MoisesTapia/wazuh-mcp

GitHub: MoisesTapia/wazuh-mcp

将 Wazuh 安全平台的完整 API、SOC 查询和 SOAR 主动响应能力通过 MCP 协议暴露给 Claude 等 AI 客户端,实现自然语言驱动的安全运营。

Stars: 0 | Forks: 0

# Wazuh MCP Server **206 个工具**,将 [Wazuh](https://wazuh.com/) 安全平台作为 [Model Context Protocol](https://modelcontextprotocol.io/) 工具暴露给 Claude、 Claude Code 以及任何兼容 MCP 的客户端。 该服务器涵盖了完整的 **Wazuh Manager REST API**(agents、rules、cluster、 RBAC、FIM、SCA、MITRE…),外加一个直接查询 Wazuh Indexer 以获取 alerts、CVE 和威胁分析的 **SOC 层**,以及一个用于主动 响应(封锁 IP、隔离 agents、终止进程、运行 YARA 扫描)的 **SOAR 层**。 ``` Claude Desktop / Claude Code │ stdio (or HTTP + Bearer auth when MCP runs in Docker) ▼ ┌─────────────────────┐ HTTPS :55000 ┌────────────────────────┐ │ wazuh-mcp server │ ──────────────────► │ wazuh.manager │ │ (FastMCP 2.0+) │ │ REST API + Filebeat │ │ │ HTTPS :9200 └────────────┬───────────┘ │ audit · circuit │ ─────────────┐ │ │ breaker · sanitize │ ▼ │ └─────────────────────┘ ┌────────────────────────┐ │ │ wazuh.indexer │◄───┘ │ OpenSearch (SOC data)│ └────────────┬───────────┘ │ ┌────────────▼───────────┐ │ wazuh.dashboard │ │ Web UI :443 │ └─────────────────────────┘ ``` ## 文档 完整文档位于 [`docs/`](docs/) 文件夹中,按主题组织: | 指南 | 内容 | |-------|---------------| | [安装说明](docs/installation.md) | 环境要求、快速开始、SSL 证书、Docker stack、首次运行 | | [配置说明](docs/configuration.md) | 环境变量、凭据、修改密码、Indexer 设置 | | [Claude 集成](docs/claude-integration.md) | Claude Desktop 和 Claude Code 设置(stdio 和 HTTP) | | [工具目录](docs/tools.md) | 按模块划分的全部 206 个工具,附带实际使用示例 | | [SOC 与 SOAR](docs/soc.md) | 通过 Indexer 进行 alerts、CVE、威胁分析和主动响应 | | [安全模型](docs/security.md) | 审计日志、熔断器、输出过滤、HTTP Bearer auth、TLS | | [架构设计](docs/architecture.md) | 请求流程、模块布局、Docker 依赖 | | [开发指南](docs/development.md) | 运行测试、添加模块、代码规范 | | [DevSecOps](docs/devsecops.md) | CI 和本地安全扫描:pip-audit、pip-licenses、bandit、hadolint | | [故障排除](docs/troubleshooting.md) | 常见错误及修复方法 | | [Makefile 参考](docs/makefile.md) | 每个 `make` 目标的详细说明 | ## 快速开始 ``` git clone cd wazuh-mcp make install # create .venv and install the package cp .env.example .env # fill in WAZUH_USER / WAZUH_PASSWORD make certs # generate SSL certificates (first time only) make docker-up # start manager + indexer + dashboard source .venv/bin/activate make setup-claude-desktop # register the MCP in Claude Desktop ``` 重启 Claude Desktop 并尝试: ``` Call ping_wazuh and tell me the Wazuh version that is running. ``` 完整指南:**[docs/installation.md](docs/installation.md)**。 ## 功能 | 功能 | 详情 | |---|---| | **23 个模块中的 206 个工具** | 完整覆盖 Wazuh 4.9 REST API + SOC + SOAR | | **SOC 层** | 直接从 Indexer 查询 alerts、CVE 和威胁分析 | | **SOAR 层** | 封锁/解封 IP、隔离 agents、终止进程、YARA 扫描、自定义 AR | | **完整的本地 stack** | Docker 中的 Manager + Indexer (OpenSearch) + Dashboard | | **带退避的重试机制** | 遇到 429/502/503/504 和连接错误时自动重试 | | **熔断器** | Manager 宕机时快速失败,并自动恢复 | | **JWT 自动刷新** | Token 在过期前或遇到 401 时透明更新 | | **审计日志** | 每次工具调用生成一行结构化 JSON,自动脱敏敏感信息 | | **输出过滤** | 在工具输出中中和 prompt 注入 + 脱敏敏感信息 | | **HTTP Bearer auth** | HTTP 模式下需要 API key;默认仅限回环主机访问 | | **双重传输** | `stdio` 用于本地使用,`http` 用于 Docker 部署 | | **278 个单元测试** | 无需 Docker 或网络连接 | 各项功能的详细信息请参见上方[文档](#documentation)。 ## 环境要求 | 资源 | 最低要求 | 推荐配置 | |---------|--------|-------------| | CPU | 4 核 | 4+ 核 | | RAM | 8 GB | 16 GB | | 磁盘 | 20 GB 可用空间 | 50 GB 可用空间 | | Python | 3.11+ | 3.12+ | | Docker Desktop | 4.x+ | 最新版 | | Docker Compose | v2 (`docker compose`) | 最新版 | 平台相关说明请参见 [docs/installation.md](docs/installation.md#requirements)。 ## 开源协议 MIT — 详情请参见 [LICENSE](LICENSE)。
标签:DLL 劫持, MCP, SOAR, Wazuh, 大语言模型, 安全工具, 安全运营, 扫描框架, 请求拦截, 逆向工具