Ansvar-Systems/Sigma-rules-mcp

GitHub: Ansvar-Systems/Sigma-rules-mcp

一个基于 MCP 协议的 Sigma 规则索引服务器,为大语言模型提供查询、检索与分析 Sigma 通用检测规则的能力。

Stars: 0 | Forks: 0

# Sigma Rules MCP [![CI](https://static.pigsec.cn/wp-content/uploads/repos/2026/04/7786dbfd8a153720.svg)](https://github.com/Ansvar-Systems/sigma-rules-mcp/actions/workflows/ci.yml) [![CodeQL](https://github.com/Ansvar-Systems/sigma-rules-mcp/actions/workflows/codeql.yml/badge.svg)](https://github.com/Ansvar-Systems/sigma-rules-mcp/actions/workflows/codeql.yml) [![npm](https://img.shields.io/npm/v/@ansvar/sigma-rules-mcp)](https://www.npmjs.com/package/@ansvar/sigma-rules-mcp) [![License](https://img.shields.io/badge/license-Apache--2.0-blue.svg)](LICENSE) ### 公共端点(可流式传输 HTTP) 可从任何 MCP 客户端连接(Claude Desktop、ChatGPT、Cursor、VS Code、GitHub Copilot): ``` https://mcp.ansvar.eu/sigma-rules/mcp ``` **Claude Code:** ``` claude mcp add sigma-rules --transport http https://mcp.ansvar.eu/sigma-rules/mcp ``` **Claude Desktop / Cursor** (`claude_desktop_config.json`): ``` { "mcpServers": { "sigma-rules": { "type": "url", "url": "https://mcp.ansvar.eu/sigma-rules/mcp" } } } ``` 无需身份验证。参见[所有 Ansvar MCP 端点](https://github.com/Ansvar-Systems/Ansvar-Architecture-Documentation/blob/main/docs/mcp-remote-access.md)。 TypeScript MCP 服务器,将完整的 [SigmaHQ/sigma](https://github.com/SigmaHQ/sigma) 规则语料库摄取到 SQLite(WASM 后端)中,并为检测工程工作流暴露专注的工具。 ## 范围 - 来源摄取:`SigmaHQ/sigma/rules/**/*.yml` - 当前语料库大小:~3000+ 条规则(预计约 3110 个文件) - 存储:Vercel 策略 A 捆绑的 SQLite 数据库(`data/sigma_rules.db`) - 运行时 SQLite 引擎:通过 `@ansvar/mcp-sqlite` 使用 `node-sqlite3-wasm` ## 数据来源 | 来源 | 权威机构 | 更新频率 | 许可证 | 门户 | |--------|-----------|------------------|---------|--------| | SigmaHQ Detection Rules | SigmaHQ Community | 每周(自动) | [DRL](https://github.com/SigmaHQ/sigma/blob/master/LICENSE.Detection.Rules.md) | [github.com/SigmaHQ/sigma](https://github.com/SigmaHQ/sigma) | 参见 [`sources.yml`](sources.yml) 获取完整元数据,包括覆盖范围和检索方法。 ## 暴露的 MCP 工具 - `search_rules` - 跨规则标题/描述的全文搜索 - `get_rule` - 单条规则,包含完整 YAML 和原始 `detection` 块 - `list_by_technique` - 映射到 ATT&CK 技术 ID (`Txxxx`) 的所有规则 - `list_by_logsource` - 按 `product` / `service` / `category` 过滤 - `get_rule_statistics` - 覆盖统计信息,包括 ATT&CK 战术覆盖情况 ## MCP 资源 服务器暴露可浏览的资源以供数据集探索: | 资源 URI |
标签:AMSI绕过, Claude Desktop, Cursor, DevSecOps, GitHub Copilot, GNU通用公共许可证, HTTP流式传输, MCP服务器, MITM代理, Node.js, OSV, Sigma规则, SQLite, TypeScript, Vercel, VS Code, WASM, 上游代理, 云计算, 威胁情报, 威胁检测, 安全插件, 安全运营, 开发者工具, 扫描框架, 数据库, 目标导入, 网络安全, 自动化攻击, 规则引擎, 隐私保护