elastic/example-mcp-app-security

GitHub: elastic/example-mcp-app-security

基于 MCP 协议的 Elastic Security 交互式安全运营应用，将 SOC 告警分诊、威胁狩猎、攻击链分析等功能以可内嵌的 React UI 形式带入 AI 助手对话中。

Stars: 10 | Forks: 9

# Elastic Security MCP App [![最新发布](https://img.shields.io/github/v/release/elastic/example-mcp-app-security?label=Download%20.mcpb&color=00bfb3)](https://github.com/elastic/example-mcp-app-security/releases/latest) ## 快速演示 https://github.com/user-attachments/assets/cb62a569-1ef0-4fb0-90c7-587b98fb2049 一个将交互式蓝队安全操作直接引入 Claude、VS Code 及其他兼容 MCP 的 AI 主机的 [MCP App](https://modelcontextprotocol.io/extensions/apps/overview)。基于 [Model Context Protocol](https://modelcontextprotocol.io/) 构建，带有可在对话中内联渲染的交互式 UI 扩展。 ![Alert Triage Dashboard](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/b81a792899140255.png) ## 功能介绍本项目提供六种交互式安全操作工具，每种工具均配有丰富的基于 React 的 UI，当 Claude（或其他 MCP 主机）调用该工具时，会在对话中内联渲染： | 工具 | 功能说明 | |------|-------------| | **Alert Triage** | 获取、过滤和分流安全告警，带有 AI 裁定卡片、进程树和网络调查功能 | | **Attack Discovery** | AI 驱动的关联攻击链分析，包含置信度评分、实体风险和 MITRE 映射 | | **Case Management** | 创建、搜索和管理 SOC 调查案例，带有 AI 辅助操作 | | **Detection Rules** | 浏览、调优和管理检测规则，支持 KQL 搜索和噪声规则分析 | | **Threat Hunt** | ES\|QL 工作台，带有可点击实体和 D3 调查图谱 | | **Sample Data** | 为 4 种攻击链场景的演示生成 ECS 安全事件 | 请参阅 [docs/features.md](docs/features.md) 以获取每个工具功能的详细分解。 ## 快速开始对于其他主机（Cursor、VS Code、Claude Code）或从源代码构建的情况，请参见下方的[安装说明](#installation)。 ## 工作原理 ![Interaction Flow](https://static.pigsec.cn/wp-content/uploads/repos/2026/05/cbc208b55c140300.png) 当用户要求 Claude 分流告警或进行威胁狩猎时，Claude 会调用此服务器上的面向模型工具。该工具向 Claude 返回精简的文本摘要，**同时**返回一个在对话中内联渲染的交互式 React UI。随后，UI 会为所有后续交互直接调用仅限应用内部使用的工具——在保持较小的 LLM 上下文的同时，让 UI 拥有完整的数据访问能力。有关视图如何构建、UI 如何与服务器通信以及关键设计决策的详细信息，请参阅 [docs/architecture.md](docs/architecture.md)。 ### Skills `skills/` 目录包含 [Claude Skills](https://claude.com/docs/skills/overview) —— `SKILL.md` 文件，用于教 Claude *何时*以及*如何*使用这些工具。有关安装说明，请参阅 [docs/setup-skills.md](docs/setup-skills.md)。 ## 安装说明 | 指南 | 描述 | |-------|-------------| | [添加至 Claude Desktop](docs/setup-claude-desktop.md) | 通过一键 `.mcpb` 或手动配置安装 MCP app | | [添加至 Cursor](docs/setup-cursor.md) | 通过 npx 或本地运行的服务器连接 MCP app | | [添加至 VS Code](docs/setup-vscode.md) | 通过 npx 或本地运行的服务器连接 MCP app | | [添加至 Claude Code](docs/setup-claude-code.md) | 通过 `claude mcp add` CLI 注册 MCP app | | [添加至 Claude.ai](docs/setup-claude-ai.md) | 通过 cloudflared 隧道暴露 MCP app | | [本地构建并运行](docs/setup-local.md) | 从源代码构建 MCP 服务器并在本地机器上运行 | | [安装 Skills](docs/setup-skills.md) | 通过 npx、本地克隆或 zip 上传安装 Skills | | [更新](docs/setup-claude-desktop.md#updating) | 如何更新至较新的版本 | ## 开发 ``` npm run dev # Watch mode npm run typecheck # Type-check only npm run build:views # Build views only npm run build:server # Build server only ``` ## 灵感来源 - [Elastic Agent Skills](https://github.com/elastic/agent-skills/tree/main/skills/security) — SOC 分流方法论和工具模式 - [MCP Apps Specification](https://modelcontextprotocol.io/extensions/apps/overview) — MCP 的交互式 UI 扩展 ## 许可证 Elastic-2.0

标签：AI助手, AI安全, Chat Copilot, CISA项目, Claude, Cursor, CVE检测, D3.js, DLL 劫持, ECS, Elasticsearch, Elastic Security, ESQL, IP 地址批量处理, MCP, MITM代理, Model Context Protocol, Mutation, React, Syscalls, Terraform, VS Code, 可视化, 告警研判, 大语言模型, 安全事件, 安全运营中心, 攻击发现, 无线安全, 案件管理, 检测规则, 示例数据, 网络安全, 网络映射, 网络资产发现, 自动化攻击, 隐私保护, 集成开发环境