Pirate-Kitty/hayabusa-mcp-security-scanner

GitHub: Pirate-Kitty/hayabusa-mcp-security-scanner

一个封装 Hayabusa 的 MCP 服务器,让 Claude 能够对 Windows EVTX 日志执行威胁检测、规则发现和 MITRE ATT&CK 覆盖分析。

Stars: 0 | Forks: 0

# hayabusa-mcp 一个封装了 [Hayabusa](https://github.com/Yamato-Security/hayabusa) 的 MCP (Model Context Protocol) 服务器 用于 EVTX (Windows Event Log) 分析,暴露 `scan_evtx` 和 `get_hayabusa_rules` 工具,以及只读的 `detection://` 资源,用于浏览内置的 Sigma 规则集(参见下方的[资源](#resources))。 ## 安装说明 1. `./download_hayabusa.sh` — 下载 Hayabusa 二进制文件并校验其校验和,将其存入 `./hayabusa/` 2. `pip install -r requirements.txt`(或使用 `.venv`) 3. 通过 `.mcp.json` (Claude Code) 连接,或作为 Claude Desktop 扩展连接(参见下文) ## 资源 除了这两个工具外,服务器还暴露了四个只读的 `detection://` MCP 资源,用于浏览内置的 Sigma/Hayabusa 规则集以及查询 MITRE ATT&CK 技术覆盖情况: - **`detection://rules`** — 内置规则的精简 JSON 索引 (仅包含 `resource_id`、`id_source`、`title`、`level` — 不包含完整规则体)。 每次读取上限为 500 条记录;响应中的 `truncated`/`total_rules` 指示是否还有更多记录。 - **`detection://rules/{rule_identifier}`** — 单个 规则的完整 YAML 文本。`rule_identifier` 是规则自身的 YAML `id:`(一个 UUID);少数缺少有效 `id` 的规则会获得一个稳定的 `fallback-` 标识符 — 请检查索引中的 `id_source` 来区分它们。 - **`detection://rules/by-technique/{technique_id}`** — 标记有给定 MITRE ATT&CK 技术 ID 的规则(不区分大小写)。像 `T1003` 这样的单纯父级 ID 会匹配其自身标签以及标记在其下的任何子技术 (在响应中标记为 `inherited_subtechnique`);而特定的 子技术查询(如 `T1003.001`)仅匹配该确切标签,绝不匹配其父级或同级的子技术。 - **`detection://attack/techniques/{technique_id}`** — 某个技术 ID 的本地覆盖事实 (匹配计数、`covered`/`not_covered`),完全 根据内置规则集计算得出。**此服务器不包含 ATT&CK 技术名称/战术/描述数据集**,因此不会返回此类字段 — 响应仅包含可从本地规则 数据中推导出的内容。 ## Claude Desktop 扩展 该扩展的 `manifest.json` 将 `PYTHONPATH` 指向了内置的 `./lib/` 目录,而不是任何外部虚拟环境。`lib/` 没有被 git 追踪 (它包含已编译的、特定平台的 wheels)— 请在本地构建它: ``` ./package_extension.sh ``` 这会根据 `requirements.txt` 重新生成 `./lib/`,并生成 `dist/hayabusa-mcp.zip`。在扩展运行之前,你仍然需要通过 `download_hayabusa.sh` 单独填充 `./hayabusa/` 目录。 ## 许可证 该项目基于 [MIT 许可证](LICENSE) 授权。 Hayabusa 本身是一个独立的项目,基于 [AGPL-3.0](https://github.com/Yamato-Security/hayabusa/blob/main/LICENSE.txt) 授权。 它在安装时由 `download_hayabusa.sh` 下载,并作为 外部子进程调用 — 它并没有被内置或链接到此代码库中。
标签:AMSI绕过, EVTX日志分析, Hayabusa, LLM工具, MCP服务器, Sigma规则, 威胁检测, 目标导入, 逆向工具