S4 MockAPI
安全 API 模擬器
何時收回成本?
回收週期取決於成本項目和替換範圍
該產品的回收週期取決於您目前的 AWS 支出、替換範圍和執行環境。請使用帳單模擬器識別符合的成本項目並取得粗略的節省估算。
像真實安全產品 API 一樣回應的 mock server。無需產品授權即可建構和測試 SIEM/SOAR 整合:相容 Trend Micro Vision One、Palo Alto Networks PAN-OS、Microsoft Sentinel 和 CrowdStrike Falcon 的 profile,以及針對任意 OpenAPI 3.x 文件的通用 mock。附帶 MITRE ATT&CK 場景庫和 Terraform 模組。
S4 MockAPI 僅基於公開 API 文件重構並複現安全產品 API 的「形狀」 — 狀態碼、header、認證流程、pagination、rate-limit 和 error body。所有資料均為合成資料。Vision One 相容(公開 API v3.0):帶 ETag/If-Match 流程的 workbench alerts、endpoint inventory、endpoint-activity search、OAT detections,以及帶真實任務生命週期的 isolate/restore response actions(207 Multi-Status)。PAN-OS 相容(11.x 時代 XML API):keygen 認證、op 指令、有狀態 candidate-config CRUD、commit job lifecycle。Microsoft Sentinel 相容:Azure AD OAuth2 client_credentials token、Log Analytics `/v1/workspaces/{id}/query` 上的 KQL 子集(where / take / limit / project / count),涵蓋 7 個種子資料表;Sentinel Incidents CRUD(ETag/If-Match);`entities/{id}/expand` 回傳 3 節點圖;`runPlaybook` LRO 輪詢。CrowdStrike Falcon 相容:`POST /oauth2/token`(client_credentials → 不透明 bearer)、Detects / Devices / Real Time Response、`contain / lift_containment` 的有狀態反映、Falcon Query Language 的 filter 子集。附帶 MITRE ATT&CK 場景庫(10 種)、Terraform 模組和每 profile 的 Postman 集合。
面臨挑戰
建構與測試 SIEM/SOAR 整合意味著需要呼叫真實的安全產品 API(如 Trend Micro Vision One、Palo Alto PAN-OS、Microsoft Sentinel、CrowdStrike Falcon),但其授權價格昂貴且數量有限,極少有空閒的沙箱可用於開發。您無法將 CI 指向生產環境的安全工具,且諸如錯誤和限流等失敗路徑也難以依需求重現。因此,整合程式碼往往測試不充分,第一次在生產環境中執行時就會發生崩潰。
運作原理
- 1
啟動 AMI,選擇設定檔
啟動 AMI 後,相容 Vision One 的設定預設在 :8080 連接埠啟動,可透過一個環境檔案切換到 PAN-OS、Microsoft Sentinel、CrowdStrike Falcon 或通用 OpenAPI 設定。使用隨附的 Terraform 模組(`s4-mockapi-aws`)可預設以 IMDSv2 強制、加密根磁碟區、admin 連接埠僅執行個體內可達的安全預設值進行部署。
- 2
將您的整合指向模擬服務
只需將您的連接器或流水線從真實 API 重新指向模擬服務的端點,即可在沒有產品授權的情況下,取得真實的狀態碼、請求標頭、身分驗證流程和分頁資訊。
- 3
注入故障,然後重置
透過 TOML 場景確定性地注入故障(例如第 n 次呼叫時傳回 500、帶有 Retry-After 的 429 限流或延遲),然後透過一次 API 呼叫還原出廠設定,以便從初始狀態重新執行。
產品亮點
四個廠商忠實 profile(Vision One / PAN-OS / Sentinel / CrowdStrike)加上通用 OpenAPI 3.x mock — 一台 AMI 涵蓋你的整合測試面。
MITRE ATT&CK 場景庫(10 種:ransomware T1486、credential stuffing、lateral movement、C2、data exfiltration 等)加上確定性 fault injection — 在 CI 中重現 IR 等級的 API 負載與失敗路徑。
包含 Terraform 模組(`s4-mockapi-aws`)和每 profile 的 Postman 集合;不到一分鐘即可啟動可用 mock,一次 API 呼叫即可 factory reset,沒有任何資料離開 instance。
包含內容
- 相容 Trend Micro Vision One 的 REST 設定檔(公開 API v3.0):支援帶有 ETag/If-Match 流程的工作台警示、端點清單、端點活動搜尋、OAT 偵測,以及包含真實任務生命週期(含 207 Multi-Status)的隔離/恢復回應動作。
- 相容 Palo Alto Networks PAN-OS 的 XML API 設定檔(11.x 版本):支援 keygen 驗證、op 指令、有狀態候選設定的 CRUD、commit 任務生命週期以及非同步日誌取得。
- Microsoft Sentinel 相容設定:Azure AD OAuth2 client_credentials token,Log Analytics `/v1/workspaces/{id}/query` 上的 KQL 子集(where / take / limit / project / count),涵蓋 7 張種子表(SecurityAlert / SecurityIncident / SigninLogs / Heartbeat / AuditLogs / AzureActivity / SecurityEvent);Sentinel Incidents CRUD(ETag/If-Match)及其評論;`entities/{id}/expand` 傳回 3 節點圖;`runPlaybook` LRO 輪詢。
