержку в России — и рынок систем управления событиями безопасности (SIEM) пересобрался на отечественных продуктах. К 2026 году несколько российских SIEM вышли на корпоративный уровень, но различаются по нагрузке (EPS), зрелости контент-правил, глубине корреляции и готовности интеграций с SOAR и ГосСОПКА. **Если коротко:** для большинства задач замена западной SIEM уже есть. Выбор зависит не от «бренда», а от потока событий под вашей инфраструктурой (EPS), качества и покрытия правил детектирования, набора коннекторов к вашим источникам, требований регуляторов и сценария эксплуатации (свой SOC или сервис). Ниже — почему рынок изменился, кто на нём представлен, по каким критериям сравнивать и как не ошибиться на пилоте. Сравнить поставщиков по подтверждённым сигналам можно в [рейтинге SIEM](/rating/siem-log-management).