SECURITY CAPSULE SIEM
Мониторинг и корреляция ИБ-событий в потоке, в реальном времени
Презентация Демонстрация Тест-драйв
SECURITY CAPSULE SIEM
Security Capsule SIEM (SC SIEM) - это централизованная автоматизированная система мониторинга событий и выявления инцидентов информационной безопасности, полностью сертифицированная ФСТЭК и внесённая в реестр отечественного ПО. Она «из коробки» помогает компании выполнять требования регуляторов и защищать бизнес от киберугроз.
Вместо долгих внедрений и сложных доработок SC SIEM сразу даёт понятные отчёты для руководства, автоматизирует выявление инцидентов и ускоряет реагирование службы ИБ. Это снижает риски штрафов, убытков и репутационных потерь, а также экономит ресурсы: одной системе доверяют и специалисты, и проверяющие органы.
Специальное предложение для получения лицензии ФСТЭК России по мониторингу
ФСТЭК №4735 (ур. доверия 4, ТУ, 01.11.2023). 
Реестр ПО №1139 (Минцифры РФ). СФЕРЫ ПРИМЕНЕНИЯ
Государственные информационные системы (ГИС)
1 класса
Информационные системы персональных данных (ИСПДн)
1 уровня защищенности
Значимые объекты критической информационной инфраструктуры (ЗОКИИ)
1 категории
Автоматизированные системы управления технологическими процессами (АСУ ТП)
1 класса
Системы обнаружения, предупреждения и ликвидации последствий компьютерных атак
(ГосСОПКА)
Подключиться к НКЦКИ
Оказание услуг по мониторингу
Как получить лицензию ФСТЭК России на мониторинг
НАС ВЫБИРАЮТ ЛИДЕРЫ ОТРАСЛИ
SC SIEM уже доверяют ведущие компании из энергетики, транспорта, здравоохранения и государственного сектора. Эти организации выбрали систему за её надёжность и прозрачность: единый центр мониторинга снижает риски инцидентов, помогает соответствовать требованиям регуляторов и гарантирует контроль над безопасностью бизнеса.
Все кейсы
- 2024 г.
АО «ЯЖДК»
- 2023 г.
ТФОМС ЛО
- 2022 г.
ООО «Цифровое Приморье»
- 2021 г.
СПб ГБПОУ ДПО «Санкт-Петербургский межрегиональный ресурсный центр»
ПРЕИМУЩЕСТВА SC SIEM
SC SIEM помогает выполнять требования регуляторов и защищать бизнес от киберугроз. Система внедряется быстро, без скрытых затрат, снижает риски штрафов и простоев, обеспечивает понятные отчёты для руководства.
SC SIEM обеспечивает stateful-корреляцию в потоке (без зависимости от нормализации и БД), ретроспективный анализ архивов, поддержку Отечественных ОС и готовые коннекторы (Syslog, агенты/безагентно). Интеграция с ГосСОПКА и НКЦКИ из коробки.
SC SIEM предлагает прозрачные варианты: бессрочные лицензии (All-in-one или «Коробка»), подписка на 12/24 месяца и MSSP. Вы выбираете формат — разово, помесячно или в рассрочку. Затраты предсказуемы, без скрытых условий — удобно планировать бюджет и экономить ресурсы.
Сравнение моделей лицензированияБесплатная пуско-наладка — это запуск SC SIEM за 2 недели без дополнительных расходов. Эксперты вендора берут на себя интеграцию и настройку, что снижает риски и гарантирует готовность системы к защите с первого дня.
ПодробнееПеред внедрением SC SIEM проводится бесплатный экспресс-пентест вашей инфраструктуры. Инженеры выявляют уязвимости и инциденты, формируют отчёт. После установки системы проводится повторное тестирование: отчёт покажет, какие атаки были зафиксированы и как сработали правила корреляции. Это позволяет технической команде убедиться в эффективности системы на реальных данных.
ПодробнееАРХИТЕКТУРА
SC SIEM имеет модульную архитектуру и легко масштабируется как вертикально, так и горизонтально. Система может быть развернута в формате All-in-one для небольших инфраструктур, использовать распределённые инстансы для крупных организаций или работать в кластерном режиме для высоких нагрузок с поддержкой отказоустойчивости.
При этом корреляция событий выполняется напрямую в потоке, без зависимости от нормализации и базы данных, что обеспечивает минимальные задержки даже при росте EPS.
