Alle AWS Marketplace-Produkte
S4 LogForge
Security

S4 LogForge

Realistischer SIEM-Testlog-Generator

13 parsergetreue Formate Ersetzter AWS-Dienst: Handgemachte SIEM-Testdaten
Im AWS Marketplace erwerben

Realistische, parsergetreue Security Logs in 13 Formaten mit beliebiger Rate erzeugen — 30 Tage in Sekunden backfillen oder in Echtzeit streamen. Gebaut für SIEM-PoCs, Entwicklung von Detection Rules, Dashboards, Capacity Sizing und Lasttests. Korrelierte Angriffsszenarien mit MITRE ATT&CK-Tags; deterministische, reproduzierbare Ausgabe.

S4 LogForge erzeugt Security Logs, die in den Feldern realen Geräten und SIEM-Schemas entsprechen — für Fälle, in denen Sie produktionsähnliche Daten für ein SIEM-Projekt benötigen, aber keine Produktionslogs verwenden können. 13 Ausgabeformate werden jeweils Ende-zu-Ende gegen reale Parser verifiziert (Elasticsearch Ingest Pipelines, Elastic-Integrationen, Logstash grok / kv / xml / CEF codec): RFC 3164/5424 syslog; CEF (ArcSight-Stil); LEEF 2.0 (QRadar-Stil); PAN-OS 10.2 CSV; ECS 8.11 JSON; XDR Telemetry JSON; Windows Event/Winlogbeat; CloudTrail; VPC Flow; Zeek; Suricata.

Das Problem

Der Aufbau oder die Validierung eines SIEM erfordert realistische Sicherheitslogs. Allerdings sind Produktivlogs sensibel und oft nicht verfügbar, und manuell gefälschte Logs überstehen weder echte Parser noch enthalten sie eine bekannte Ground Truth. S4 LogForge generiert feldgetreue, parser-verifizierte Testlogs mit integrierter Ground Truth, sodass Sie ein SIEM-Projekt vorantreiben können, ohne auf Produktivdaten zuzugreifen.

Funktionsweise

  1. 1

    Formate und Szenarien auswählen

    Wählen Sie aus 13 Ausgabeformaten und mit MITRE ATT&CK getaggten Angriffszenarien aus und erstellen Sie bei Bedarf Ihre eigenen mit der TOML-DSL.

  2. 2

    Backfill oder Echtzeit generieren

    Erstellen Sie einen Backfill von 30 Tagen in wenigen Minuten oder streamen Sie einen Echtzeit-Tagesverlauf an eine Datei, syslog, Elasticsearch oder Splunk HEC.

  3. 3

    Erkennung anhand der Ground Truth messen

    Da die injizierten Szenarien eine bekannte Ground Truth darstellen, können Sie Erkennungs- und Falsch-Positiv-Raten damit abgleichen.

Highlights

13 parsergetreue Formate — syslog 3164/5424, CEF, LEEF, PAN-OS CSV, ECS JSON, Windows Event/Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata, XDR Telemetry — jeweils gegen reale Parser verifiziert, nicht nur 'sieht aus wie ein Log'.

Korrelierte Angriffsszenarien mit MITRE ATT&CK-Tags, injiziert in realistisches Baseline-Rauschen, plus TOML DSL zum Erstellen eigener Szenarien — messen Sie Detection- und False-Positive-Raten gegen bekannte Ground Truth.

Deterministisch und rate-kontrolliert: derselbe Seed reproduziert byte-identische Daten; 188k–1.6M events/sec dauerhaft, 30 Tage in Minuten backfillen oder eine Echtzeit-Tageskurve an Datei, syslog, Elasticsearch oder Splunk HEC streamen.

Lieferumfang

  • 13 parser-verifizierte Ausgabeformate (RFC 3164/5424 syslog, CEF, LEEF 2.0, PAN-OS 10.2 CSV, ECS 8.11 JSON, XDR-Telemetrie-JSON, Windows Event Log XML / Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata)
  • End-to-End-Verifizierung gegen echte Parser, einschließlich Elasticsearch Ingest, Elastic Integration Pipelines und Logstash-grok/kv/xml/CEF-Codecs
  • Korrelierte, mit MITRE ATT&CK getaggte Angriffszenarien, injiziert in realistisches Baseline-Rauschen, inklusive einer TOML-DSL zum Erstellen eigener Szenarien
  • Deterministische, Seed-basierte Reproduzierbarkeit: Derselbe Seed erzeugt byte-identische Daten
  • Durchsatz von 188k–1.6M Events/Sek. und ein in wenigen Minuten generierter 30-Tage-Backfill
  • Ausgabesenken: Datei, syslog, Elasticsearch und Splunk HEC

Anwendungsfälle

Durchführung von SIEM-PoCs und -Evaluierungen ohne Produktivlogs

Erkennungsregeln anhand einer bekannten Ground Truth entwickeln und anpassen

Dashboards auf Basis repräsentativer Daten erstellen und validieren

Kapazitätsdimensionierung und Lasttests durchführen

FAQ

Sind die generierten Logs realistisch genug?

Alle 13 Formate sind End-to-End gegen echte Parser wie Elasticsearch Ingest, Elastic Integration Pipelines und Logstash-grok/kv/xml/CEF-Codecs verifiziert. Sie sind feldgetreu zu echten Geräten und SIEM-Schemas und sehen nicht nur wie Logs aus.

Sind die Durchläufe reproduzierbar?

Ja. Die Generierung ist deterministisch: Derselbe Seed erzeugt byte-identische Daten.

Wie messe ich die Erkennungsqualität?

Korrelierte, mit MITRE ATT&CK getaggte Szenarien dienen als bekannte Ground Truth, sodass Sie Erkennungs- und Falsch-Positiv-Raten daran messen können.

Wohin kann ausgegeben werden?

Die Ausgabe kann in eine Datei, an syslog, Elasticsearch und Splunk HEC erfolgen — sowohl für Backfills als auch für Echtzeit-Streaming.

Wie schnell und wie viele Daten können generiert werden?

Es liefert konstant 188k–1.6M Events/Sek. und erstellt einen 30-Tage-Backfill in wenigen Minuten.

Preismodell

Stündliche Softwaregebühr + EC2 (t3-Klasse und höher). Verbrauchsabhängig nach Instanztyp, keine Lizenzschlüssel.

Im AWS Marketplace erwerben

Weitere S4-Produkte

S4 — Squished S3
Speicher & Daten

S4 — Squished S3

Transparenter GPU S3-Komprimierungs-Gateway

50–80% weniger Speicher-Bytes
Ersetzt: Amazon S3-Speicher
S4 Logs
Observability

S4 Logs

CloudWatch Logs nach zstd S3 archivieren

70–90% Ersparnis bei CloudWatch Logs
Ersetzt: Amazon CloudWatch Logs
S4 Metrics
Observability

S4 Metrics

CloudWatch Metric-Cardinality steuern

Metrik-Kardinalitätskosten bändigen
Ersetzt: CloudWatch Custom Metrics