Enables querying and managing Linux-based endpoints in the Binalyze AIR forensics platform through natural language interactions.
Allows for management and forensic analysis of macOS endpoints within the Binalyze AIR platform through natural language queries.
Serves as the runtime environment for the MCP server, allowing the server to connect Binalyze AIR's digital forensics capabilities with language models.
Ein Node.js-Server, der das Model Context Protocol (MCP) für Binalyze AIR implementiert und so eine natürliche Sprachinteraktion mit den digitalen Forensik- und Vorfallreaktionsfunktionen von AIR ermöglicht.
Dieser MCP-Server schlägt eine Brücke zwischen Large Language Models (LLMs) und Binalyze AIR und ermöglicht die Interaktion in natürlicher Sprache. Rufen Sie Informationen über Ihre digitale Forensikumgebung ab, ohne Code schreiben oder komplexe APIs erlernen zu müssen.
Wichtig: Für die Authentifizierung ist ein API-Token erforderlich. Legen Sie es mit der Umgebungsvariable
AIR_API_TOKENfest.
Fügen Sie Ihrer Claude Desktop-Konfigurationsdatei die folgende Konfiguration hinzu:
Hinweis: Vergessen Sie nicht, den Agentenmodus in Ihrem Editor zu aktivieren.
Oder verwenden Sie die Magic Link-Option in VSCode.
In Claude Desktop oder einem beliebigen MCP-Client können Sie Befehle in natürlicher Sprache verwenden:
| Befehl | Beschreibung |
|---|---|
List all assets in the system | Zeigt alle verwalteten/nicht verwalteten Endpunkte mit Betriebssystem- und Plattforminformationen an |
Get details about asset with ID "abc123" | Zeigt detaillierte Informationen zu einem bestimmten Asset an |
Get tasks for asset with ID "abc123" | Zeigt alle Aufgaben an, die mit einem bestimmten Asset verknüpft sind |
List all acquisition profiles | Zeigt verfügbare Erfassungsprofile an |
Get acquisition profile details by ID | Zeigt detaillierte Informationen zu einem bestimmten Akquisitionsprofil, einschließlich Beweismitteln und Artefakten |
List all acquisition artifacts | Zeigt alle verfügbaren Artefakte zur Beweismittelsammlung, sortiert nach Plattform und Kategorie |
List all acquisition evidences | Zeigt alle verfügbaren Beweismittel für die forensische Datenerfassung, sortiert nach Plattform und Kategorie |
Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001" | Weist einem oder mehreren bestimmten Endpunkten eine Aufgabe zur Beweismittelbeschaffung zu. |
Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def | Weist einem bestimmten Endpunkt und Volume eine Aufgabe zur Erfassung eines Disk-Images zu und speichert es in einem angegebenen Repository. |
Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"] | Erstellt ein neues Erfassungsprofil mit der angegebenen Konfiguration |
Reboot endpoint 123abc | Weist einem bestimmten Endpunkt eine Neustartaufgabe zu |
Shutdown endpoint 123abc | Weist einem bestimmten Endpunkt eine Shutdown-Aufgabe zu |
Isolate endpoint 123abc | Weist einem bestimmten Endpunkt eine Isolationsaufgabe zu |
Unisolate endpoint 123abc | Entfernt die Isolation von einem bestimmten Endpunkt |
Retrieve logs from endpoint 123abc | Weist einem bestimmten Endpunkt eine Protokollabrufaufgabe zu |
Update version for endpoint 123abc | Weist einem bestimmten Endpunkt eine Versionsaktualisierungsaufgabe zu |
List all organizations | Zeigt alle Organisationen in Umgebungen |
List all cases | Zeigt Fälle mit Status und Erstellungszeit an |
List all policies | Zeigt Sicherheitsrichtlinien und Sammlungsrichtlinien |
List all tasks | Listet alle Aufgaben mit ihrem Status auf |
List all triage rules | Zeigt YARA-, OSQuery- und Sigma-Regeln zur Bedrohungserkennung |
List all users | Zeigt alle Benutzer im System mit ihren Details an |
Get user by ID | Ruft die Details eines bestimmten Benutzers anhand seiner ID ab |
