redhatrises/falcon-mcp
GitHub: redhatrises/falcon-mcp
将 AI 智能体与 CrowdStrike Falcon 平台对接的 MCP 服务器,为自动化安全分析和威胁猎杀提供编程化访问能力。
Stars: 0 | Forks: 0


# falcon-mcp
[](https://badge.fury.io/py/falcon-mcp)
[](https://pypi.org/project/falcon-mcp/)
[](https://opensource.org/licenses/MIT)
[](https://crowdstrike.github.io/falcon-mcp/)
**falcon-mcp** 是一个 Model Context Protocol (MCP) 服务器,它将 AI agent 与 CrowdStrike Falcon 平台连接起来,为您的 agentic workflow 提供智能安全分析能力。它提供了对基本安全功能的编程访问——包括 detection、威胁情报和主机管理——为高级安全操作和自动化奠定了基础。
## 文档
完整文档可在 **[crowdstrike.github.io/falcon-mcp](https://crowdstrike.github.io/falcon-mcp/)** 获取。
## 模块
| 模块 | 描述 |
|--------|-------------|
| Core | 基础连接性和系统信息 |
| [Cloud Security](https://crowdstrike.github.io/falcon-mcp/modules/cloud/) | Kubernetes 容器、镜像漏洞、CSPM 资产清单、IOM 发现和抑制规则 |
| [Custom IOA](https://crowdstrike.github.io/falcon-mcp/modules/custom-ioa/) | 创建和管理 Custom IOA 行为检测规则及规则组 |
| [Detections](https://crowdstrike.github.io/falcon-mcp/modules/detections/) | 查找并分析 detection 以了解恶意活动 |
| [Discover](https://crowdstrike.github.io/falcon-mcp/modules/discover/) | 搜索应用程序清单并发现未纳管资产 |
| [Firewall Management](https://crowdstrike.github.io/falcon-mcp/modules/firewall/) | 搜索和管理防火墙规则及规则组 |
| [Hosts](https://crowdstrike.github.io/falcon-mcp/modules/hosts/) | 管理和查询主机/设备信息 |
| [Identity Protection](https://crowdstrike.github.io/falcon-mcp/modules/idp/) | 实体调查和身份保护分析 |
| [Intel](https://crowdstrike.github.io/falcon-mcp/modules/intel/) | 研究威胁行为者、IOC 和情报报告 |
| [IOC](https://crowdstrike.github.io/falcon-mcp/modules/ioc/) | 搜索、创建和移除自定义失陷标示 |
| [NGSIEM](https://crowdstrike.github.io/falcon-mcp/modules/ngsiem/) | 针对 Next-Gen SIEM 执行 CQL 查询 |
| [Real Time Response](https://crowdstrike.github.io/falcon-mcp/modules/rtr/) | 初始化 RTR 会话并执行只读分诊命令 |
| [Scheduled Reports](https://crowdstrike.github.io/falcon-mcp/modules/scheduled-reports/) | 管理计划报告并下载报告文件 |
| [Sensor Usage](https://crowdstrike.github.io/falcon-mcp/modules/sensor-usage/) | 访问并分析传感器使用数据 |
| [Serverless](https://crowdstrike.github.io/falcon-mcp/modules/serverless/) | 搜索无服务器功能中的漏洞 |
| [Shield](https://crowdstrike.github.io/falcon-mcp/modules/shield/) | SaaS 安全态势、检查、告警和应用程序清单 |
| [Spotlight](https://crowdstrike.github.io/falcon-mcp/modules/spotlight/) | 管理并分析漏洞数据和安全评估 |
请参阅 [模块概览](https://crowdstrike.github.io/falcon-mcp/modules/overview/) 以了解所需的 API scope、可用工具和 FQL 资源。
## 快速开始
### 安装
#### 使用 uv (推荐)
```
uv tool install falcon-mcp
```
#### 使用 pip
```
pip install falcon-mcp
```
### 配置
设置所需的环境变量(或使用 `.env` 文件 — 参见 [配置指南](https://crowdstrike.github.io/falcon-mcp/getting-started/configuration/)):
```
export FALCON_CLIENT_ID="your-client-id"
export FALCON_CLIENT_SECRET="your-client-secret"
export FALCON_BASE_URL="https://api.crowdstrike.com"
```
### 运行
```
falcon-mcp
```
请参阅 [入门指南](https://crowdstrike.github.io/falcon-mcp/getting-started/installation/) 获取完整的安装和配置详情。
## 编辑器集成
### 使用 `uvx` (推荐)
```
{
"mcpServers": {
"falcon-mcp": {
"command": "uvx",
"args": [
"--env-file",
"/path/to/.env",
"falcon-mcp"
]
}
}
}
```
### 选择模块
```
{
"mcpServers": {
"falcon-mcp": {
"command": "uvx",
"args": [
"--env-file",
"/path/to/.env",
"falcon-mcp",
"--modules",
"detections,hosts,intel"
]
}
}
}
```
### Docker
```
{
"mcpServers": {
"falcon-mcp-docker": {
"command": "docker",
"args": [
"run",
"-i",
"--rm",
"--env-file",
"/full/path/to/.env",
"quay.io/crowdstrike/falcon-mcp:latest"
]
}
}
}
```
请参阅 [使用指南](https://crowdstrike.github.io/falcon-mcp/usage/cli/) 了解所有命令行选项、模块配置和库的使用方法。
## 容器使用
```
# 拉取最新镜像
docker pull quay.io/crowdstrike/falcon-mcp:latest
# 使用 .env 文件运行 (stdio transport)
docker run -i --rm --env-file /path/to/.env quay.io/crowdstrike/falcon-mcp:latest
# 使用 streamable-http transport 运行
docker run --rm -p 8000:8000 --env-file /path/to/.env \
quay.io/crowdstrike/falcon-mcp:latest --transport streamable-http --host 0.0.0.0
```
请参阅 [Docker 部署指南](https://crowdstrike.github.io/falcon-mcp/deployment/docker/) 了解本地构建、自定义端口和高级配置。
## 部署选项
- [Amazon Bedrock AgentCore](https://crowdstrike.github.io/falcon-mcp/deployment/amazon-bedrock/)
- [Google Cloud (Cloud Run / Vertex AI)](./examples/adk/README.md)
### 开发者文档
- [文档站点指南](docs/development/docs_site.md):文档站点的架构和开发指南
- [模块开发指南](docs/development/module_development.md):实现新模块的说明
- [资源开发指南](docs/development/resource_development.md):实现资源的说明
- [端到端测试指南](docs/development/e2e_testing.md):运行和理解 E2E 测试的指南
- [集成测试指南](docs/development/integration_testing.md):使用真实 API 调用运行集成测试的指南
## 许可证
本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。
## 支持
这是一个社区驱动的开源项目。虽然它不是官方的 CrowdStrike 产品,但它由 CrowdStrike 积极维护,并与开源开发者社区合作提供支持。
有关更多信息,请参阅我们的 [SUPPORT](SUPPORT.md) 文件。
标签:CrowdStrike, MCP, 威胁情报, 安全运营, 开发者工具, 扫描框架, 自动化分析, 请求拦截, 跨站脚本, 逆向工具