crowdsentinel-mcp-server

Name: crowdsentinel-mcp-server
Author: thomasxm

thomasxmGPL-3.0

204 звёзд33 форков

CrowdSentinel MCP Server — это универсальный слой безопасности, который подключает большие языковые модели к корпоративным данным SIEM через протокол MCP. Сервер специализируется на поиске угроз (threat hunting) и реагировании на инциденты в средах Elasticsearch и OpenSearch. Аналитики безопасности и разработчики SIEM используют его, чтобы формулировать запросы на естественном языке и получать формальные SIEM-запросы или готовые результаты расследования. Сервер включает более 70 инструментов MCP и предоставляет доступ к библиотеке из 6060 правил детектирования. Это превращает AI-ассистента в полноценного помощника для повседневных задач SOC, снижая порог входа для команд, которые хотят внедрить автоматизацию без изменения инфраструктуры.

Ai-ml Search

Открыть на GitHub

Установка

uvx crowdsentinel-mcp-server

Характеристики

Общее

СтатусСообщество
Разработчикthomasxm
ЛицензияGPL-3.0

Технологии

Языки
Python
Транспорт
stdio

Описание

Возможности

Выполнение охоты за угрозами (threat hunting) по данным SIEM с описанием гипотезы на естественном языке.
Генерация SIEM-запросов в форматах EQL, KQL, Lucene на основе текстового описания сценария атаки.
Доступ к более чем 6000 правилам детектирования, покрывающих техники MITRE ATT&CK.
Обогащение индикаторов компрометации (IoC) из внешних источников OSINT, включая VirusTotal и AlienVault.
Автоматическое создание хронологии инцидента и корреляция связанных событий.
Управление IoC: добавление, удаление, проверка репутации и контекста.
Мониторинг здоровья кластеров Elasticsearch/OpenSearch: статус, загрузка, свободное место.
Сопоставление событий с тактиками и техниками MITRE ATT&CK.
Генерация отчётов по результатам охоты с готовыми выводами и рекомендациями.
Создание и редактирование собственных правил детектирования через AI-диалог.
Построение агрегаций и временных рядов по заданным полям событий.
Получение рекомендаций по усилению защищённости на основе обнаруженных уязвимостей.

Как подключить

Установите сервер через пакетный менеджер uv:

uvx crowdsentinel-mcp-server

После установки настройте ваш MCP-клиент. Для Claude Desktop отредактируйте конфигурационный файл, добавив следующие строки:


{
  "mcpServers": {
    "crowdsentinel": {
      "command": "uvx",
      "args": ["crowdsentinel-mcp-server"]
    }
  }
}

Укажите параметры подключения к вашему кластеру Elasticsearch или OpenSearch через переменные окружения (например, ELASTICSEARCH_URL и ELASTIC_API_KEY). Полный список настроек описан в документации сервера.

Перезапустите клиент для применения изменений — в интерфейсе появятся новые инструменты MCP.

Примеры запросов

«Найди все события с подозрительными PowerShell командами за последние 48 часов и выведи их в хронологическом порядке.»
«Покажи индикаторы компрометации, связанные с техникой T1059 (Command and Scripting Interpreter), и обогати их через VirusTotal.»
«Создай правило детектирования для обнаружения аномального исходящего трафика на порт 445 по данным Netflow.»
«Проведи охоту по гипотезе: использование уязвимости Log4j в сети за последнюю неделю. Предоставь отчёт с агрегацией по хостам.»

Технические детали

Язык программирования: Python
Транспорт: stdio
Лицензия: GPL-3.0
Совместимые клиенты: Claude Desktop, Cursor и любые другие MCP-клиенты
Количество инструментов MCP: более 79
Целевая система: Elasticsearch 7/8, OpenSearch 1/2
Распространение: PyPI

Telegram WhatsApp VK OK X

Обсудить с ИИ

ChatGPT Claude Gemini DeepSeek Perplexity