关键词

Kibana安全告警检测规则例外列表AI助手集成

使用说明

项目简介

Kibana MCP Server 是一个基于 Model Context Protocol (MCP) 的服务器实现,旨在使 AI 助手能够安全、可扩展地与 Kibana 的安全功能进行交互。通过此服务器,AI 助手可以获取 Kibana 安全告警信息、调整告警状态、管理检测规则例外项等,从而增强其在安全分析和响应方面的能力。

主要功能点

  • 告警管理: 支持 AI 助手查询、标记和调整 Kibana 安全告警的状态,例如:
    • 获取最新的安全告警列表。
    • 根据关键词搜索告警信息。
    • 为告警添加标签以便分类和跟踪。
    • 更新告警的状态(例如,从 "open" 到 "acknowledged" 或 "closed")。
  • 规则例外管理: 允许 AI 助手管理 Kibana 检测规则的例外项,例如:
    • 检索指定检测规则的例外列表。
    • 向检测规则添加新的例外项,以减少误报。
    • 创建新的例外列表容器,用于集中管理例外项。
    • 将共享的例外列表关联到检测规则,实现例外项的复用。
  • 规则发现: 提供工具让 AI 助手能够查找和筛选 Kibana 检测规则,支持基于 KQL/Lucene 的过滤、排序和分页查询。

安装步骤

  1. 安装依赖: 导航到项目目录 'kibana-mcp',运行以下命令安装项目依赖: 
    uv sync

服务器配置

MCP 客户端(如 Cursor, Claude Desktop)需要配置 MCP 服务器的启动命令和参数才能连接。以下是 'mcp.json' 或 'claude_desktop_config.json' 配置文件中 'mcpServers' 字段的配置示例。请将 '/path/to/kibana-mcp' 替换为你的 'kibana-mcp' 项目的绝对路径,并根据你的 Kibana 环境配置 'KIBANA_URL' 和身份验证方式(API Key 或 用户名/密码)。

{
  "mcpServers": {
    "kibana-mcp": {
      "command": "/usr/bin/env",
      "args": [
        "KIBANA_URL=<your_kibana_url>",
        "KIBANA_API_KEY=<your_base64_encoded_api_key>",
        "/path/to/your/virtualenv/bin/python",
        "/path/to/kibana-mcp/src/kibana_mcp/server.py"
      ],
      "options": {
        "cwd": "/path/to/kibana-mcp"
      }
    }
  }
}

参数注释:

  • server name: 'kibana-mcp' (可以自定义,用于在客户端中标识此服务器)
  • command: '/usr/bin/env' (使用 'env' 命令确保环境变量被正确传递)
  • args: 启动服务器的参数列表,包括:
    • 'KIBANA_URL=<your_kibana_url>': 你的 Kibana 实例的 URL,例如 'https://your-kibana.example.com:5601'
    • 'KIBANA_API_KEY=<your_base64_encoded_api_key>': (推荐) Kibana API Key 的 Base64 编码字符串。在 Kibana 的 Stack Management -> API Keys 中生成。
    • '/path/to/your/virtualenv/bin/python': 你的 Python 虚拟环境中的 Python 解释器绝对路径,例如 '/Users/me/kibana-mcp/.venv/bin/python'
    • '/path/to/kibana-mcp/src/kibana_mcp/server.py': 'server.py' 脚本的绝对路径,即 Kibana MCP Server 的主程序

注意:

  • 请根据你的实际环境替换 '<your_kibana_url>' 和 '<your_base64_encoded_api_key>' 为真实值。
  • 如果选择使用用户名/密码认证,请将 'KIBANA_API_KEY=<your_base64_encoded_api_key>' 替换为 'KIBANA_USERNAME=<your_kibana_username>' 和 'KIBANA_PASSWORD=<your_kibana_password>'。
  • '/path/to/your/virtualenv/bin/python' 和 '/path/to/kibana-mcp/src/kibana_mcp/server.py' 必须是绝对路径。

基本使用方法

  1. 启动服务器: 在配置好 MCP 客户端后,启动 Kibana MCP Server。通常,服务器会在后台运行并监听来自 MCP 客户端的请求。
  2. 在 MCP 客户端中使用: 在支持 MCP 协议的 AI 客户端中,配置并连接到 'kibana-mcp' 服务器。客户端可以通过自然语言指令或图形界面调用 Kibana MCP Server 提供的工具,例如:
    • 询问 "最近有什么安全告警?" 客户端可能会调用 'get_alerts' 工具获取告警列表。
    • 指示 "将告警 'alert-123' 标记为 '已确认'" 客户端可能会调用 'adjust_alert_status' 工具更新告警状态。
    • 要求 "查找所有名为 '高风险登录' 的检测规则" 客户端可能会调用 'find_rules' 工具进行规则搜索。

具体的使用方式取决于你所使用的 MCP 客户端的功能和界面。请参考你使用的 MCP 客户端的文档了解如何与 MCP 服务器交互。

信息

分类

商业系统

访问项目