Tous les produits AWS Marketplace
S4 LogForge
Sécurité

S4 LogForge

Générateur réaliste de logs de test SIEM

13 formats fidèles au parseur Service AWS remplacé: Données de test SIEM faites sur mesure
Obtenir sur AWS Marketplace

Générez des logs de sécurité réalistes, fidèles aux parsers, dans 13 formats et à n’importe quel débit — backfill de 30 jours en quelques secondes ou streaming en temps réel. Conçu pour les PoC SIEM, le développement de règles de détection, les dashboards, le dimensionnement de capacité et les tests de charge. Scénarios d’attaque corrélés tagués MITRE ATT&CK ; sortie déterministe et reproductible.

S4 LogForge génère des logs de sécurité fidèles aux champs de vrais équipements et schémas SIEM — pour les cas où vous avez besoin de données proches de la production pour un projet SIEM, sans pouvoir utiliser les logs de production. Les 13 formats de sortie sont chacun vérifiés de bout en bout avec de vrais parsers (pipelines d’ingest Elasticsearch, intégrations Elastic, codecs Logstash grok / kv / xml / CEF) : syslog RFC 3164/5424 ; CEF (style ArcSight) ; LEEF 2.0 (style QRadar) ; PAN-OS 10.2 CSV ; ECS 8.11 JSON ; télémétrie XDR JSON ; Windows Event/Winlogbeat ; CloudTrail ; VPC Flow ; Zeek ; Suricata.

Le problème

Construire ou valider un SIEM nécessite des logs de sécurité réalistes, pourtant les logs de production sont sensibles et indisponibles, et les logs falsifiés manuellement ne passent pas les vrais parseurs et ne portent aucune vérité de terrain connue. S4 LogForge génère des logs de test fidèles aux champs et validés par les parseurs avec une vérité de terrain intégrée, vous permettant ainsi de faire avancer un projet SIEM sans toucher aux données de production.

Fonctionnement

  1. 1

    Choisir formats et scénarios

    Sélectionnez parmi 13 formats de sortie et des scénarios d'attaque étiquetés MITRE ATT&CK, et créez les vôtres avec le DSL TOML si nécessaire.

  2. 2

    Générer en backfill ou en temps réel

    Effectuez un backfill de 30 jours en quelques minutes, ou diffusez en continu une courbe diurne en temps réel vers un fichier, syslog, Elasticsearch ou Splunk HEC.

  3. 3

    Mesurer les détections par rapport à la vérité de terrain

    Les scénarios injectés constituant la vérité de terrain connue, vous pouvez évaluer les taux de détection et de faux positifs par rapport à celle-ci.

Points forts

13 formats fidèles aux parsers — syslog 3164/5424, CEF, LEEF, PAN-OS CSV, ECS JSON, Windows Event/Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata, télémétrie XDR — chacun vérifié avec de vrais parsers, pas seulement « ressemble à un log ».

Scénarios d’attaque corrélés et tagués MITRE ATT&CK injectés dans un bruit de baseline réaliste, avec un DSL TOML pour écrire les vôtres — mesurez les taux de détection et de faux positifs par rapport à une vérité terrain connue.

Déterministe et contrôlé en débit : la même seed reproduit des données identiques au byte près ; soutient 188k–1.6M events/sec, backfill de 30 jours en quelques minutes, ou streaming d’une courbe diurne en temps réel vers fichier, syslog, Elasticsearch ou Splunk HEC.

Ce qui est inclus

  • 13 formats de sortie validés par les parseurs (RFC 3164/5424 syslog, CEF, LEEF 2.0, PAN-OS 10.2 CSV, ECS 8.11 JSON, XDR telemetry JSON, Windows Event Log XML / Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata)
  • Vérification de bout en bout par rapport à de vrais parseurs, y compris l'ingestion Elasticsearch, les pipelines d'intégration Elastic et les codecs Logstash grok/kv/xml/CEF
  • Scénarios d'attaque étiquetés MITRE ATT&CK injectés dans un bruit de fond réaliste, avec un DSL TOML pour créer les vôtres
  • Reproductibilité déterministe avec graine : la même graine reproduit des données identiques à l'octet près
  • Débit de 188k–1.6M events/sec, avec backfill de 30 jours généré en quelques minutes
  • Destinations de sortie : fichier, syslog, Elasticsearch et Splunk HEC

Cas d'usage

Exécuter des PoC et des évaluations SIEM sans logs de production

Développer et affiner les règles de détection par rapport à une vérité de terrain connue

Construire et valider des tableaux de bord sur des données représentatives

Effectuer le dimensionnement des capacités et les tests de charge

FAQ

Les logs générés sont-ils assez réalistes ?

Les 13 formats sont vérifiés de bout en bout par rapport à de vrais parseurs tels que l'ingestion Elasticsearch, les pipelines d'intégration Elastic et les codecs Logstash grok/kv/xml/CEF. Ils sont fidèles aux champs des appareils réels et des schémas SIEM, et ne ressemblent pas simplement à des logs.

Puis-je reproduire les exécutions ?

Oui. La génération est déterministe : la même graine reproduit des données identiques à l'octet près.

Comment mesurer la qualité de la détection ?

Les scénarios corrélés et étiquetés MITRE ATT&CK servent de vérité de terrain connue, vous permettant ainsi de mesurer les taux de détection et de faux positifs par rapport à celle-ci.

Que peut-il alimenter ?

Il peut exporter vers un fichier, syslog, Elasticsearch et Splunk HEC, aussi bien pour le backfill que pour le streaming en temps réel.

À quelle vitesse et quelle quantité de données ?

Il maintient un débit de 188k–1.6M events/sec et effectue un backfill de 30 jours de données en quelques minutes.

Modèle de tarification

Frais logiciels horaires + EC2 (classe t3 et plus). Facturation à l’usage par type d’instance, aucune clé de licence.

Obtenir sur AWS Marketplace

Autres produits S4

S4 — Squished S3
Stockage & données

S4 — Squished S3

Gateway transparent de compression S3 par GPU

50–80% d'octets de stockage en moins
Remplace: Stockage Amazon S3
S4 Logs
Observabilité

S4 Logs

Archiver CloudWatch Logs vers S3 zstd

70–90% de réduction sur CloudWatch Logs
Remplace: Amazon CloudWatch Logs
S4 Metrics
Observabilité

S4 Metrics

Gouverner la cardinalité des métriques CloudWatch

Maîtriser le coût de cardinalité des métriques
Remplace: Métriques personnalisées CloudWatch