安全

S4 LogForge

逼真的 SIEM test log generator

13 种忠于解析器的格式替换的 AWS 服务: 手工生成的 SIEM test data

以任意速率生成 13 种格式的逼真、parser-faithful security logs — 可在数秒内 backfill 30 天，或实时 stream。面向 SIEM PoCs、detection-rule development、dashboards、capacity sizing 和 load testing 构建。带 MITRE ATT&CK 标签的关联 attack scenarios；确定性、可复现输出。

S4 LogForge 生成与真实设备和 SIEM schemas 字段一致的 security logs — 适用于 SIEM 项目需要 production-like data 但不能使用 production logs 的场景。13 种输出格式均已针对真实 parsers 完成端到端验证 (Elasticsearch ingest pipelines, Elastic integrations, Logstash grok / kv / xml / CEF codec)：RFC 3164/5424 syslog；CEF (ArcSight-style)；LEEF 2.0 (QRadar-style)；PAN-OS 10.2 CSV；ECS 8.11 JSON；XDR telemetry JSON；Windows Event/Winlogbeat；CloudTrail；VPC Flow；Zeek；Suricata。

面临挑战

构建或验证 SIEM 需要真实的安全性日志，然而生产日志因包含敏感信息而无法使用，且难以获取；而手动伪造的日志既无法通过真实的解析器，也不包含已知的基准真相（ground truth）。S4 LogForge 可生成字段忠实于实际、通过解析器验证且内置基准真相的测试日志，让您无需接触生产数据即可推进 SIEM 项目。

工作原理

1
选择格式和场景

从 13 种输出格式和带有 MITRE ATT&CK 标签的攻击场景中进行选择，并在需要时使用 TOML DSL 编写您自己的场景。
2
生成回填或实时数据

在数分钟内回填 30 天的数据，或者将实时的日变化曲线流式传输到 file、syslog、Elasticsearch 或 Splunk HEC。
3
对照基准真相衡量检测结果

由于注入的场景是已知的基准真相（ground truth），因此您可以对照它来评估检测率和误报率。

产品亮点

13 种 parser-faithful formats — syslog 3164/5424、CEF、LEEF、PAN-OS CSV、ECS JSON、Windows Event/Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata、XDR telemetry — 每种都针对真实 parsers 验证，而不只是“看起来像日志”。

将带 MITRE ATT&CK 标签的关联 attack scenarios 注入逼真的 baseline noise，并提供用于编写自定义场景的 TOML DSL — 根据已知 ground truth 衡量 detection 和 false-positive rates。

确定性且可控速率：相同 seed 可复现 byte-identical data；持续 188k–1.6M events/sec，在数分钟内 backfill 30 天，或将实时 diurnal curve stream 到 file、syslog、Elasticsearch 或 Splunk HEC。

包含内容

13 种经解析器验证的输出格式（RFC 3164/5424 syslog、CEF、LEEF 2.0、PAN-OS 10.2 CSV、ECS 8.11 JSON、XDR 遥测 JSON、Windows 事件日志 XML / Winlogbeat、CloudTrail、VPC Flow、Zeek、Suricata）
针对真实解析器进行端到端验证，包括 Elasticsearch ingest、Elastic 集成管道以及 Logstash grok/kv/xml/CEF 编解码器
将关联的、带有 MITRE ATT&CK 标签的攻击场景注入到逼真的基线噪声中，并附带用于编写自定义场景的 TOML DSL
确定性的种子可再现性：相同的种子可重现字节完全一致的数据
吞吐量达 188k–1.6M events/sec，可在数分钟内生成 30 天的回填数据
输出接收端：file、syslog、Elasticsearch 和 Splunk HEC