返回 AWS Marketplace 產品列表
S4 MockAPI
安全

S4 MockAPI

安全 API 模擬器

整合測試,無需授權 替換的 AWS 服務: 用於測試的安全產品授權
在 AWS Marketplace 取得

何時收回成本?

回收週期取決於成本項目和替換範圍

該產品的回收週期取決於您目前的 AWS 支出、替換範圍和執行環境。請使用帳單模擬器識別符合的成本項目並取得粗略的節省估算。

用您的帳單估算

估算您的節省金額

輸入相關每月支出或使用量即可獲得粗略估算 — 無需上傳帳單。

完整帳單上傳與其他產品

像真實安全產品 API 一樣回應的 mock server。無需產品授權即可建構和測試 SIEM/SOAR 整合:相容 Trend Micro Vision One、Palo Alto Networks PAN-OS、Microsoft Sentinel 和 CrowdStrike Falcon 的 profile,以及針對任意 OpenAPI 3.x 文件的通用 mock。附帶 MITRE ATT&CK 場景庫和 Terraform 模組。

S4 MockAPI 僅基於公開 API 文件重構並複現安全產品 API 的「形狀」 — 狀態碼、header、認證流程、pagination、rate-limit 和 error body。所有資料均為合成資料。Vision One 相容(公開 API v3.0):帶 ETag/If-Match 流程的 workbench alerts、endpoint inventory、endpoint-activity search、OAT detections,以及帶真實任務生命週期的 isolate/restore response actions(207 Multi-Status)。PAN-OS 相容(11.x 時代 XML API):keygen 認證、op 指令、有狀態 candidate-config CRUD、commit job lifecycle。Microsoft Sentinel 相容:Azure AD OAuth2 client_credentials token、Log Analytics `/v1/workspaces/{id}/query` 上的 KQL 子集(where / take / limit / project / count),涵蓋 7 個種子資料表;Sentinel Incidents CRUD(ETag/If-Match);`entities/{id}/expand` 回傳 3 節點圖;`runPlaybook` LRO 輪詢。CrowdStrike Falcon 相容:`POST /oauth2/token`(client_credentials → 不透明 bearer)、Detects / Devices / Real Time Response、`contain / lift_containment` 的有狀態反映、Falcon Query Language 的 filter 子集。附帶 MITRE ATT&CK 場景庫(10 種)、Terraform 模組和每 profile 的 Postman 集合。

面臨挑戰

建構與測試 SIEM/SOAR 整合意味著需要呼叫真實的安全產品 API(如 Trend Micro Vision One、Palo Alto PAN-OS、Microsoft Sentinel、CrowdStrike Falcon),但其授權價格昂貴且數量有限,極少有空閒的沙箱可用於開發。您無法將 CI 指向生產環境的安全工具,且諸如錯誤和限流等失敗路徑也難以依需求重現。因此,整合程式碼往往測試不充分,第一次在生產環境中執行時就會發生崩潰。

運作原理

  1. 1

    啟動 AMI,選擇設定檔

    啟動 AMI 後,相容 Vision One 的設定預設在 :8080 連接埠啟動,可透過一個環境檔案切換到 PAN-OS、Microsoft Sentinel、CrowdStrike Falcon 或通用 OpenAPI 設定。使用隨附的 Terraform 模組(`s4-mockapi-aws`)可預設以 IMDSv2 強制、加密根磁碟區、admin 連接埠僅執行個體內可達的安全預設值進行部署。

  2. 2

    將您的整合指向模擬服務

    只需將您的連接器或流水線從真實 API 重新指向模擬服務的端點,即可在沒有產品授權的情況下,取得真實的狀態碼、請求標頭、身分驗證流程和分頁資訊。

  3. 3

    注入故障,然後重置

    透過 TOML 場景確定性地注入故障(例如第 n 次呼叫時傳回 500、帶有 Retry-After 的 429 限流或延遲),然後透過一次 API 呼叫還原出廠設定,以便從初始狀態重新執行。