МОДУЛЬ СБОРА СОБЫТИЙ
Модуль сбора событий SC SIEM принимает логи и телеметрию от АРМ, серверов, сетевого оборудования и ПО/СЗИ. Поддерживаются как агентский, так и безагентный сбор, протоколы Syslog, SNMP, а также нативные коннекторы для Windows и Linux. Это обеспечивает гибкость при подключении источников и минимизирует нагрузку на инфраструктуру.
МОДУЛЬ НОРМАЛИЗАЦИИ
Модуль нормализации SC SIEM преобразует данные из любых источников в структурированный вид и позволяет создавать собственные правила нормализации. При этом корреляция в системе выполняется напрямую в потоке событий, без жёсткой зависимости от нормализации и базы данных. Такой подход исключает задержки и обеспечивает достоверность анализа даже при росте количества источников.
МОДУЛЬ КОРРЕЛЯЦИИ
Модуль корреляции SC SIEM анализирует события как в режиме реального времени, так и ретроспективно, используя многоуровневую stateful-корреляцию. Система поддерживает мастера правил, группировку и приоритизацию срабатываний, а также повторный анализ архивов для поиска скрытых атак. Корреляция выполняется в потоке, без зависимости от нормализации и индексации в БД, что обеспечивает минимальные задержки и высокую точность при больших нагрузках.
МОДУЛЬ ХРАНЕНИЯ
Модуль хранения SC SIEM сохраняет исходные (raw) и нормализованные события, а также инциденты и служебные данные. Поддерживаются настраиваемые сроки хранения, резервирование и архивация. Доступен ретроспективный поиск и повторный анализ событий для выявления ранее не обнаруженных атак. Целостность журналов обеспечивается криптографическими механизмами и ролевым контролем доступа.
КОНСОЛЬ
Консоль SC SIEM — это единое окно управления безопасностью. Руководитель в любой момент получает понятные дашборды и отчёты о состоянии инфраструктуры, а сотрудники ИБ работают в удобном web-интерфейсе с компьютера или мобильного устройства. Всё прозрачно и наглядно — от общей картины рисков до конкретных инцидентов.
ОСОБЕННОСТИ
Все новые функции SC SIEM предоставляются действующим пользователям без доплаты.
Обновления и расширения функциональности включены в пакет технической поддержки и не требуют приобретения дополнительных модулей.
ОБОГАЩЕНИЕ ИНЦИДЕНТОВ
КОНТРОЛЬ ACTIVE DIRECTORY
Контроль Active Directory в SC SIEM — это гарантия того, что ключевая инфраструктура компании всегда под надёжным наблюдением. Руководитель получает уверенность: любые подозрительные изменения с учётными записями, группами или политиками фиксируются и не остаются незамеченными. Это снижает риск несанкционированного доступа и утечек, которые могут привести к репутационным и финансовым потерям.
Возможности модуля:
- Отслеживание изменений объектов AD и GPO;
- Контроль операций с учетными записями пользователей и групп;
- Аудит успешных и неуспешных попыток входа;
- Мониторинг сроков действия паролей и политик смены;
- Сохранение и анализ текущего состояния критичных объектов AD.
УЯЗВИМОСТИ
ГОССОПКА
Для Значимых объектов критической информационной инфраструктуры (ЗОКИИ) незаменимым инструментом станет модуль ГосСОПКА.
Модуль ГосСОПКА в SC SIEM помогает компании соответствовать требованиям законодательства для ЗОКИИ и своевременно взаимодействовать с НКЦКИ. Руководитель получает уверенность, что организация не только защищена, но и выполняет все обязательные регуляторные процедуры, снижая риски штрафов и претензий надзорных органов.
Модуль ГосСОПКА интегрирован в SC SIEM и обеспечивает автоматизированное уведомление НКЦКИ о выявленных инцидентах ИБ. Поддерживается двустороннее взаимодействие: отправка сообщений, получение информационных бюллетеней, контроль статуса уведомлений. Всё это доступно в едином веб-интерфейсе, что упрощает выполнение регуляторных требований и сокращает нагрузку на специалистов SOC.
Security Capsule SIEM: Реализован модуль взаимодействия с НКЦКИ
Читать
MITRE ATT&CK
В SC SIEM встроено отслеживание техник по матрице MITRE ATT&CK. Из коробки поддерживаются десятки сценариев: от первоначального доступа (TA0001) и повышения привилегий (TA0004) до эксфильтрации данных (TA0010) и деструктивного воздействия (TA0040).
Всего система покрывает более 150 техник, при этом аналитик может создавать собственные правила или дорабатывать существующие под специфику инфраструктуры. Такое соответствие MITRE позволяет строить прозрачные сценарии реагирования и выстраивать защиту на уровне мировых практик.