List all drone analyzers | Zeigt verfügbare Drohnenanalysatoren mit unterstützten Betriebssystemen |
Export audit logs | Startet den Export von Überwachungsprotokollen. Der Export wird im Hintergrund auf dem AIR-Server ausgeführt. |
List audit logs | Zeigt Audit-Protokolle mit Details wie Zeitstempel, Benutzer, Aktion, Entität |
Uninstall asset with ID "endpoint-id" | Deinstalliert das angegebene Asset, ohne Daten zu löschen (erfordert die Angabe filter.includedEndpointIds ) |
Purge and uninstall asset with ID "endpoint-id" | Löscht Daten und deinstalliert das angegebene Asset (erfordert die Angabe filter.includedEndpointIds ) |
Add tags ["tag1", "tag2"] to asset with ID "endpoint-id" | Fügt den Ziel-Assets angegebene Tags hinzu (erfordert die Bereitstellung filter.includedEndpointIds und tags ) |
Remove tags ["tag1"] from asset with ID "endpoint-id" | Entfernt angegebene Tags aus den Ziel-Assets (erfordert die Bereitstellung filter.includedEndpointIds und tags ) |
Create an auto asset tag named "Web Server" | Erstellt eine neue Regel zum automatischen Markieren von Assets basierend auf Bedingungen. |
Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running | Aktualisiert eine vorhandene automatische Asset-Tag-Regel mit neuen Bedingungen. |
List all auto asset tag rules | Listet alle vorhandenen Regeln zur automatischen Anlagenkennzeichnung mit ihren Konfigurationen auf. |
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | Zeigt detaillierte Informationen zu einer bestimmten automatischen Asset-Tag-Regel an. |
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | Löscht eine bestimmte automatische Asset-Tag-Regel anhand ihrer ID. |
Start auto tagging for windows machines | Startet den automatischen Tagging-Prozess für Windows-Assets, die den angegebenen Kriterien entsprechen. |
Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"] | Erfasst Basisdaten von angegebenen Endpunkten für eine bestimmte Fall-ID. |
Compare baselines for endpoint "id1" with task IDs ["task1", "task2"] | Vergleicht mehrere Baseline-Erfassungsaufgaben für einen bestimmten Endpunkt, um Änderungen zu identifizieren. |
Get comparison report for endpoint "id1" and task "task1" | Ruft den Vergleichsergebnisbericht für einen bestimmten Endpunkt und eine bestimmte Vergleichsaufgabe ab. |
List all e-discovery patterns | Zeigt alle verfügbaren E-Discovery-Muster zur Dateityperkennung |
Create a policy named "Production Policy" with specific storage settings | Erstellt eine neue Richtlinie mit benutzerdefinierten Einstellungen |
Update policy with ID "abc123" | Aktualisiert eine vorhandene Richtlinie mit neuen Einstellungen |
Get policy details for ID "System" | Zeigt detaillierte Informationen zu einer bestimmten Richtlinie an |
Update policy priorities to ["policy1", "policy2", "policy3"] | Aktualisiert die Reihenfolge der Richtlinienanwendung |
Show policy match statistics | Zeigt, wie viele Endpunkte mit jeder Richtlinie übereinstimmen |
Get policy distribution for Windows endpoints | Zeigt Richtlinienübereinstimmungen gefiltert nach Plattform an |
Get policy match stats for offline endpoints | Zeigt Richtlinienübereinstimmungen für Offline-Assets an |
Delete policy with ID "abc123" | Entfernt eine Richtlinie dauerhaft aus dem System |
Get all assignments for task with ID "def456" | Zeigt alle Zuweisungen an, die mit einer bestimmten Aufgabe verknüpft sind |
Cancel task assignment with ID "xyz789" | Bricht eine bestimmte Aufgabenzuweisung ab |
Delete task assignment with ID "xyz789" | Entfernt dauerhaft eine Aufgabenzuweisung |
Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024" | Zeigt detaillierte Informationen zu einer bestimmten Aufgabe an, einschließlich Beweistypen und Konfiguration |
Cancel task with ID "abc123" | