Рейтинг российских SOAR-платформ 2026
SOAR-платформа (Security Orchestration, Automation and Response) забирает на себя рутину SOC: собирает инциденты из SIEM и других источников, прогоняет их по плейбукам, обогащает данными и автоматизирует реагирование. После ухода западных вендоров (Splunk SOAR, IBM Resilient, Palo Alto XSOAR) российский рынок к 2026 году пересобрался на отечественных платформах, и несколько из них вышли на корпоративную зрелость. **Если коротко:** выбор SOAR зависит не от «бренда», а от качества движка плейбуков, глубины коннекторов к вашему стеку, удобства управления инцидентами (IRP) и статуса в реестрах. Эта страница — про критерии сравнения и ориентир по рынку. Конкретные места, баллы и подтверждённые сигналы по вендорам смотрите в [рейтинге SOAR-платформ](/rating/soar-automation).
Визуальный контекст исследования
Изображение помогает быстро считать тему материала: инфраструктура, данные, доступы и контрольные точки, которые важно проверить перед выбором решения.
Рейтинги подрядчиков по теме исследования
Если после чтения нужен короткий список исполнителей, начните с профильных рейтингов cyber-index.ru: в них видны компании, кейсы, интервью, категории экспертизы и доверительный индекс.
Как проверять выводы исследования
Используйте материал как основу для shortlist: сопоставьте выводы с профилями компаний, связанными рейтингами, кейсами, интервью клиентов и источниками. Если в статье есть список источников, начинайте проверку с него; если источников мало, дополнительно запросите у подрядчика методику, baseline и примеры работ.
Авторы и проверка материала
У каждого исследования есть персональные авторы, профиль экспертизы, дата публикации, список источников и редакционная проверка выводов.
author
Антон Смирнов
Старший редактор исследований ИБ-рынка
Ведет исследования по категориям ИБ, публичным источникам и критериям выбора поставщиков.
- 7 лет в SEO-аналитике и редакционных B2B-исследованиях
- Специализация: ИБ-категории, entity-based SEO и факторы E-E-A-T
author
Ирина Карпова
Редактор методологии и проверки источников
Отвечает за методологию доверительного индекса, проверку источников, редакционные стандарты и риск-сигналы.
- 9 лет в редакционной аналитике, проверке источников и методологии рейтингов
- Специализация: due diligence, репутационные сигналы, проверка данных и editorial QA
Авторы закреплены по теме исследования и опираются на практические разборы страниц, кейсов, источников и рыночных выборок.
В профиле автора указаны зона экспертизы, роль в редакции, регалии и темы, за которые он отвечает.
Материалы связаны с методологией cyber-index.ru, внутренними рейтингами, карточками компаний и источниками.
Позиции не продаются, выводы отделены от рекламы, а проверяемые утверждения поддержаны источниками и датами обновления.
Зачем рынку понадобились российские SOAR
Два процесса совпали по времени. Во-первых, у западных платформ автоматизации реагирования (Splunk SOAR, Palo Alto Cortex XSOAR, IBM Resilient) в России свёрнуты поставки, обновления контента и поддержка — продлевать подписки в штатном режиме нельзя, а «серые» схемы несут юридические и операционные риски.
Во-вторых, SOC выросли по объёму событий быстрее, чем штат аналитиков. Ручная обработка типовых инцидентов (фишинг, срабатывания EDR, подозрительные входы) перестала масштабироваться. SOAR здесь — не «ещё одна система», а способ снизить время реагирования (MTTR) и разгрузить первую линию. Для значимых объектов КИИ и госсектора добавляется требование опираться на доверенные отечественные средства и продукты из реестров.
Рынок российских SOAR: коротко в цифрах
Splunk SOAR, Palo Alto XSOAR, IBM Resilient — поддержка свёрнута
R-Vision, Security Vision, KUMA (с автоматизацией), Solar и др. — ориентир, не рейтинг
Оркестрация, обогащение, реагирование, управление кейсами
Проверка коннекторов и плейбуков на ваших реальных инцидентах
Кто представлен на российском рынке SOAR
Ниже — ориентир по основным игрокам. Это **не рейтинг**: места, баллы и подтверждённые сигналы смотрите в [рейтинге категории](/rating/soar-automation). Цель таблицы — показать, чем платформы различаются по позиционированию и под какие сценарии заходят чаще всего.
| Решение | Вендор | Позиционирование | Чаще всего подходит для |
|---|---|---|---|
| R-Vision SOAR | R-Vision | Зрелый SOAR + IRP с развитой экосистемой | Крупный бизнес, корпоративные SOC |
| Security Vision | Security Vision | Платформа автоматизации ИБ с конструктором процессов | Enterprise, кастомизация процессов |
| KUMA (с автоматизацией) | «Лаборатория Касперского» | SIEM с элементами оркестрации в экосистеме | Компании на стеке Kaspersky |
| Solar | Ростелеком-Солар | Автоматизация в составе портфеля сервисов | Идущие в сторону MSSP/внешнего SOC |
По каким критериям сравнивать SOAR-платформы
Функционально ведущие отечественные SOAR закрывают тот же контур, что западные XSOAR или Splunk SOAR: оркестрация источников, плейбуки реагирования, обогащение (Threat Intelligence, репутационные сервисы), управление инцидентами (IRP/кейс-менеджмент) и метрики SOC. Разница — в деталях, которые и определяют успех внедрения:
- **Движок плейбуков.** Визуальный конструктор, ветвления, циклы, ручные шаги-апрувы, версионирование. От него зависит, насколько быстро вы автоматизируете свои сценарии. - **Коннекторы и интеграции.** Готовые интеграции с вашими SIEM, EDR, почтой, AD, файрволами и TI-фидами. Чем меньше дописывать руками, тем быстрее окупаемость. - **Управление инцидентами (IRP).** Карточка инцидента, SLA, эскалации, ролевая модель, совместная работа линий SOC — без этого автоматизация повисает в воздухе. - **Обогащение и Threat Intelligence.** Подключение TI-платформ и репутационных сервисов, автоматическая дедупликация и приоритизация. - **Открытость и кастомизация.** API, SDK, возможность писать свои коннекторы и шаги без ожидания релизов вендора. - **Соответствие и реестры.** Наличие в реестре отечественного ПО и сертификаты ФСТЭК под ваш класс задач — входной барьер для КИИ и госсектора.
