SIEM-управляемый сервис — это проект создания центра мониторинга и реагирования на инциденты ИБ (SOC), предоставляющего услуги на базе SIEM-платформы по модели подписки. Клиенты платят ежемесячно в зависимости от количества подключённых источников событий или объёма обрабатываемых данных, а также от выбранного тарифа (базовый мониторинг, расширенный поиск угроз, реагирование).
Запуск сервиса требует значительных вложений: приобретение или аренда серверной инфраструктуры, лицензирование SIEM-решения (подписка или капитальные затраты), оборудование SOC-помещения, наём ключевых аналитиков и инженеров до появления первых клиентов. Порядок инвестиций — от 150 до 500 млн рублей, точная сумма определяется параметрами охвата и платформой.
Ключевое ограничение — производительность аналитиков. Один специалист способен качественно обслуживать определённое число устройств или поток событий в секунду (EPS). Рост клиентской базы приводит к необходимости добавлять не отдельных людей, а целые смены (уровни L1, L2, L3), поэтому затраты растут ступенчато. Параллельно ежемесячный отток клиентов радикально влияет на накопленную выручку, и его недооценка — одна из главных причин завышенных прогнозов.
Каждого клиента нужно ввести в эксплуатацию: интегратор настраивает сбор и разбор логов, пишет правила корреляции. Этот период (1–3 месяца) оплачивается отдельно или вовсе не тарифицируется. Со временем у клиента растёт объём логируемых данных, что увеличивает затраты на лицензирование и хранение, тогда как цена подписки зачастую фиксирована в договоре; модель должна отслеживать эту маржинальную компрессию.