產品亮點

四個廠商忠實 profile(Vision One / PAN-OS / Sentinel / CrowdStrike)加上通用 OpenAPI 3.x mock — 一台 AMI 涵蓋你的整合測試面。

MITRE ATT&CK 場景庫(10 種:ransomware T1486、credential stuffing、lateral movement、C2、data exfiltration 等)加上確定性 fault injection — 在 CI 中重現 IR 等級的 API 負載與失敗路徑。

包含 Terraform 模組(`s4-mockapi-aws`)和每 profile 的 Postman 集合;不到一分鐘即可啟動可用 mock,一次 API 呼叫即可 factory reset,沒有任何資料離開 instance。

包含內容

  • 相容 Trend Micro Vision One 的 REST 設定檔(公開 API v3.0):支援帶有 ETag/If-Match 流程的工作台警示、端點清單、端點活動搜尋、OAT 偵測,以及包含真實任務生命週期(含 207 Multi-Status)的隔離/恢復回應動作。
  • 相容 Palo Alto Networks PAN-OS 的 XML API 設定檔(11.x 版本):支援 keygen 驗證、op 指令、有狀態候選設定的 CRUD、commit 任務生命週期以及非同步日誌取得。
  • Microsoft Sentinel 相容設定:Azure AD OAuth2 client_credentials token,Log Analytics `/v1/workspaces/{id}/query` 上的 KQL 子集(where / take / limit / project / count),涵蓋 7 張種子表(SecurityAlert / SecurityIncident / SigninLogs / Heartbeat / AuditLogs / AzureActivity / SecurityEvent);Sentinel Incidents CRUD(ETag/If-Match)及其評論;`entities/{id}/expand` 傳回 3 節點圖;`runPlaybook` LRO 輪詢。
  • CrowdStrike Falcon 相容設定:`POST /oauth2/token`(client_credentials → 帶 `expires_in` 的不透明 bearer)和 `POST /oauth2/revoke`;Detects 的 `GET /queries/detects/v1` + `POST /entities/summaries/GET/v1` + 有狀態的 `PATCH /entities/detects/v2`;Devices 的 queries + summaries + `contain / lift_containment` 有狀態地反映至 `containment_status`;Real Time Response 的 session / execute / status 生命週期(queued → executing → completed);`filter=` 的 Falcon Query Language 子集。
  • 通用 OpenAPI 3.x 模擬服務:輸入任何 OpenAPI 文件,其中記錄的每個操作都將基於其範例和 Schema 自動產生並提供回應。
  • 根據公開說明文件真實重現狀態碼、請求標頭、驗證流程、分頁、限流和錯誤內容,並在 CI 中強制執行 Schema 一致性驗證。
  • 確定性故障注入:支援第 n 次呼叫的 500 錯誤、帶有 Retry-After 的機率性 429 錯誤以及延遲注入,使失敗路徑測試可重現。
  • 支援單次呼叫 API 還原出廠設定(POST /reset),並支援透過種子檔案覆寫,使您自己的展示資料成為出廠狀態。
  • 附帶 MITRE ATT&CK 場景庫(10 種)、Terraform 模組(`s4-mockapi-aws`)以及每 profile 的 Postman 集合:ransomware 回應(T1486)、credential stuffing(T1110.004)、lateral movement(TA0008)、data exfiltration(TA0010)、C2 偵測(T1071 / T1573)、phishing(T1566)、insider threat、persistence hunt、EDR 一鍵隔離、Sentinel incident 分流演練等。
  • 完全離線執行:狀態僅保留在記憶體中,實例不發起任何外向呼叫,且任何內容都無法離開該實例。

適用場景

在無需真實設備的情況下,針對 Vision One、PAN-OS、Microsoft Sentinel、CrowdStrike Falcon 或任何 OpenAPI API 開發 SIEM/SOAR 連接器和流水線。

利用確定性故障注入和重置,在 CI 中可重現地測試 500 錯誤、限流和延遲等失敗路徑。

安全地執行合作夥伴展示和內部培訓,而無需接觸生產環境的安全產品。

在分配產品授權之前,將其用作工程師學習 API 整合的引導環境。

作為 MSSP 實驗室或 SOC 整合 QA harness:反覆重放 MITRE ATT&CK 形態的場景(ransomware / lateral movement / C2 / 資料外洩 等),演練真實 IR 工作和 Sentinel incident triage 中的 API 負載與失敗模式。

常見問題

這傳回的是真實的廠商資料嗎?

