Todos los productos de AWS Marketplace
S4 LogForge
Seguridad

S4 LogForge

Generador realista de logs de prueba SIEM

13 formatos fieles al parser Servicio de AWS que reemplaza: Datos de prueba SIEM hechos a medida
Obtener en AWS Marketplace

Genera logs de seguridad realistas y fieles al parser en 13 formatos a cualquier tasa — backfill de 30 días en segundos o streaming en tiempo real. Diseñado para PoCs de SIEM, desarrollo de reglas de detección, dashboards, dimensionamiento de capacidad y pruebas de carga. Escenarios de ataque correlacionados con etiquetas MITRE ATT&CK; salida determinista y reproducible.

S4 LogForge genera logs de seguridad fieles en campos a dispositivos reales y esquemas SIEM — para cuando necesitas datos similares a producción para un proyecto SIEM pero no puedes usar logs de producción. Los 13 formatos de salida se verifican de extremo a extremo contra parsers reales (pipelines de ingest de Elasticsearch, integraciones Elastic, códec Logstash grok / kv / xml / CEF): RFC 3164/5424 syslog; CEF (estilo ArcSight); LEEF 2.0 (estilo QRadar); PAN-OS 10.2 CSV; ECS 8.11 JSON; telemetría XDR JSON; Windows Event/Winlogbeat; CloudTrail; VPC Flow; Zeek; Suricata.

El problema

Construir o validar un SIEM requiere registros de seguridad realistas, pero los registros de producción son confidenciales y no están disponibles, y los registros falsificados a mano no superan los parsers reales ni contienen una ground truth conocida. S4 LogForge genera registros de prueba fieles en sus campos y verificados por parsers con ground truth integrada, para que puedas avanzar en tu proyecto de SIEM sin tocar datos de producción.

Cómo funciona

  1. 1

    Elegir formatos y escenarios

    Selecciona entre 13 formatos de salida y escenarios de ataque etiquetados con MITRE ATT&CK, y crea los tuyos propios con el DSL TOML cuando lo necesites.

  2. 2

    Generar backfill o tiempo real

    Realiza el backfill de 30 días en minutos, o transmite una curva diurna en tiempo real a un archivo, syslog, Elasticsearch o Splunk HEC.

  3. 3

    Medir detecciones frente a ground truth

    Dado que los escenarios inyectados son una ground truth conocida, puedes evaluar las tasas de detección y de falsos positivos en comparación con ella.

Características destacadas

13 formatos fieles al parser — syslog 3164/5424, CEF, LEEF, PAN-OS CSV, ECS JSON, Windows Event/Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata, telemetría XDR — cada uno verificado contra parsers reales, no solo 'parece un log'.

Escenarios de ataque correlacionados con etiquetas MITRE ATT&CK inyectados en ruido base realista, además de un DSL TOML para crear los tuyos — mide tasas de detección y falsos positivos contra una verdad conocida.

Determinista y con control de tasa: la misma semilla reproduce datos idénticos byte a byte; sostiene 188k–1.6M events/sec, hace backfill de 30 días en minutos o transmite una curva diurna en tiempo real a archivo, syslog, Elasticsearch o Splunk HEC.

Qué incluye

  • 13 formatos de salida verificados por parsers (syslog RFC 3164/5424, CEF, LEEF 2.0, PAN-OS 10.2 CSV, ECS 8.11 JSON, JSON de telemetría XDR, XML de Windows Event Log / Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata)
  • Verificación de extremo a extremo contra parsers reales, incluyendo Elasticsearch ingest, pipelines de integración de Elastic y códecs grok/kv/xml/CEF de Logstash
  • Escenarios de ataque etiquetados con MITRE ATT&CK inyectados en un ruido de fondo realista, con un DSL TOML para crear los tuyos propios
  • Reproducibilidad determinista mediante semilla: la misma semilla reproduce datos idénticos byte a byte
  • Throughput de 188k–1.6M eventos/s, con backfill de 30 días generado en minutos
  • Destinos de salida: archivo, syslog, Elasticsearch y Splunk HEC

Casos de uso

Realizar PoC y evaluaciones de SIEM sin registros de producción

Desarrollar y ajustar reglas de detección frente a una ground truth conocida

Crear y validar paneles de control basados en datos representativos

Realizar dimensionamiento de capacidad y pruebas de carga

Preguntas frecuentes

¿Son los registros lo suficientemente realistas?

Los 13 formatos están verificados de extremo a extremo frente a parsers reales como Elasticsearch ingest, pipelines de integración de Elastic y códecs grok/kv/xml/CEF de Logstash. Son fieles en sus campos a los dispositivos reales y a los esquemas SIEM, no son meramente algo que parezca un log.

¿Puedo reproducir las ejecuciones?

Sí. La generación es determinista: la misma semilla reproduce datos idénticos byte a byte.

¿Cómo mido la calidad de la detección?

Los escenarios correlacionados y etiquetados con MITRE ATT&CK sirven como una ground truth conocida, lo que permite medir las tasas de detección y de falsos positivos en comparación con ella.

¿A qué sistemas puede alimentar?

Puede enviar la salida a un archivo, syslog, Elasticsearch y Splunk HEC, tanto para el backfill como para el streaming en tiempo real.

¿A qué velocidad y qué volumen de datos?

Mantiene entre 188k–1.6M eventos/s y realiza el backfill de 30 días de datos en minutos.

Modelo de precios

Tarifa de software por hora + EC2 (clase t3 en adelante). Medición por tipo de instancia, sin claves de licencia.

Obtener en AWS Marketplace

Otros productos S4

S4 — Squished S3
Almacenamiento y datos

S4 — Squished S3

Gateway transparente de compresión S3 con GPU

50–80% menos bytes de almacenamiento
Reemplaza: Almacenamiento Amazon S3
S4 Logs
Observabilidad

S4 Logs

Archiva CloudWatch Logs en S3 con zstd

70–90% de descuento en CloudWatch Logs
Reemplaza: Amazon CloudWatch Logs
S4 Metrics
Observabilidad

S4 Metrics

Gobierna la cardinalidad de métricas de CloudWatch

Controla el coste de la cardinalidad de las métricas
Reemplaza: Métricas personalizadas de CloudWatch