AWS‑IReveal‑MCP

AWS‑IReveal‑MCP是一款模型上下文协议 (MCP) 服务器，旨在为安全团队和事件响应人员提供统一的 AWS 服务接口，方便他们进行调查。通过将 AWS‑IReveal‑MCP 连接到任何 MCP 客户端（例如 Claude Desktop 或 Cline），您无需离开 LLM 驱动的工作区，即可跨多个 AWS 服务调用查询和分析。

特征

AWS‑IReveal‑MCP 与以下 AWS 服务和功能集成：

• CloudTrail — API 活动的管理事件日志

• Amazon Athena — 通过 CloudTrail 日志进行 SQL 查询

• CloudWatch — 操作日志和临时分析

• Amazon GuardDuty — 威胁检测和发现调查

• AWS Config — 资源配置历史记录和合规性状态

• VPC 流日志— 用于取证分析的网络流量元数据

• 网络访问分析器— 跨 SG/NACL/VPC 的可达性检查

• IAM 访问分析器— 基于策略和资源的访问结果

这些服务让您

• 追踪“谁在何时何地做了什么事”（CloudTrail、Config）

• 检查详细数据事件（Athena）

• 搜索和可视化日志（CloudWatch、VPC Flow Logs）

• 表面安全警报（GuardDuty、IAM Access Analyzer）

• 验证网络可达性和配置（网络访问分析器）

示例提示

• 分析过去 5 天内 IP xxxx 的活动

• 分析过去 24 小时内“sysadmin”角色的活动

• 调查过去 7 天内 us-west-2 上 Cloudtrail 上的可疑活动

• 过去 7 天内，名称包含“客户”的存储桶上是否有任何数据事件？

• 调查与 Bedrock 相关的 CloudWatch 日志

• 针对过去 2 天内发生的 GuardDuty 高风险发现提出补救措施

• 识别不合规的资源，解释违反的规则，并提出补救措施

安装

先决条件

• Python 3

• MCP Python SDK（ mcp[cli] ）

• boto3 （适用于 Python 的 AWS 开发工具包）

• 已配置 AWS 凭证

配置

将以下配置添加到您的 MCP 客户端的设置文件：