Pirate-Kitty/hayabusa-mcp-security-scanner
GitHub: Pirate-Kitty/hayabusa-mcp-security-scanner
一个封装 Hayabusa 的 MCP 服务器,让 Claude 能够对 Windows EVTX 日志执行威胁检测、规则发现和 MITRE ATT&CK 覆盖分析。
Stars: 0 | Forks: 0
# hayabusa-mcp
一个封装了 [Hayabusa](https://github.com/Yamato-Security/hayabusa) 的 MCP (Model Context Protocol) 服务器
用于 EVTX (Windows Event Log) 分析,暴露 `scan_evtx` 和 `get_hayabusa_rules`
工具,以及只读的 `detection://` 资源,用于浏览内置的 Sigma
规则集(参见下方的[资源](#resources))。
## 安装说明
1. `./download_hayabusa.sh` — 下载 Hayabusa 二进制文件并校验其校验和,将其存入 `./hayabusa/`
2. `pip install -r requirements.txt`(或使用 `.venv`)
3. 通过 `.mcp.json` (Claude Code) 连接,或作为 Claude Desktop 扩展连接(参见下文)
## 资源
除了这两个工具外,服务器还暴露了四个只读的 `detection://` MCP
资源,用于浏览内置的 Sigma/Hayabusa 规则集以及查询
MITRE ATT&CK 技术覆盖情况:
- **`detection://rules`** — 内置规则的精简 JSON 索引
(仅包含 `resource_id`、`id_source`、`title`、`level` — 不包含完整规则体)。
每次读取上限为 500 条记录;响应中的 `truncated`/`total_rules`
指示是否还有更多记录。
- **`detection://rules/{rule_identifier}`** — 单个
规则的完整 YAML 文本。`rule_identifier` 是规则自身的 YAML `id:`(一个 UUID);少数缺少有效 `id` 的规则会获得一个稳定的 `fallback-`
标识符 — 请检查索引中的 `id_source` 来区分它们。
- **`detection://rules/by-technique/{technique_id}`** — 标记有给定 MITRE ATT&CK 技术 ID 的规则(不区分大小写)。像 `T1003` 这样的单纯父级 ID 会匹配其自身标签以及标记在其下的任何子技术
(在响应中标记为 `inherited_subtechnique`);而特定的
子技术查询(如 `T1003.001`)仅匹配该确切标签,绝不匹配其父级或同级的子技术。
- **`detection://attack/techniques/{technique_id}`** — 某个技术 ID 的本地覆盖事实
(匹配计数、`covered`/`not_covered`),完全
根据内置规则集计算得出。**此服务器不包含 ATT&CK
技术名称/战术/描述数据集**,因此不会返回此类字段 —
响应仅包含可从本地规则
数据中推导出的内容。
## Claude Desktop 扩展
该扩展的 `manifest.json` 将 `PYTHONPATH` 指向了内置的 `./lib/`
目录,而不是任何外部虚拟环境。`lib/` 没有被 git 追踪
(它包含已编译的、特定平台的 wheels)— 请在本地构建它:
```
./package_extension.sh
```
这会根据 `requirements.txt` 重新生成 `./lib/`,并生成
`dist/hayabusa-mcp.zip`。在扩展运行之前,你仍然需要通过
`download_hayabusa.sh` 单独填充 `./hayabusa/` 目录。
## 许可证
该项目基于 [MIT 许可证](LICENSE) 授权。
Hayabusa 本身是一个独立的项目,基于
[AGPL-3.0](https://github.com/Yamato-Security/hayabusa/blob/main/LICENSE.txt) 授权。
它在安装时由 `download_hayabusa.sh` 下载,并作为
外部子进程调用 — 它并没有被内置或链接到此代码库中。
标签:AMSI绕过, EVTX日志分析, Hayabusa, LLM工具, MCP服务器, Sigma规则, 威胁检测, 目标导入, 逆向工具