返回 AWS Marketplace 產品列表
S4 LogForge
安全

S4 LogForge

逼真的 SIEM test log generator

13 種忠於解析器的格式 替換的 AWS 服務: 手工產生的 SIEM test data
在 AWS Marketplace 取得

何時收回成本?

回收週期取決於成本項目和替換範圍

該產品的回收週期取決於您目前的 AWS 支出、替換範圍和執行環境。請使用帳單模擬器識別符合的成本項目並取得粗略的節省估算。

用您的帳單估算

估算您的節省金額

輸入相關每月支出或使用量即可獲得粗略估算 — 無需上傳帳單。

完整帳單上傳與其他產品

以任意速率產生 13 種格式的逼真、parser-faithful security logs — 可在數秒內 backfill 30 天,或即時 stream。針對 SIEM PoCs、detection-rule development、dashboards、capacity sizing 和 load testing 建構。帶 MITRE ATT&CK 標籤的關聯 attack scenarios;確定性、可複現輸出。

S4 LogForge 產生與真實設備和 SIEM schemas 欄位一致的 security logs — 適用於 SIEM 專案需要 production-like data 但不能使用 production logs 的場景。13 種輸出格式均已針對真實 parsers 完成端對端驗證 (Elasticsearch ingest pipelines, Elastic integrations, Logstash grok / kv / xml / CEF codec):RFC 3164/5424 syslog;CEF (ArcSight-style);LEEF 2.0 (QRadar-style);PAN-OS 10.2 CSV;ECS 8.11 JSON;XDR telemetry JSON;Windows Event/Winlogbeat;CloudTrail;VPC Flow;Zeek;Suricata。

面臨挑戰

建構或驗證 SIEM 需要真實的安全性記錄,然而生產記錄因包含敏感資訊而無法使用,且難以取得;而手動偽造的記錄既無法透過真實的解析器,也不包含已知的基準真相(ground truth)。S4 LogForge 可產生欄位忠實於實際、透過解析器驗證且內建基準真相的測試記錄,讓您無需接觸生產資料即可推進 SIEM 專案。

運作原理

  1. 1

    選擇格式和場景

    從 13 種輸出格式和帶有 MITRE ATT&CK 標籤的攻擊場景中進行選擇,並在需要時使用 TOML DSL 撰寫您自己的場景。

  2. 2

    產生回填或即時資料

    在數分鐘內回填 30 天的資料,或者將即時的日變化曲線串流傳輸到 file、syslog、Elasticsearch 或 Splunk HEC。

  3. 3

    對照基準真相衡量偵測結果

    由於注入的場景是已知的基準真相(ground truth),因此您可以對照它來評估偵測率和誤報率。

產品亮點

13 種 parser-faithful formats — syslog 3164/5424、CEF、LEEF、PAN-OS CSV、ECS JSON、Windows Event/Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata、XDR telemetry — 每種都針對真實 parsers 驗證,而不只是「看起來像日誌」。

將帶 MITRE ATT&CK 標籤的關聯 attack scenarios 注入逼真 的 baseline noise,並提供用於撰寫自訂場景的 TOML DSL — 根據已知 ground truth 衡量 detection 和 false-positive rates。

確定性且可控速率:相同 seed 可複現 byte-identical data;持續 188k–1.6M events/sec,在數分鐘內 backfill 30 天,或將即時 diurnal curve stream 到 file、syslog、Elasticsearch 或 Splunk HEC。

包含內容

  • 13 種經解析器驗證的輸出格式(RFC 3164/5424 syslog、CEF、LEEF 2.0、PAN-OS 10.2 CSV、ECS 8.11 JSON、XDR 遙測 JSON、Windows 事件記錄 XML / Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata)
  • 針對真實解析器進行端到端驗證,包括 Elasticsearch ingest、Elastic 整合管線以及 Logstash grok/kv/xml/CEF 編解碼器
  • 將關聯的、帶有 MITRE ATT&CK 標籤的攻擊場景注入到逼真的基準線雜訊中,並附帶用於撰寫自訂場景的 TOML DSL
  • 確定性的種子可再現性:相同的種子可重現位元組完全一致的資料
  • 吞吐量達 188k–1.6M events/sec,可在數分鐘內產生 30 天的回填資料
  • 輸出接收端:file、syslog、Elasticsearch 和 Splunk HEC

適用場景

無需生產日誌即可執行 SIEM PoC 與評估

對照已知的基準真相開發與微調偵測規則

基於代表性資料建構與驗證儀表板

進行容量規劃與負載測試

常見問題

產生的日誌足夠逼真嗎?

所有 13 種格式都針對真實的解析器進行了端到端驗證,例如 Elasticsearch ingest、Elastic 整合管道以及 Logstash grok/kv/xml/CEF 編解碼器。它們忠實於真實設備和 SIEM 模式的欄位,而不僅是看起來像日誌。

我可以重現執行嗎?

是的。產生過程是確定性的:相同的種子可重現位元組完全一致的資料。

如何衡量偵測品質?

關聯的、帶有 MITRE ATT&CK 標籤的場景作為已知的基準真相(ground truth),因此您可以對照它們來衡量偵測率和誤報率。

它可以輸出到哪裡?

它可以輸出到 file、syslog、Elasticsearch 和 Splunk HEC,同時支援回填和即時串流傳輸。

速度有多快,能產生多少資料?

它能維持 188k–1.6M events/sec 的速率,並在數分鐘內回填 30 天的資料。

為什麼更便宜

假設持續生成 13 種安全日誌格式, 並每月執行 SIEM/SOC 檢測規則的回歸測試。

不使用 S4 LogForge (內部 + 商用工具)
SecOps 工程師
每條規則維護腳本
商用 BAS / 手工腳本
缺少 ground truth
SIEM (待測)
BAS / 商用工具許可證
$3,500 / 月
工程師工時 (0.2 FTE)
$3,300 / 月
月度合計
$6,800 / 月
使用 S4 LogForge
SecOps 工程師
13 種格式 + ground truth
S4 LogForge
t3.medium
可重現的回放
SIEM (待測)
S4 LogForge 實例 (t3.medium + 軟體費)
$80 / 月
工程師工時 (0.02 FTE)
$330 / 月
月度合計
$410 / 月
−94%與內部 + 商用工具相比

按目標格式數量選擇 S4 LogForge 實例

目標格式推薦執行個體S4 LogForge 實例費用月度合計對比內部維運
1–3 種t3.small$40 / 月$40 / 月 (内部 $2,500, −98%)
4–8 種t3.medium$80 / 月$80 / 月 (内部 $4,200, −98%)
全部 13 種m5.large$120 / 月$120 / 月 (内部 $6,800, −98%)

僅供參考。SecOps 工程師成本按年薪 $200k (~$16,600/月) 計算, 分別按 0.2 FTE / 0.02 FTE 分攤。商用 BAS (Breach and Attack Simulation) 工具價格區間為 $40k–$200k/年, 此處取中位 (~$3,500/月)。S4 LogForge 假設可替代內部腳本維護和商用 BAS 許可證, 殘餘工程師工時僅用於新場景編寫。

計費模式

按小時計費的軟體費用 + EC2 (t3 class and up)。按 instance type 計量,無需 license keys。

在 AWS Marketplace 取得