NobufumiMurata/copilot-mcp-soc-pack
GitHub: NobufumiMurata/copilot-mcp-soc-pack
提供一站式免费 API 集成与一键部署方案,解决 SOC 团队在 IOC 查询与上下文获取中的碎片化问题。
Stars: 0 | Forks: 0
# copilot-mcp-soc-pack
**Microsoft Security Copilot 社区 SOC Pack** — 提供 KEV、EPSS、MITRE ATT&CK、Abuse.ch、GreyNoise、AbuseIPDB、crt.sh 和 ransomware.live 等免费 API 的 MCP 服务器与 OpenAPI 插件,让你的 SOC 团队即时获取上下文。
[](https://portal.azure.com/#create/Microsoft.Template/uri/https%3A%2F%2Fraw.githubusercontent.com%2FNobufumiMurata%2Fcopilot-mcp-soc-pack%2Fmaster%2Fdeploy%2Fazuredeploy.json)
[](https://github.com/NobufumiMurata/copilot-mcp-soc-pack/actions/workflows/build-push.yml)
[](./LICENSE)
## 存在的原因
Security Copilot 自带优秀的一体化插件,但 SOC 团队仍需花费时间将 IOC 复制粘贴到 VirusTotal、检查 KEV 目录并追踪勒索软件组织活动。此项目将 **无需账户或仅需单密钥** 的免费数据源整合进 **一个容器**,同时以两种方式暴露:
- **Microsoft Security Copilot 自定义插件**(OpenAPI 3.0)— 可从 Security Copilot 提示词与代理中调用
- **Model Context Protocol (MCP) 服务器**— 可在 VS Code、Claude Desktop 及任意 MCP 兼容客户端中使用
一次「Deploy to Azure」点击 → 容器应用(自动扩缩,零负载时 < $5/月)→ 在 Security Copilot 中注册插件 → 完成。
## 内容(目标 v1.0)
| 工具 | 来源 | 需要 API 密钥? | 范围 |
|------|------|----------------|------|
| `kev_lookup` / `kev_search` | [CISA Known Exploited Vulnerabilities](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) | 否 | 活跃被利用的 CVE 目录 |
| `epss_score` | [FIRST EPSS API](https://www.first.org/epss/api) | 否 | 漏洞利用预测评分 |
| `attack_technique` / `attack_search` | [MITRE ATT&CK STIX](https://github.com/mitre/cti) | 否 | TTP 查询与缓解措施 |
| `malwarebazaar_lookup` / `_recent` | [abuse.ch MalwareBazaar](https://bazaar.abuse.ch/) | 是(来自 [auth.abuse.ch](https://auth.abuse.ch/) 的免费密钥) | 样本/哈希查询与最新提交 |
| `threatfox_recent` / `_search` | [abuse.ch ThreatFox](https://threatfox.abuse.ch/) | 是(相同密钥) | IOC 丰富化 |
| `urlhaus_lookup_url` / `_host` | [abuse.ch URLhaus](https://urlhaus.abuse.ch/) | 是(相同密钥) | 恶意 URL 订阅 |
| `greynoise_classify` | [GreyNoise Community](https://www.greynoise.io/) | 免费密钥 | 扫描噪声与定向流量区分 |
| `abuseipdb_check` | [AbuseIPDB](https://www.abuseipdb.com/) | 免费密钥 | IP 信誉评分 |
| `crtsh_subdomains` | [crt.sh](https://crt.sh/) | 否 | 证书透明性 |
| `ransomware_live_recent` / `_by_group` / `_by_country` | [ransomware.live](https://www.ransomware.live/) | 否 | 勒索软件受害者元数据 |
**当前已实现(v0.3)**:KEV + EPSS + ATT&CK(v0.1)· Abuse.ch 套件(v0.2,MalwareBazaar / ThreatFox / URLhaus)· IP 与域名信誉(v0.3,Greynoise Community / AbuseIPDB / crt.sh)。剩余工具将在 v0.4–v0.6 中逐步上线。
### 可选环境变量
| 变量 | 使用方 | 说明 |
|------|--------|------|
| `MCP_SOC_PACK_API_KEY` | 所有路由 | `X-API-Key` 请求头共享密钥,开发环境可不设 |
| `ABUSE_CH_AUTH_KEY` | `/abusech/*` | 来自 的免费社区密钥;必需用于 GreyNoise 分类 |
| `ABUSEIPDB_API_KEY` | `/abuseipdb/*` | 来自 的免费密钥(每日 1000 次请求);必需用于 AbuseIPDB 查询 |
## 快速开始(本地)
```
# 需要 Python 3.12+
git clone https://github.com/NobufumiMurata/copilot-mcp-soc-pack.git
cd copilot-mcp-soc-pack
python -m venv .venv
# Windows
.venv\Scripts\Activate.ps1
# macOS/Linux
# source .venv/bin/activate
pip install -e .