SC SIEM позволяет обнаруживать техники, связанные со следующими тактиками:
- TA0001: Первоначальный доступ 9
- TA0002: Выполнение 23
- TA0003: Закрепление 30
- TA0004: Повышение привилегий 24
- TA0005: Предотвращение обнаружения 56
- TA0006: Получение учетных данных 12
- TA0007: Изучение 17
- TA0008: Перемещение внутри периметра 10
- TA0009: Сбор данных 8
- TA0011: Организация управления 8
- TA0010: Эксфильтрация данных 6
- TA0040: Деструктивное воздействие 7
- TA0042: Подготовка ресурсов 4
- TA0043: Разведка 2
Читать
ИНДИКАТОРЫ КОМПРОМЕТАЦИИ (IOCs)
Модуль IoC в SC SIEM позволяет заранее выявлять угрозы, сопоставляя активность в инфраструктуре с актуальными индикаторами компрометации. Руководитель получает уверенность, что специалисты ИБ видят не только сам факт атаки, но и её источник. Благодаря постоянным обновлениям от исследовательского центра CRATU, компания защищена 24/7 и всегда в курсе новых киберугроз.
Модуль IoC в SC SIEM автоматически сопоставляет события с индикаторами компрометации: IP-адресами, хешами, URL, доменами и другими артефактами. Поддерживается импорт из рассылок ФСТЭК и TI-платформ, ручная загрузка списков, присвоение тегов, критичности и логических групп. Специалисты могут фильтровать индикаторы для точного реагирования. IoC-фиды от CRATU регулярно пополняют базу, включая данные о десятках APT-группировок и кейсы реальных атак.
АНАЛИТИЧЕСКАЯ ПОДДЕРЖКА ОТ CRATU (R&D ЦЕНТРА)
Анализ реальных атак, техники APT-групп, новые уязвимости, практические рекомендации и доля иронии — всё, как вы любите.
CRATU — ваш инсайдерский источник по кибербезопасности. Подписывайтесь на наш Telegram-канал
СРАВНЕНИЕ МОДЕЛЕЙ ЛИЦЕНЗИРОВАНИЯ
| Модель | Срок действия | Установка | Ограничения | Техподдержка | Когда выбирать |
|---|---|---|---|---|---|
| All-in-one (апплаенс) | Бессрочная | Готовое железо | По источникам | 1 год Продление: 25% от стоимости лицензий | Быстрый запуск «из коробки», минимум усилий со стороны ИТ |
| Коробочная версия | Бессрочная | Любая (on-prem / виртуализация / облако) | По источникам и модулям | 1 год Продление: 25% от стоимости лицензий | Для госсектора и организаций со стабильной ИТ-инфраструктурой |
| Подписка (12/24 мес.) | На срок подписки | Любая | Нет ограничений по функционалу | На весь срок подписки | Нужна гибкость бюджета, OPEX-модель, удобна для облака |
| MSSP | Бессрочная | Любая (на стороне провайдера или клиента) | По клиентским инстансам | 1 год Продление: 25% от стоимости лицензий | Для провайдеров услуг и мультиклиентских сред |
СООТВЕТСТВИЕ ТРЕБОВАНИЯМ ФСТЭК РОССИИ
ВАРИАНТЫ ПРИМЕНЕНИЯ SC SIEM
SC SIEM — это универсальное решение: одна система закрывает полный цикл реагирования на инциденты — от обнаружения угроз до готовых управленческих отчётов. Гибкая архитектура позволяет использовать её как в коммерческих компаниях, так и в госсекторе, а встроенный ИИ-ассистент делает анализ быстрым и понятным даже для начинающих специалистов. Это снижает риски штрафов и репутационных потерь и обеспечивает соответствие требованиям регуляторов.
SC SIEM можно использовать как сервис (MSSP). Каждый клиент получает свой индивидуальный экземпляр системы с полной изоляцией данных и персональной консолью. Это снижает затраты на инфраструктуру и кадры, при этом компания выполняет требования регуляторов и получает круглосуточный мониторинг.
ПодробнееВстроенный ИИ-ассистент SC SIEM автоматически интерпретирует события и инциденты, выделяет их контекст, выявляет шаблоны поведения атакующих и предлагает рекомендации по реагированию. Аналитики SOC получают структурированные данные вместо «сырая телеметрия», что сокращает время расследования и повышает точность анализа.
ПодробнееSC SIEM обеспечивает круглосуточное выявление угроз и мгновенные оповещения. Руководитель всегда в курсе критичных событий и может быть уверен: ни одна серьёзная атака не останется незамеченной.
