EvidenceForge framework
A Cisco Talos által bemutatott EvidenceForge nem egyszerű loggenerátor, hanem egy nyílt forráskódú szintetikus telemetria-generáló framework, amely célzottan SOC-képzésre, detekcióvalidációra és AI-alapú kiberbiztonsági kutatásra készült. A rendszer egyik fő újítása az egységes canonical event model, amely biztosítja az események oksági és időbeli konzisztenciáját több logforrás között. Ez azt jelenti, hogy ugyanaz az incidens szinkronizált formában jelenik meg Windows-, Linux-, hálózati és EDR-telemetriában is.
Az EvidenceForge több mint 20 különböző logformátumot támogat, és képes realisztikus háttérzaj generálására is, például normál felhasználói aktivitás, rendszerfolyamatok és legitim hálózati kommunikáció modellezésére. Ez jelentősen növeli a datasetek használhatóságát threat hunting és detection engineering környezetben, mivel a hagyományos szintetikus logok gyakran túl tiszták, így irreális detekciós eredményeket adnak.
A framework támogatja az AI-assisted scenario authoring funkciót is, amellyel MITRE ATT&CK-alapú támadási láncok generálhatók. A generált eseményekhez ground truth metaadat és analyst briefing társul, így pontosan ismert, mely esemény mely támadási lépéshez kapcsolódik. Ez különösen hasznos supervised ML-modellek tanításához, purple teaminghez és SIEM-validációhoz.
A Talos hangsúlyozza, hogy az EvidenceForge egyik fő célja az érzékeny valódi logadatok kiváltása. A szervezetek így anélkül végezhetnek SOC-képzést vagy detekciós teszteket, hogy valódi ügyfél- vagy vállalati telemetriát kellene megosztaniuk. A projekt GitHubon MIT licenc alatt érhető el.
