S4 LogForge
リアルなSIEMテストログ生成器
13形式のリアルでパーサ忠実なセキュリティログを任意レートで生成。30日分を数秒でバックフィル、あるいはリアルタイムでストリーム。SIEMのPoC、検知ルール開発、ダッシュボード、キャパシティ見積り、負荷試験向け。MITRE ATT&CKタグ付きの相関攻撃シナリオ、決定論的で再現可能な出力。
S4 LogForge は、実機やSIEMスキーマにフィールド忠実なセキュリティログを生成します — 本番ログを使えないがプロダクション相当のデータが必要な場面のために。13の出力形式はそれぞれ実パーサ(Elasticsearch取り込みパイプライン、Elastic統合、Logstash grok/kv/xml/CEFコーデック)に対しエンドツーエンドで検証済み: RFC 3164/5424 syslog、CEF(ArcSight系)、LEEF 2.0(QRadar系)、PAN-OS 10.2 CSV、ECS 8.11 JSON、XDRテレメトリJSON、Windows Event/Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata。
課題
SIEM を構築・検証するにはリアルなセキュリティログが必要ですが、本番ログは機微情報を含み流用できず、入手も困難です。手作りした偽ログは実際のパーサーを通らず、検知の正解(ground truth)も持ちません。S4 LogForge は、実機・SIEM スキーマに忠実で正解付きのテストログを生成し、本番ログなしで SIEM プロジェクトを前に進めます。
仕組み
- 1
形式とシナリオを選ぶ
13 種類の出力形式と MITRE ATT&CK タグ付きの攻撃シナリオを選び、必要なら TOML DSL で独自シナリオを記述します。
- 2
バックフィルかリアルタイム生成
30 日分を数分でバックフィルするか、日内変動カーブのリアルタイムストリームを file・syslog・Elasticsearch・Splunk HEC へ送出します。
- 3
正解と照らして検知を測る
注入したシナリオは既知の正解なので、検知率と誤検知率を ground truth と突き合わせて評価できます。
特長
パーサ忠実な13形式 — syslog 3164/5424・CEF・LEEF・PAN-OS CSV・ECS JSON・Windows Event/Winlogbeat・CloudTrail・VPC Flow・Zeek・Suricata・XDRテレメトリ — 各々を実パーサに対して検証。「ログっぽい」では終わらせない。
MITRE ATT&CKタグ付きの相関攻撃シナリオをリアルなベースラインノイズに注入。独自シナリオ記述用のTOML DSL付き。既知の正解に対して検知率・誤検知率を測定。
決定論的でレート制御可能: 同一シードでバイト同一のデータを再現。188k〜1.6M events/secを持続、30日分を数分でバックフィル、または日内変動カーブをファイル/syslog/Elasticsearch/Splunk HECへリアルタイム配信。
含まれるもの
- 実パーサーで検証済みの 13 出力形式(RFC 3164/5424 syslog、CEF、LEEF 2.0、PAN-OS 10.2 CSV、ECS 8.11 JSON、XDR テレメトリ JSON、Windows イベントログ XML / Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata)
- Elasticsearch ingest / Elastic integration パイプラインや Logstash の grok・kv・xml・CEF コーデックなど、実際のパーサーに対するエンドツーエンド検証
- MITRE ATT&CK タグ付きの相関攻撃シナリオを現実的なベースラインノイズに注入、独自シナリオ用の TOML DSL 付き
- 決定論的なシード再現性: 同じシードでバイト単位で同一のデータを再生成
- 188k〜1.6M events/sec のスループットと 30 日分を数分で生成するバックフィル
- 出力シンク: file、syslog、Elasticsearch、Splunk HEC
こんな用途に
SIEM の PoC・評価を本番ログなしで実施する
既知の正解を使って検知ルールを開発・チューニングする
代表的なデータでダッシュボードを構築・検証する
キャパシティサイジングと負荷テストを行う
よくある質問
生成ログは十分にリアルですか?
13 形式すべてを Elasticsearch ingest / Elastic integration パイプラインや Logstash の grok・kv・xml・CEF コーデックといった実際のパーサーに対してエンドツーエンドで検証しています。「ログらしく見える」だけでなく、実機・SIEM スキーマにフィールド忠実です。
実行は再現できますか?
はい。決定論的なシードにより、同じシードを使えばバイト単位で同一のデータが再生成されます。
検知品質はどう測りますか?
MITRE ATT&CK タグ付きの相関シナリオが既知の正解(ground truth)になるため、それと突き合わせて検知率と誤検知率を測定できます。
どこへ出力できますか?
file、syslog、Elasticsearch、Splunk HEC へ出力できます。バックフィルもリアルタイムストリームも同じシンクに送れます。
どれくらい速く、どれだけのデータを生成できますか?
188k〜1.6M events/sec を維持し、30 日分のバックフィルを数分で生成します。
料金モデル
時間課金のソフトウェア利用料 + EC2(t3級〜)。インスタンスタイプ別の従量課金。ライセンスキー不要。
