S4 LogForge
逼真的 SIEM test log generator
何時收回成本?
回收週期取決於成本項目和替換範圍
該產品的回收週期取決於您目前的 AWS 支出、替換範圍和執行環境。請使用帳單模擬器識別符合的成本項目並取得粗略的節省估算。
以任意速率產生 13 種格式的逼真、parser-faithful security logs — 可在數秒內 backfill 30 天,或即時 stream。針對 SIEM PoCs、detection-rule development、dashboards、capacity sizing 和 load testing 建構。帶 MITRE ATT&CK 標籤的關聯 attack scenarios;確定性、可複現輸出。
S4 LogForge 產生與真實設備和 SIEM schemas 欄位一致的 security logs — 適用於 SIEM 專案需要 production-like data 但不能使用 production logs 的場景。13 種輸出格式均已針對真實 parsers 完成端對端驗證 (Elasticsearch ingest pipelines, Elastic integrations, Logstash grok / kv / xml / CEF codec):RFC 3164/5424 syslog;CEF (ArcSight-style);LEEF 2.0 (QRadar-style);PAN-OS 10.2 CSV;ECS 8.11 JSON;XDR telemetry JSON;Windows Event/Winlogbeat;CloudTrail;VPC Flow;Zeek;Suricata。
面臨挑戰
建構或驗證 SIEM 需要真實的安全性記錄,然而生產記錄因包含敏感資訊而無法使用,且難以取得;而手動偽造的記錄既無法透過真實的解析器,也不包含已知的基準真相(ground truth)。S4 LogForge 可產生欄位忠實於實際、透過解析器驗證且內建基準真相的測試記錄,讓您無需接觸生產資料即可推進 SIEM 專案。
運作原理
- 1
選擇格式和場景
從 13 種輸出格式和帶有 MITRE ATT&CK 標籤的攻擊場景中進行選擇,並在需要時使用 TOML DSL 撰寫您自己的場景。
- 2
產生回填或即時資料
在數分鐘內回填 30 天的資料,或者將即時的日變化曲線串流傳輸到 file、syslog、Elasticsearch 或 Splunk HEC。
- 3
對照基準真相衡量偵測結果
由於注入的場景是已知的基準真相(ground truth),因此您可以對照它來評估偵測率和誤報率。
產品亮點
13 種 parser-faithful formats — syslog 3164/5424、CEF、LEEF、PAN-OS CSV、ECS JSON、Windows Event/Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata、XDR telemetry — 每種都針對真實 parsers 驗證,而不只是「看起來像日誌」。
將帶 MITRE ATT&CK 標籤的關聯 attack scenarios 注入逼真 的 baseline noise,並提供用於撰寫自訂場景的 TOML DSL — 根據已知 ground truth 衡量 detection 和 false-positive rates。
確定性且可控速率:相同 seed 可複現 byte-identical data;持續 188k–1.6M events/sec,在數分鐘內 backfill 30 天,或將即時 diurnal curve stream 到 file、syslog、Elasticsearch 或 Splunk HEC。
包含內容
- 13 種經解析器驗證的輸出格式(RFC 3164/5424 syslog、CEF、LEEF 2.0、PAN-OS 10.2 CSV、ECS 8.11 JSON、XDR 遙測 JSON、Windows 事件記錄 XML / Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata)
- 針對真實解析器進行端到端驗證,包括 Elasticsearch ingest、Elastic 整合管線以及 Logstash grok/kv/xml/CEF 編解碼器
- 將關聯的、帶有 MITRE ATT&CK 標籤的攻擊場景注入到逼真的基準線雜訊中,並附帶用於撰寫自訂場景的 TOML DSL
- 確定性的種子可再現性:相同的種子可重現位元組完全一致的資料
- 吞吐量達 188k–1.6M events/sec,可在數分鐘內產生 30 天的回填資料
- 輸出接收端:file、syslog、Elasticsearch 和 Splunk HEC
適用場景
無需生產日誌即可執行 SIEM PoC 與評估
對照已知的基準真相開發與微調偵測規則
基於代表性資料建構與驗證儀表板
進行容量規劃與負載測試
常見問題
產生的日誌足夠逼真嗎?
所有 13 種格式都針對真實的解析器進行了端到端驗證,例如 Elasticsearch ingest、Elastic 整合管道以及 Logstash grok/kv/xml/CEF 編解碼器。它們忠實於真實設備和 SIEM 模式的欄位,而不僅是看起來像日誌。
我可以重現執行嗎?
是的。產生過程是確定性的:相同的種子可重現位元組完全一致的資料。
如何衡量偵測品質?
關聯的、帶有 MITRE ATT&CK 標籤的場景作為已知的基準真相(ground truth),因此您可以對照它們來衡量偵測率和誤報率。
它可以輸出到哪裡?
它可以輸出到 file、syslog、Elasticsearch 和 Splunk HEC,同時支援回填和即時串流傳輸。
速度有多快,能產生多少資料?
它能維持 188k–1.6M events/sec 的速率,並在數分鐘內回填 30 天的資料。
為什麼更便宜
假設持續生成 13 種安全日誌格式, 並每月執行 SIEM/SOC 檢測規則的回歸測試。
- BAS / 商用工具許可證
- $3,500 / 月
- 工程師工時 (0.2 FTE)
- $3,300 / 月
- 月度合計
- $6,800 / 月
- S4 LogForge 實例 (t3.medium + 軟體費)
- $80 / 月
- 工程師工時 (0.02 FTE)
- $330 / 月
- 月度合計
- $410 / 月
按目標格式數量選擇 S4 LogForge 實例
| 目標格式 | 推薦執行個體 | S4 LogForge 實例費用 | 月度合計對比內部維運 |
|---|---|---|---|
| 1–3 種 | t3.small | $40 / 月 | $40 / 月 (内部 $2,500, −98%) |
| 4–8 種 | t3.medium | $80 / 月 | $80 / 月 (内部 $4,200, −98%) |
| 全部 13 種 | m5.large | $120 / 月 | $120 / 月 (内部 $6,800, −98%) |
僅供參考。SecOps 工程師成本按年薪 $200k (~$16,600/月) 計算, 分別按 0.2 FTE / 0.02 FTE 分攤。商用 BAS (Breach and Attack Simulation) 工具價格區間為 $40k–$200k/年, 此處取中位 (~$3,500/月)。S4 LogForge 假設可替代內部腳本維護和商用 BAS 許可證, 殘餘工程師工時僅用於新場景編寫。
計費模式
按小時計費的軟體費用 + EC2 (t3 class and up)。按 instance type 計量,無需 license keys。