MoisesTapia/wazuh-mcp
GitHub: MoisesTapia/wazuh-mcp
将 Wazuh 安全平台的完整 API、SOC 查询和 SOAR 主动响应能力通过 MCP 协议暴露给 Claude 等 AI 客户端,实现自然语言驱动的安全运营。
Stars: 0 | Forks: 0
# Wazuh MCP Server
**206 个工具**,将 [Wazuh](https://wazuh.com/) 安全平台作为
[Model Context Protocol](https://modelcontextprotocol.io/) 工具暴露给 Claude、
Claude Code 以及任何兼容 MCP 的客户端。
该服务器涵盖了完整的 **Wazuh Manager REST API**(agents、rules、cluster、
RBAC、FIM、SCA、MITRE…),外加一个直接查询 Wazuh Indexer
以获取 alerts、CVE 和威胁分析的 **SOC 层**,以及一个用于主动
响应(封锁 IP、隔离 agents、终止进程、运行 YARA 扫描)的 **SOAR 层**。
```
Claude Desktop / Claude Code
│ stdio (or HTTP + Bearer auth when MCP runs in Docker)
▼
┌─────────────────────┐ HTTPS :55000 ┌────────────────────────┐
│ wazuh-mcp server │ ──────────────────► │ wazuh.manager │
│ (FastMCP 2.0+) │ │ REST API + Filebeat │
│ │ HTTPS :9200 └────────────┬───────────┘
│ audit · circuit │ ─────────────┐ │
│ breaker · sanitize │ ▼ │
└─────────────────────┘ ┌────────────────────────┐ │
│ wazuh.indexer │◄───┘
│ OpenSearch (SOC data)│
└────────────┬───────────┘
│
┌────────────▼───────────┐
│ wazuh.dashboard │
│ Web UI :443 │
└─────────────────────────┘
```
## 文档
完整文档位于 [`docs/`](docs/) 文件夹中,按主题组织:
| 指南 | 内容 |
|-------|---------------|
| [安装说明](docs/installation.md) | 环境要求、快速开始、SSL 证书、Docker stack、首次运行 |
| [配置说明](docs/configuration.md) | 环境变量、凭据、修改密码、Indexer 设置 |
| [Claude 集成](docs/claude-integration.md) | Claude Desktop 和 Claude Code 设置(stdio 和 HTTP) |
| [工具目录](docs/tools.md) | 按模块划分的全部 206 个工具,附带实际使用示例 |
| [SOC 与 SOAR](docs/soc.md) | 通过 Indexer 进行 alerts、CVE、威胁分析和主动响应 |
| [安全模型](docs/security.md) | 审计日志、熔断器、输出过滤、HTTP Bearer auth、TLS |
| [架构设计](docs/architecture.md) | 请求流程、模块布局、Docker 依赖 |
| [开发指南](docs/development.md) | 运行测试、添加模块、代码规范 |
| [DevSecOps](docs/devsecops.md) | CI 和本地安全扫描:pip-audit、pip-licenses、bandit、hadolint |
| [故障排除](docs/troubleshooting.md) | 常见错误及修复方法 |
| [Makefile 参考](docs/makefile.md) | 每个 `make` 目标的详细说明 |
## 快速开始
```
git clone
cd wazuh-mcp
make install # create .venv and install the package
cp .env.example .env # fill in WAZUH_USER / WAZUH_PASSWORD
make certs # generate SSL certificates (first time only)
make docker-up # start manager + indexer + dashboard
source .venv/bin/activate
make setup-claude-desktop # register the MCP in Claude Desktop
```
重启 Claude Desktop 并尝试:
```
Call ping_wazuh and tell me the Wazuh version that is running.
```
完整指南:**[docs/installation.md](docs/installation.md)**。
## 功能
| 功能 | 详情 |
|---|---|
| **23 个模块中的 206 个工具** | 完整覆盖 Wazuh 4.9 REST API + SOC + SOAR |
| **SOC 层** | 直接从 Indexer 查询 alerts、CVE 和威胁分析 |
| **SOAR 层** | 封锁/解封 IP、隔离 agents、终止进程、YARA 扫描、自定义 AR |
| **完整的本地 stack** | Docker 中的 Manager + Indexer (OpenSearch) + Dashboard |
| **带退避的重试机制** | 遇到 429/502/503/504 和连接错误时自动重试 |
| **熔断器** | Manager 宕机时快速失败,并自动恢复 |
| **JWT 自动刷新** | Token 在过期前或遇到 401 时透明更新 |
| **审计日志** | 每次工具调用生成一行结构化 JSON,自动脱敏敏感信息 |
| **输出过滤** | 在工具输出中中和 prompt 注入 + 脱敏敏感信息 |
| **HTTP Bearer auth** | HTTP 模式下需要 API key;默认仅限回环主机访问 |
| **双重传输** | `stdio` 用于本地使用,`http` 用于 Docker 部署 |
| **278 个单元测试** | 无需 Docker 或网络连接 |
各项功能的详细信息请参见上方[文档](#documentation)。
## 环境要求
| 资源 | 最低要求 | 推荐配置 |
|---------|--------|-------------|
| CPU | 4 核 | 4+ 核 |
| RAM | 8 GB | 16 GB |
| 磁盘 | 20 GB 可用空间 | 50 GB 可用空间 |
| Python | 3.11+ | 3.12+ |
| Docker Desktop | 4.x+ | 最新版 |
| Docker Compose | v2 (`docker compose`) | 最新版 |
平台相关说明请参见 [docs/installation.md](docs/installation.md#requirements)。
## 开源协议
MIT — 详情请参见 [LICENSE](LICENSE)。
标签:DLL 劫持, MCP, SOAR, Wazuh, 大语言模型, 安全工具, 安全运营, 扫描框架, 请求拦截, 逆向工具