不是。所有傳回的資料都是合成資料,僅重現了根據公開說明文件重構的 API 結構(相容形狀)。Trend Micro、Vision One、Palo Alto Networks、PAN-OS、Microsoft、Sentinel、CrowdStrike 和 Falcon 是用於指代相容目標的商標;本產品與這些廠商沒有關聯,也沒有獲得其背書。

我可以在 CI 中使用它嗎?

是的,它專為 CI 設計。透過 TOML 場景進行的確定性故障注入(第 n 次呼叫 the 500 錯誤、帶有 Retry-After 的 429 錯誤、延遲)可重現失敗路徑,而在各次執行之間,可透過 POST /reset 將其還原到出廠狀態,從而確保每次測試都從相同的基準線開始。

會有任何資料離開實例嗎?

不會。它在您自己的 VPC 內完全離線執行。狀態僅保留在記憶體中,實例不會發起外向呼叫,合成資料也絕不會離開實例。

支援哪些 API?

共有五種:相容 Trend Micro Vision One 的 REST 結構(公開 API v3.0)、相容 Palo Alto Networks PAN-OS 的 XML API 結構(11.x 版本)、Microsoft Sentinel 相容(Azure AD OAuth2、Log Analytics 上的 KQL 子集、Sentinel Incidents、`runPlaybook` LRO)、CrowdStrike Falcon 相容(OAuth2 client_credentials、Detects / Devices / Real Time Response、`filter=` 的 FQL 子集),以及可透過輸入 OpenAPI 3.x 文件來重現任何 REST API 的通用模擬服務。

部署和啟動需要多少時間?

它在不到一分鐘的時間內即可啟動為可運作的模擬服務。AMI 啟動後會自動在 :8080 連接埠執行相容 Vision One 的設定檔,使用像 t3.micro 這樣的小型實例就足夠執行了。

為什麼更便宜

假設一個開發團隊執行 SIEM/SOAR 整合測試和 CI,需要 3 個廠商安全 API (Vision One、PAN-OS、CrowdStrike Falcon)。

不使用 S4 MockAPI (真實授權)
CI / 整合測試
需要真實憑證
廠商安全 API
Vision One Sandbox 授權
$1,200 / 月
PAN-OS Dev 授權
$1,500 / 月
CrowdStrike Falcon Dev 授權
$800 / 月
月度合計
$3,500 / 月
使用 S4 MockAPI
CI / 整合測試
選擇 profile
S4 MockAPI
t3.medium
S4 MockAPI 執行個體 (t3.medium + 軟體費)
$80 / 月
月度合計
$80 / 月
−98%與真實授權相比

按目標 API 數量選擇 S4 MockAPI 執行個體

Mock 的 API 數推薦執行個體S4 MockAPI 執行個體費用月度合計對比真實授權
1 個產品t3.small$40 / 月$40 / 月 (许可证 $1,200, −97%)
3 個產品t3.medium$80 / 月$80 / 月 (许可证 $3,500, −98%)
10+ 個產品m5.large$120 / 月$120 / 月 (许可证 $12,000, −99%)

僅供參考。真實授權成本基於廠商 dev / sandbox 價格估算 ($800–$1,500/月) 取中位值 (實際價格因合約和席位而異)。S4 MockAPI 適用於 dev / CI 環境,staging 及以後應繼續使用真實 API。不建議用於生產替換。

計費模式

按小時計費的軟體費用 + EC2(涵蓋廣泛 instance type)。按 instance type 計量,無需 license key。

在 AWS Marketplace 取得