- CrowdStrike Falcon 相容設定:`POST /oauth2/token`(client_credentials → 帶 `expires_in` 的不透明 bearer)和 `POST /oauth2/revoke`;Detects 的 `GET /queries/detects/v1` + `POST /entities/summaries/GET/v1` + 有狀態的 `PATCH /entities/detects/v2`;Devices 的 queries + summaries + `contain / lift_containment` 有狀態地反映至 `containment_status`;Real Time Response 的 session / execute / status 生命週期(queued → executing → completed);`filter=` 的 Falcon Query Language 子集。
- 通用 OpenAPI 3.x 模擬服務:輸入任何 OpenAPI 文件,其中記錄的每個操作都將基於其範例和 Schema 自動產生並提供回應。
- 根據公開說明文件真實重現狀態碼、請求標頭、驗證流程、分頁、限流和錯誤內容,並在 CI 中強制執行 Schema 一致性驗證。
- 確定性故障注入:支援第 n 次呼叫的 500 錯誤、帶有 Retry-After 的機率性 429 錯誤以及延遲注入,使失敗路徑測試可重現。
- 支援單次呼叫 API 還原出廠設定(POST /reset),並支援透過種子檔案覆寫,使您自己的展示資料成為出廠狀態。
- 附帶 MITRE ATT&CK 場景庫(10 種)、Terraform 模組(`s4-mockapi-aws`)以及每 profile 的 Postman 集合:ransomware 回應(T1486)、credential stuffing(T1110.004)、lateral movement(TA0008)、data exfiltration(TA0010)、C2 偵測(T1071 / T1573)、phishing(T1566)、insider threat、persistence hunt、EDR 一鍵隔離、Sentinel incident 分流演練等。
- 完全離線執行:狀態僅保留在記憶體中,實例不發起任何外向呼叫,且任何內容都無法離開該實例。
適用場景
在無需真實設備的情況下,針對 Vision One、PAN-OS、Microsoft Sentinel、CrowdStrike Falcon 或任何 OpenAPI API 開發 SIEM/SOAR 連接器和流水線。
利用確定性故障注入和重置,在 CI 中可重現地測試 500 錯誤、限流和延遲等失敗路徑。
安全地執行合作夥伴展示和內部培訓,而無需接觸生產環境的安全產品。
在分配產品授權之前,將其用作工程師學習 API 整合的引導環境。
作為 MSSP 實驗室或 SOC 整合 QA harness:反覆重放 MITRE ATT&CK 形態的場景(ransomware / lateral movement / C2 / 資料外洩 等),演練真實 IR 工作和 Sentinel incident triage 中的 API 負載與失敗模式。
常見問題
這傳回的是真實的廠商資料嗎?
不是。所有傳回的資料都是合成資料,僅重現了根據公開說明文件重構的 API 結構(相容形狀)。Trend Micro、Vision One、Palo Alto Networks、PAN-OS、Microsoft、Sentinel、CrowdStrike 和 Falcon 是用於指代相容目標的商標;本產品與這些廠商沒有關聯,也沒有獲得其背書。
我可以在 CI 中使用它嗎?
是的,它專為 CI 設計。透過 TOML 場景進行的確定性故障注入(第 n 次呼叫 the 500 錯誤、帶有 Retry-After 的 429 錯誤、延遲)可重現失敗路徑,而在各次執行之間,可透過 POST /reset 將其還原到出廠狀態,從而確保每次測試都從相同的基準線開始。
會有任何資料離開實例嗎?
不會。它在您自己的 VPC 內完全離線執行。狀態僅保留在記憶體中,實例不會發起外向呼叫,合成資料也絕不會離開實例。
支援哪些 API?
共有五種:相容 Trend Micro Vision One 的 REST 結構(公開 API v3.0)、相容 Palo Alto Networks PAN-OS 的 XML API 結構(11.x 版本)、Microsoft Sentinel 相容(Azure AD OAuth2、Log Analytics 上的 KQL 子集、Sentinel Incidents、`runPlaybook` LRO)、CrowdStrike Falcon 相容(OAuth2 client_credentials、Detects / Devices / Real Time Response、`filter=` 的 FQL 子集),以及可透過輸入 OpenAPI 3.x 文件來重現任何 REST API 的通用模擬服務。
部署和啟動需要多少時間?
它在不到一分鐘的時間內即可啟動為可運作的模擬服務。AMI 啟動後會自動在 :8080 連接埠執行相容 Vision One 的設定檔,使用像 t3.micro 這樣的小型實例就足夠執行了。
為什麼更便宜
假設一個開發團隊執行 SIEM/SOAR 整合測試和 CI,需要 3 個廠商安全 API (Vision One、PAN-OS、CrowdStrike Falcon)。
- Vision One Sandbox 授權
- $1,200 / 月
- PAN-OS Dev 授權
- $1,500 / 月
- CrowdStrike Falcon Dev 授權
- $800 / 月
- 月度合計
- $3,500 / 月
- S4 MockAPI 執行個體 (t3.medium + 軟體費)
- $80 / 月
- 月度合計
- $80 / 月
按目標 API 數量選擇 S4 MockAPI 執行個體
| Mock 的 API 數 | 推薦執行個體 | S4 MockAPI 執行個體費用 | 月度合計對比真實授權 |
|---|---|---|---|
| 1 個產品 | t3.small | $40 / 月 | $40 / 月 (许可证 $1,200, −97%) |
| 3 個產品 | t3.medium | $80 / 月 | $80 / 月 (许可证 $3,500, −98%) |
| 10+ 個產品 | m5.large | $120 / 月 | $120 / 月 (许可证 $12,000, −99%) |
僅供參考。真實授權成本基於廠商 dev / sandbox 價格估算 ($800–$1,500/月) 取中位值 (實際價格因合約和席位而異)。S4 MockAPI 適用於 dev / CI 環境,staging 及以後應繼續使用真實 API。不建議用於生產替換。
計費模式
按小時計費的軟體費用 + EC2(涵蓋廣泛 instance type)。按 instance type 計量,無需 license key。