redhatrises/falcon-mcp

GitHub: redhatrises/falcon-mcp

将 AI 智能体与 CrowdStrike Falcon 平台对接的 MCP 服务器,为自动化安全分析和威胁猎杀提供编程化访问能力。

Stars: 0 | Forks: 0

![CrowdStrike Logo (Light)](https://static.pigsec.cn/wp-content/uploads/repos/cas/ff/ff92dae976c103353c4cf5499e7364db5c29ba27635d3c68cf5667fd6d10699a.png) ![CrowdStrike Logo (Dark)](https://static.pigsec.cn/wp-content/uploads/repos/cas/f1/f1a92d6c6af0a3b1889ad5b3b870302d299c406d9b471bc34c3af824bc5265be.png) # falcon-mcp [![PyPI version](https://badge.fury.io/py/falcon-mcp.svg)](https://badge.fury.io/py/falcon-mcp) [![PyPI - Python Version](https://img.shields.io/pypi/pyversions/falcon-mcp)](https://pypi.org/project/falcon-mcp/) [![License: MIT](https://img.shields.io/badge/License-MIT-yellow.svg)](https://opensource.org/licenses/MIT) [![Documentation](https://img.shields.io/badge/docs-GitHub%20Pages-blue)](https://crowdstrike.github.io/falcon-mcp/) **falcon-mcp** 是一个 Model Context Protocol (MCP) 服务器,它将 AI agent 与 CrowdStrike Falcon 平台连接起来,为您的 agentic workflow 提供智能安全分析能力。它提供了对基本安全功能的编程访问——包括 detection、威胁情报和主机管理——为高级安全操作和自动化奠定了基础。 ## 文档 完整文档可在 **[crowdstrike.github.io/falcon-mcp](https://crowdstrike.github.io/falcon-mcp/)** 获取。 ## 模块 | 模块 | 描述 | |--------|-------------| | Core | 基础连接性和系统信息 | | [Cloud Security](https://crowdstrike.github.io/falcon-mcp/modules/cloud/) | Kubernetes 容器、镜像漏洞、CSPM 资产清单、IOM 发现和抑制规则 | | [Custom IOA](https://crowdstrike.github.io/falcon-mcp/modules/custom-ioa/) | 创建和管理 Custom IOA 行为检测规则及规则组 | | [Detections](https://crowdstrike.github.io/falcon-mcp/modules/detections/) | 查找并分析 detection 以了解恶意活动 | | [Discover](https://crowdstrike.github.io/falcon-mcp/modules/discover/) | 搜索应用程序清单并发现未纳管资产 | | [Firewall Management](https://crowdstrike.github.io/falcon-mcp/modules/firewall/) | 搜索和管理防火墙规则及规则组 | | [Hosts](https://crowdstrike.github.io/falcon-mcp/modules/hosts/) | 管理和查询主机/设备信息 | | [Identity Protection](https://crowdstrike.github.io/falcon-mcp/modules/idp/) | 实体调查和身份保护分析 | | [Intel](https://crowdstrike.github.io/falcon-mcp/modules/intel/) | 研究威胁行为者、IOC 和情报报告 | | [IOC](https://crowdstrike.github.io/falcon-mcp/modules/ioc/) | 搜索、创建和移除自定义失陷标示 | | [NGSIEM](https://crowdstrike.github.io/falcon-mcp/modules/ngsiem/) | 针对 Next-Gen SIEM 执行 CQL 查询 | | [Real Time Response](https://crowdstrike.github.io/falcon-mcp/modules/rtr/) | 初始化 RTR 会话并执行只读分诊命令 | | [Scheduled Reports](https://crowdstrike.github.io/falcon-mcp/modules/scheduled-reports/) | 管理计划报告并下载报告文件 | | [Sensor Usage](https://crowdstrike.github.io/falcon-mcp/modules/sensor-usage/) | 访问并分析传感器使用数据 | | [Serverless](https://crowdstrike.github.io/falcon-mcp/modules/serverless/) | 搜索无服务器功能中的漏洞 | | [Shield](https://crowdstrike.github.io/falcon-mcp/modules/shield/) | SaaS 安全态势、检查、告警和应用程序清单 | | [Spotlight](https://crowdstrike.github.io/falcon-mcp/modules/spotlight/) | 管理并分析漏洞数据和安全评估 | 请参阅 [模块概览](https://crowdstrike.github.io/falcon-mcp/modules/overview/) 以了解所需的 API scope、可用工具和 FQL 资源。 ## 快速开始 ### 安装 #### 使用 uv (推荐) ``` uv tool install falcon-mcp ``` #### 使用 pip ``` pip install falcon-mcp ``` ### 配置 设置所需的环境变量(或使用 `.env` 文件 — 参见 [配置指南](https://crowdstrike.github.io/falcon-mcp/getting-started/configuration/)): ``` export FALCON_CLIENT_ID="your-client-id" export FALCON_CLIENT_SECRET="your-client-secret" export FALCON_BASE_URL="https://api.crowdstrike.com" ``` ### 运行 ``` falcon-mcp ``` 请参阅 [入门指南](https://crowdstrike.github.io/falcon-mcp/getting-started/installation/) 获取完整的安装和配置详情。 ## 编辑器集成 ### 使用 `uvx` (推荐) ``` { "mcpServers": { "falcon-mcp": { "command": "uvx", "args": [ "--env-file", "/path/to/.env", "falcon-mcp" ] } } } ``` ### 选择模块 ``` { "mcpServers": { "falcon-mcp": { "command": "uvx", "args": [ "--env-file", "/path/to/.env", "falcon-mcp", "--modules", "detections,hosts,intel" ] } } } ``` ### Docker ``` { "mcpServers": { "falcon-mcp-docker": { "command": "docker", "args": [ "run", "-i", "--rm", "--env-file", "/full/path/to/.env", "quay.io/crowdstrike/falcon-mcp:latest" ] } } } ``` 请参阅 [使用指南](https://crowdstrike.github.io/falcon-mcp/usage/cli/) 了解所有命令行选项、模块配置和库的使用方法。 ## 容器使用 ``` # 拉取最新镜像 docker pull quay.io/crowdstrike/falcon-mcp:latest # 使用 .env 文件运行 (stdio transport) docker run -i --rm --env-file /path/to/.env quay.io/crowdstrike/falcon-mcp:latest # 使用 streamable-http transport 运行 docker run --rm -p 8000:8000 --env-file /path/to/.env \ quay.io/crowdstrike/falcon-mcp:latest --transport streamable-http --host 0.0.0.0 ``` 请参阅 [Docker 部署指南](https://crowdstrike.github.io/falcon-mcp/deployment/docker/) 了解本地构建、自定义端口和高级配置。 ## 部署选项 - [Amazon Bedrock AgentCore](https://crowdstrike.github.io/falcon-mcp/deployment/amazon-bedrock/) - [Google Cloud (Cloud Run / Vertex AI)](./examples/adk/README.md) ### 开发者文档 - [文档站点指南](docs/development/docs_site.md):文档站点的架构和开发指南 - [模块开发指南](docs/development/module_development.md):实现新模块的说明 - [资源开发指南](docs/development/resource_development.md):实现资源的说明 - [端到端测试指南](docs/development/e2e_testing.md):运行和理解 E2E 测试的指南 - [集成测试指南](docs/development/integration_testing.md):使用真实 API 调用运行集成测试的指南 ## 许可证 本项目基于 MIT 许可证授权 - 详情请参阅 [LICENSE](LICENSE) 文件。 ## 支持 这是一个社区驱动的开源项目。虽然它不是官方的 CrowdStrike 产品,但它由 CrowdStrike 积极维护,并与开源开发者社区合作提供支持。 有关更多信息,请参阅我们的 [SUPPORT](SUPPORT.md) 文件。
标签:CrowdStrike, MCP, 威胁情报, 安全运营, 开发者工具, 扫描框架, 自动化分析, 请求拦截, 跨站脚本, 逆向工具