Зрелость класса российских SOAR по функциям
Усреднённая редакционная оценка готовности класса по открытым данным. Это не вендорский бенчмарк и не заменяет пилот на ваших инцидентах.
Чек-лист выбора SOAR под ваш SOC
План внедрения SOAR: 6 шагов
-
01
Аудит процессов SOC
Опишите текущие сценарии реагирования, источники событий и узкие места на первой линии.
-
02
Профилирование инцидентов
Соберите статистику по типам и объёму инцидентов — это вход для приоритизации плейбуков.
-
03
Шорт-лист и пилот
2–3 кандидата, пилот на реальных инцидентах, проверка коннекторов и движка плейбуков.
-
04
Первые плейбуки
Автоматизируйте самые частые и рутинные сценарии (фишинг, типовые срабатывания) — быстрый эффект на MTTR.
-
05
Интеграции и IRP
Подключите SIEM, EDR, TI, настройте карточку инцидента, SLA и ролевую модель.
-
06
Масштабирование
Расширяйте библиотеку плейбуков, добавляйте метрики SOC и измеряйте сокращение времени реагирования.
Как мы оцениваем поставщиков
cyber-index.ru не продаёт места в рейтинге. Поставщики сравниваются по проверяемым сигналам: подтверждённые внедрения и кейсы, отзывы и интервью клиентов, внешняя репутация, специализация, прозрачность и свежесть данных. Поэтому статью стоит читать в связке с [рейтингом SOAR](/rating/soar-automation): здесь — рынок и критерии, там — сравнение конкретных компаний по подтверждённым фактам. Первоисточники по статусу продуктов — [реестр отечественного ПО](https://reestr.digital.gov.ru/) и [реестр сертифицированных СЗИ ФСТЭК](https://reestr.fstec.ru/).
Следующий шаг
Определились с критериями — переходите к сравнению поставщиков: **[рейтинг SOAR-платформ →](/rating/soar-automation)**. Полезно прочитать рядом: [что такое SOAR и зачем автоматизировать SOC](/research/chto-takoe-soar), [R-Vision против Security Vision](/research/rvision-security-vision-sravnenie) и [плейбуки реагирования](/research/pleybuki-reagirovaniya-soar).
Частые вопросы
Чем SOAR отличается от SIEM?
SIEM собирает и коррелирует события, выявляя инциденты, а SOAR — оркестрирует и автоматизирует реагирование на них по плейбукам и управляет жизненным циклом инцидента (IRP). На практике они работают в связке: SIEM поставляет инциденты, SOAR их отрабатывает. Подробнее — в материале что такое SOAR.
Можно ли продлить Splunk SOAR или Palo Alto XSOAR в России?
В штатном режиме — нет: поставки, обновления контента и поддержка свёрнуты, а обходные схемы несут юридические и операционные риски. Для КИИ и госсектора это к тому же противоречит требованиям к доверенным средствам.
Что важнее при выборе — коннекторы или движок плейбуков?
Оба фактора, в разном порядке для разных задач. Если у вас нестандартный стек — критичны готовые коннекторы и открытый API; если процессы сложные — на первый план выходит гибкость движка плейбуков и IRP. Проверяется на пилоте под ваши реальные инциденты.
Сколько занимает внедрение SOAR?
От нескольких недель для запуска первых плейбуков до нескольких месяцев для зрелой автоматизации с интеграциями и метриками. Критичен пилот на реальных инцидентах — он убирает риск «полки» после закупки.
Где сравнить конкретных вендоров между собой?
В рейтинге SOAR-платформ — там компании ранжированы по подтверждённым сигналам, а не по рекламе.
Источники и метод проверки
SOAR-платформа (Security Orchestration, Automation and Response) забирает на себя рутину SOC: собирает инциденты из SIEM и других источников, прогоняет их по плейбукам, обогащает данными и автоматизирует реагирование. После ухода западных вендоров (Splunk SOAR, IBM Resilient, Palo Alto XSOAR) российский рынок к 2026 году пересобрался на отечественных платформах, и несколько из них вышли на корпоративную зрелость. **Если коротко:** выбор SOAR зависит не от «бренда», а от качества движка плейбуков, глубины коннекторов к вашему стеку, удобства управления инцидентами (IRP) и статуса в реестрах. Эта страница — про критерии сравнения и ориентир по рынку. Конкретные места, баллы и подтверждённые сигналы по вендорам смотрите в [рейтинге SOAR-платформ](/rating/soar-automation).