使用说明

项目简介

Binalyze AIR MCP Server 是一个基于 Model Context Protocol (MCP) 构建的服务器，旨在连接大型语言模型 (LLMs) 和 Binalyze AIR 平台。它允许用户通过自然语言与 AIR 的数字取证和事件响应能力进行交互，无需编写代码或学习复杂的 API。用户可以通过集成了 MCP 客户端的工具（如 Claude、Cursor、Smithery、VSCode 等）以自然语言指令查询 Binalyze AIR 系统中的资产、案例、策略等信息，并执行相应的操作。

主要功能点

资产管理: 列出组织中的所有资产，包括终端设备信息。
取证配置管理: 列出可用的取证配置策略。
组织管理: 列出环境中的所有组织信息。
案例管理: 列出组织中的所有案例及其状态。
策略管理: 查看组织的安全策略和采集策略。
任务管理: 跟踪取证收集任务及其状态。
威胁情报规则: 查看用于威胁检测的 YARA、Osquery 和 Sigma 规则。
用户管理: 列出组织中的所有用户信息。
基于组织的数据过滤: 支持按组织 ID 过滤数据，实现更精细化的信息检索。

安装步骤

克隆仓库

git clone https://github.com/binalyze/air-mcp
cd air-mcp

安装依赖
```
npm install
```
构建项目
```
npm run build
```

服务器配置

要将 AIR MCP 服务器连接到 MCP 客户端，您需要配置客户端以启动服务器。以下是一些常见 MCP 客户端的配置示例。请注意，您无需手动修改这些 JSON 配置代码，只需复制粘贴到相应的 MCP 客户端配置界面即可。

重要: 启动服务器前，请确保已设置以下环境变量：

'AIR_HOST': 您的 Binalyze AIR API 主机地址 (例如: 'your-api-host.com')
'AIR_API_TOKEN': 用于身份验证的 Binalyze AIR API 令牌

Claude Desktop 配置：

{
  "mcpServers": {
    "air-mcp": {
      "command": "npx",
      "args": ["-y", "@binalyze/air-mcp"],
      "env": {
        "AIR_HOST": "your-api-host.com",  //  替换为您的 AIR API 主机地址
        "AIR_API_TOKEN": "your-api-token" //  替换为您的 AIR API 令牌
      }
    }
  }
}

Cursor 配置：

{
  "mcpServers": {
    "air-mcp": {
      "command": "npx",
      "args": ["-y", "@binalyze/air-mcp"],
      "env": {
        "AIR_HOST": "your-api-host.com",  //  替换为您的 AIR API 主机地址
        "AIR_API_TOKEN": "your-api-token" //  替换为您的 AIR API 令牌
      }
    }
  }
}

基本使用方法

在配置好 MCP 客户端并启动 AIR MCP Server 后，您可以使用自然语言指令与 Binalyze AIR 进行交互。以下是一些示例指令：

'List all assets in the system' （列出系统中所有资产）
'List all acquisition profiles' （列出所有取证配置策略）
'List all organizations' （列出所有组织）
'List all cases' （列出所有案例）
'List all policies' （列出所有策略）
'List all tasks' （列出所有任务）
'List all triage rules' （列出所有威胁情报规则）
'List all users' （列出所有用户）

按组织筛选示例：

'List all assets for organization 123' （列出组织 ID 为 123 的所有资产）
'Show me all cases for organization 456' （显示组织 ID 为 456 的所有案例）

服务器会将查询结果以文本形式返回给 MCP 客户端，方便用户阅读和理解。

关键词