CrowdStrike Falcon MCP Server

Возможности

• Поиск и фильтрация детектов по времени, критичности (Critical, High, Medium, Low), статусу и имени хоста.
• Получение полной картины инцидента: цепочка действий, процессы, файлы, индикаторы компрометации (IOC).
• Изменение статуса детекта, назначение на аналитика, добавление комментариев.
• Запрос Threat Intelligence: проверка IP-адресов, доменов, URL и хешей по базам CrowdStrike.
• Поиск хостов по имени, IP-адресу, AID. Проверка статуса сенсора.
• Запуск Real-Time Response (RTR) — удалённый сбор данных и выполнение команд на хостах.
• Изоляция (contain) хостов для остановки распространения атаки и снятие изоляции.
• Поиск по событиям и индикаторам с использованием Falcon Query Language (FQL).
• Выполнение массовых операций над группами устройств (Device Groups).
• Интеграция в автоматизированные плейбуки реагирования через AI.

Как подключить

1. Установите сервер: uvx falcon-mcp или pip install falcon-mcp.
2. Получите ключи API в консоли CrowdStrike Falcon (OAuth2 Client ID и Secret).
3. Добавьте конфигурацию в ваш MCP-клиент. Пример для Claude Desktop:{"mcpServers":{"CrowdStrike Falcon":{"command":"uvx","args":["falcon-mcp"],"env":{"FALCON_CLIENT_ID":"ваш_client_id","FALCON_CLIENT_SECRET":"ваш_client_secret"}}}}
4. Перезапустите клиент (Claude Desktop, VS Code с расширением MCP и т.д.).

Примеры запросов

• «Покажи последние 10 инцидентов с High severity. Сгруппируй по хостам и выведи сводку.»
• «Проверь IP 51.15.25.79 по базе Threat Intelligence — есть ли активность у нас в сети?»
• «Найди хост web-app-03. Покажи его AID, дату последнего сканирования и статус сенсора.»
• «Изолируй хост с AID abc123def456 — подозрение на инцидент.»

Технические детали

• Язык: Python
• Транспорт: stdio
• Лицензия: MIT
• Совместимость: Claude Desktop, MCP Inspector, VS Code AI, IntelliJ AI
• Разработчик: CrowdStrike
• Статус: Public Preview