SC SIEM позволяет службам безопасности быстро расследовать инциденты, восстанавливая полную картину событий: от причины до последствий. Это снижает длительность простоев и помогает руководству принимать обоснованные решения по предотвращению повторных атак.
Движок корреляции SC SIEM работает в потоке событий, объединяя данные из разных источников и выявляя скрытые взаимосвязи. Система поддерживает многоуровневую и ретроспективную корреляцию, позволяет расставлять приоритеты в зависимости от потенциального влияния и связывать даже на первый взгляд несвязанные события. Такой подход исключает зависимость от БД и минимизирует задержки при росте нагрузки (EPS).
SC SIEM защищает компанию не только от внешних атак, но и от инсайдерских рисков. Система выявляет подозрительные действия сотрудников и подрядчиков, что помогает снизить вероятность утечек данных, финансовых потерь и репутационных ущербов.
SC SIEM интегрируется с отечественными сканерами уязвимостей (Сканер ВС, XSpider/MaxPatrol, RedCheck) и загружает результаты в единый интерфейс. Система позволяет приоритезировать устранение уязвимостей по уровню риска, связывать их с текущими инцидентами безопасности и использовать эти данные для корреляции событий. Такой подход помогает быстрее закрывать реальные дыры и минимизировать эксплуатацию уязвимостей злоумышленниками.
В SC SIEM пользователи могут самостоятельно создавать дашборды и отчёты, визуализировать данные с нужными фильтрами и метриками, интегрировать TI-информацию и инциденты. Такой подход позволяет аналитикам и администраторам SOC быстро адаптировать рабочее место под конкретные сценарии расследования или мониторинга.
SC SIEM обеспечивает прозрачность и контроль даже в облачных средах. Компания получает уверенность, что данные и сервисы защищены независимо от того, развернуты ли они в собственной инфраструктуре или в облаке. Это снижает риски утечек и укрепляет доверие к цифровым сервисам.
SC SIEM объединяет все журналы и события в единой системе. Это означает прозрачность и контроль: вы всегда знаете, что происходит в инфраструктуре, и можете быть уверены, что ни одно событие не останется без внимания. Централизованное управление журналами снижает риски и упрощает выполнение требований регуляторов.
КЕЙСЫ
18 апреля 2024 Кейс
Внедрение SIEM-системы в железнодорожной компании
ИТ-служба одной из крупнейших железнодорожных компаний столкнулась с низкой прозрачностью событий ИБ и ограничениями стандартного журнали...
ПОДДЕРЖИВАЕМЫЕ ОПЕРАЦИОННЫЕ СИСТЕМЫ
ЭФФЕКТИВНОЕ ВЗАИМОДЕЙСТВИЕ
С НКЦКИ
Соблюдайте требования государства
и управляйте рисками
Интеграция с НКЦКИ обеспечивает выполнение 187-ФЗ
ПУБЛИКАЦИИ
10 октября 2025 SIEM
Сравнение корреляции событий в SC SIEM и отечественных SIEM на ELK-стеке
Как SC SIEM решает корреляцию «из коробки», а в ELK без Security это требует Watcher/ElastAlert2 и кастома. Практические выводы...
13 августа 2025 SIEM
Сравнение SC SIEM с отечественными SIEM на стеке-ELK
Мы разобрали по полочкам, чем отличается SC SIEM от отечественных решений на базе ELK-стека....
ДИСТРИБЬЮТОРЫ
Axoft — один из ключевых партнёров по поставке SC SIEM. Компания специализируется на решениях в области ИБ и инфраструктуры, обеспечивает обучение специалистов, внедрение и техническую экспертизу. За счёт широкой партнёрской сети Axoft помогает быстро развернуть SC SIEM в корпоративных и государственных сегментах.axoftglobal.ru
Mont — один из крупнейших ИТ-дистрибьюторов России и СНГ, обладающий широкой партнёрской сетью. Для внедрения SC SIEM Mont обеспечивает экспертную поддержку, консультации и быструю логистику. Это упрощает развертывание системы и делает её доступной для региональных и федеральных проектов.mont.ru
ДОКУМЕНТАЦИЯ И ФАЙЛЫ
- Презентация
- Описание применения
- Варианты организации защищенного канала c технической инфраструктурой Национального координационного центра по компьютерным инцидентам (НКЦКИ)
- Получение (расширение) лицензии по ТЗКИ ФСТЭК России в части мониторинга информационной безопасности средств и систем информатизации (Пункт В)
- Плейбук реагирования на инциденты Windows
- Плейбук реагирования на инциденты Unix-like (Linux)
- Видео материалы