Причины:
Неучтённые факторы: количество агентов (хостов), тип контролируемых объектов (файлы, реестр, Docker), частота проверок (реалтайм vs polling), глубина хранения логов (GDPR/152-ФЗ).
Разброс цен: Open Source (Wazuh, Osquery, Samhain) — бесплатно, но стоимость администрирования (FTE). Коммерческие (Splunk UF + ES, Tripwire, McAfee FIM, ET патч) — от 50 до 300+ $/агент/год, без учёта SIEM.
Скрытые затраты: миграция конфигураций (baseline), интеграция с SOAR/SIEM (лицензии на парсинг + Core hours в случае Cloud SIEM), обучение персонала.
Решение:
Для РФ в 2025 г. (с учётом санкций, импортозамещения и 152-ФЗ):
1. Open Source стек (Wazuh + Osquery):
Лицензия: 0 ₽ (GPL v2).
Инфраструктура: 1–3 сервера (8 vCPU, 32GB RAM, SSD 500ГБ на 1000 хостов с хранением 90 дней) — ≈ 150 000–300 000 ₽/разово (или аренда ВМ).
Внедрение (200 хостов, 2 типа ОС, стандартный набор '/etc,/usr/bin,/opt'): 60–120 часов DevOps → 150 000–300 000 ₽ (на аутсорсе Москва).
Итого (первый год): ~300 000–600 000 ₽ (без з/п админа).
2. Коммерческий (Kaspersky, Positive Technologies, Гарда, СёрчИнформ):
Лицензия: 1500–5000 ₽/агент/год (зависит от модуля FIM/PT/SIEM).
Пример: 1000 серверов × 2 500 ₽ = 2 500 000 ₽/год.
Внедрение (включая настройку правил, исключения для баз/логов): 200–400 часов → 400 000–800 000 ₽.
Инфраструктура (если on-prem): + 200 000–500 000 ₽ на сервера.
Итого (первый год): ~3 100 000–3 800 000 ₽.
Команды (пример настройки Wazuh для проверки целостности):
xml
86400
/etc,/usr/bin,/usr/lib, /opt/app
/etc/mtab
\.log$|\.swp$