uvicorn src.app:app --reload --port 8080
```
- OpenAPI 文档:
- MCP SSE 端点:
- 健康检查:
### 试用工具
```
curl http://localhost:8080/kev/lookup?cve_id=CVE-2024-3400
```
## 快速开始(Docker)
```
docker run --rm -p 8080:8080 ghcr.io/nobufumimurata/copilot-mcp-soc-pack:latest
```
## Azure 部署
点击上方的「Deploy to Azure」按钮。你将被要求输入:
| 参数 | 说明 | 默认值 |
|------|------|--------|
| `containerAppName` | 容器应用名称 | `copilot-mcp-soc-pack` |
| `location` | 区域 | 资源组所在位置 |
| `apiKey` | Security Copilot 发送在 `X-API-Key` 头部的共享密钥(留空表示无认证,生产环境请勿使用) | 自动生成 |
| `image` | 容器镜像 | `ghcr.io/nobufumimurata/copilot-mcp-soc-pack:latest` |
部署完成后,复制容器应用 FQDN(`https://..azurecontainerapps.io`)并执行:
1. 在 Security Copilot 中,进入 **Sources → Custom → Add plugin**
2. 选择 **API**,将 `https:///openapi.yaml` 作为清单 URL 粘贴
3. 设置认证方式为 **API Key(请求头)**,头名称 `X-API-Key`,值为上述 `apiKey`
4. 启用插件并尝试输入提示
## 在 VS Code / Claude Desktop 中使用(MCP)
请参考 [mcp-client-config/](./mcp-client-config/) 获取开箱即用的配置。
## 路线图
- [x] v0.1 启动引导 — FastAPI + fastmcp 脚手架,CISA KEV、EPSS、MITRE ATT&CK、Bicep、Deploy to Azure 按钮
- [x] v0.2 Abuse.ch 套件(MalwareBazaar、ThreatFox、URLhaus)
- [x] v0.3 IP/域名信誉(Greynoise、AbuseIPDB、crt.sh)
- [ ] v0.4 ransomware.live 工具
- [ ] v0.5 Security Copilot 集成(插件清单与参考 `agent.yaml`)
- [ ] v0.6 日文/英文 README 完善与 v1.0 发布
## 许可证
MIT — 参见 [LICENSE](./LICENSE)。
## 免责声明
本项目独立开发,与 Microsoft、Anthropic 或任何列出的第三方服务无关。使用者需自行遵守所调用外部 API的服务条款。
标签:AbuseIPDB, Azure容器应用, Cloudflare, CVE查询, EPSS, GreyNoise, HTTP/HTTPS抓包, KV E, MCP服务器, Microsoft Security Copilot, MITRE ATT&CK, OpenAPI插件, TTP查询, XSS, 免费API, 勒索软件情报, 威胁情报, 安全运营中心, 容器化部署, 开发者工具, 开源安全工具, 态势感知, 攻击技术追踪, 攻击预测评分, 模型上下文协议, 滥用.ch, 漏洞情报, 网络映射, 请求拦截, 逆向工具, 逆向工程平台