Todos os produtos do AWS Marketplace
S4 LogForge
Segurança

S4 LogForge

Gerador realista de logs de teste SIEM

13 formatos fiéis ao parser Serviço da AWS que substitui: Dados de teste SIEM feitos sob medida
Obter no AWS Marketplace

Gere logs de segurança realistas e fiéis ao parser em 13 formatos, em qualquer taxa — faça backfill de 30 dias em segundos ou transmita em realtime. Criado para PoCs de SIEM, desenvolvimento de regras de detecção, dashboards, dimensionamento de capacidade e testes de carga. Cenários de ataque correlacionados com tags MITRE ATT&CK; saída determinística e reproduzível.

S4 LogForge gera logs de segurança fiéis em campos a dispositivos reais e schemas de SIEM — para quando você precisa de dados semelhantes aos de produção para um projeto de SIEM, mas não pode usar logs de produção. Os 13 formatos de saída são verificados end-to-end contra parsers reais (pipelines de ingest do Elasticsearch, integrações Elastic, codecs Logstash grok / kv / xml / CEF): syslog RFC 3164/5424; CEF (estilo ArcSight); LEEF 2.0 (estilo QRadar); PAN-OS 10.2 CSV; ECS 8.11 JSON; telemetria XDR JSON; Windows Event/Winlogbeat; CloudTrail; VPC Flow; Zeek; Suricata.

O problema

Construir ou validar um SIEM exige logs de segurança realistas, mas os logs de produção são sensíveis e indisponíveis, e logs forjados manualmente não sobrevivem a parsers reais nem contêm um ground truth conhecido. O S4 LogForge gera logs de teste fiéis aos campos originais e validados por parsers com ground truth integrado, para que você possa avançar com o projeto de SIEM sem tocar nos dados de produção.

Como funciona

  1. 1

    Escolha formatos e cenários

    Selecione a partir de 13 formatos de saída e cenários de ataque com tags MITRE ATT&CK, e crie os seus próprios usando a DSL TOML quando necessário.

  2. 2

    Gere backfill ou em tempo real

    Faça o backfill de 30 dias em minutos ou faça o streaming em tempo real de uma curva diurna para arquivo, syslog, Elasticsearch ou Splunk HEC.

  3. 3

    Meça as detecções vs. ground truth

    Como os cenários injetados representam um ground truth conhecido, você pode avaliar as taxas de detecção e de falsos positivos com base nele.

Destaques

13 formatos fiéis ao parser — syslog 3164/5424, CEF, LEEF, PAN-OS CSV, ECS JSON, Windows Event/Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata, telemetria XDR — cada um verificado contra parsers reais, não apenas algo que “parece log”.

Cenários de ataque correlacionados com tags MITRE ATT&CK injetados em ruído de baseline realista, além de uma DSL TOML para criar os seus próprios — meça taxas de detecção e falso positivo contra uma verdade conhecida.

Determinístico e com controle de taxa: a mesma seed reproduz dados byte a byte idênticos; sustente 188k–1.6M events/sec, faça backfill de 30 dias em minutos ou transmita uma curva diurna em realtime para arquivo, syslog, Elasticsearch ou Splunk HEC.

O que está incluído

  • 13 formatos de saída validados por parsers (syslog RFC 3164/5424, CEF, LEEF 2.0, PAN-OS 10.2 CSV, ECS 8.11 JSON, JSON de telemetria XDR, XML de Windows Event Log / Winlogbeat, CloudTrail, VPC Flow, Zeek, Suricata)
  • Verificação ponta a ponta contra parsers reais, incluindo Elasticsearch ingest, pipelines de integração do Elastic e os codecs grok/kv/xml/CEF do Logstash
  • Cenários de ataque correlacionados e marcados com tags MITRE ATT&CK injetados em um ruído de baseline realista, com uma DSL TOML para criar os seus próprios
  • Reprodutibilidade determinística baseada em seed: a mesma seed reproduz dados idênticos byte a byte
  • Throughput de 188k–1.6M eventos/s, com backfill de 30 dias gerado em minutos
  • Sinks de saída: arquivo, syslog, Elasticsearch e Splunk HEC

Casos de uso

Execute PoCs e avaliações de SIEM sem logs de produção

Desenvolva e ajuste regras de detecção contra um ground truth conhecido

Construa e valide dashboards com base em dados representativos

Realize dimensionamento de capacidade e testes de carga

FAQ

Os logs são realistas o suficiente?

Todos os 13 formatos são verificados de ponta a ponta contra parsers reais, tais como Elasticsearch ingest, pipelines de integração do Elastic e os codecs grok/kv/xml/CEF do Logstash. Eles são fiéis aos campos de dispositivos reais e schemas de SIEM, não apenas algo que se parece com um log.

Posso reproduzir as execuções?

Sim. A geração é determinística: a mesma seed reproduz dados idênticos byte a byte.

Como meço a qualidade da detecção?

Cenários correlacionados e com tags MITRE ATT&CK servem como um ground truth conhecido, para que você possa medir as taxas de detecção e de falsos positivos contra ele.

Para onde ele pode enviar dados?

Ele pode enviar dados para arquivo, syslog, Elasticsearch e Splunk HEC, tanto para backfill quanto para streaming em tempo real.

Quão rápido e qual o volume de dados?

Ele sustenta 188k–1.6M eventos/s e faz o backfill de 30 dias de dados em minutos.

Modelo de precificação

Taxa de software por hora + EC2 (classe t3 e superiores). Medição por tipo de instância, sem chaves de licença.

Obter no AWS Marketplace

Outros produtos S4

S4 — Squished S3
Armazenamento & dados

S4 — Squished S3

Gateway transparente de compressão S3 com GPU

50–80% menos bytes de armazenamento
Substitui: Armazenamento do Amazon S3
S4 Logs
Observabilidade

S4 Logs

Arquive CloudWatch Logs em S3 com zstd

70–90% de redução no CloudWatch Logs
Substitui: Amazon CloudWatch Logs
S4 Metrics
Observabilidade

S4 Metrics

Controle a cardinalidade de métricas do CloudWatch

Controle o custo de cardinalidade de métricas
Substitui: Métricas customizadas do CloudWatch