chiomao23/MCP-Detection-Knowledge-Bases

GitHub: chiomao23/MCP-Detection-Knowledge-Bases

将 Hayabusa EVTX 日志扫描与 Sigma 检测规则知识库封装为 MCP 服务器,使 Claude 能够直接查询和执行 Windows 事件日志威胁检测。

Stars: 0 | Forks: 0

# mcp-hayabusa MCP server 封装了 [Hayabusa](https://github.com/Yamato-Security/hayabusa) CLI,用于 EVTX (Windows Event Log) 分析,并暴露了 `scan_evtx` 和 `get_hayabusa_rules` 工具。 ## 前置条件 - Python 3.10+(本机的默认 `python`/`py` 为 3.8 —— 请显式使用 `py -3.13`;见下文) - Hayabusa binary —— `download_hayabusa.py`(见下文)会将其获取到 `./hayabusa/` 目录中,`server.py` 会自动找到它。或者,设置 `HAYABUSA_PATH` 或将 `hayabusa` 添加到 `PATH` 中。 ## 设置 ``` py -3.13 -m pip install -r requirements.txt py -3.13 download_hayabusa.py # downloads Hayabusa for this platform into ./hayabusa/ ``` `server.py` 会自动找到下载的 binary —— 无需环境变量。在 Linux 上,如果在下载时需要 musl 构建版本而不是默认的 glibc,请在下载时设置 `HAYABUSA_LIBC=musl`。 ## 运行 ``` py -3.13 server.py ``` 这将在 stdio 上启动服务器,以便与 MCP 客户端(例如 Claude Code、Claude Desktop)一起使用。 ## 工具:`scan_evtx` | 参数 | 类型 | 默认值 | 描述 | |----------------|------|------------|----------------------------------------------------------------------| | `evtx_path` | str | 必填 | 要扫描的单个 `.evtx` 文件的路径 | | `min_severity` | str | `medium` | 包含的最低严重级别:`informational`、`low`、`medium`、`high`、`critical` | 返回格式化的 JSON 字符串(`total_detections` + `detections` 数组),失败时返回 `{"error": ...}`(缺少文件、缺少 Hayabusa binary、非零退出、超时、文件锁定/无法访问、无效的 `min_severity`)。 ## 工具:`get_hayabusa_rules` | 参数 | 类型 | 默认值 | 描述 | |-----------|------|----------|------------------------------------------------------------------------------| | `keyword` | str | `""` | 不区分大小写的子字符串,与每个规则的标题/id/tags/category进行匹配。为空 = 所有规则。 | | `limit` | int | `50` | 返回的最大规则数,限制在 `[1, 500]` 之间(总共有约 5000 个规则文件) | 返回格式化的 JSON 字符串:`total_rules_scanned`、`total_matches`、`returned`、`truncated` 以及一个 `rules` 数组(每个规则包含 `title`、`id`、`level`、`status`、`category`、`tags`、`source`、`path`),按严重级别从高到低排序。每个服务器进程的第一次调用需要几秒钟(解析约 5000 个 YAML 规则文件);之后结果会缓存在内存中,因此无论 `keyword`/`limit` 如何,后续调用几乎是瞬时的。 ## 状态 已针对真实且本地下载的 Hayabusa v3.10.0 和真实的 EVTX 数据(包括锁定的实时 Windows event log,以确认错误处理)进行了验证。有关架构说明和已知缺陷,请参阅 `CLAUDE.md`。
标签:AMSI绕过, MCP服务, Python, 威胁检测, 安全运营, 扫描框架, 无后门, 逆向工具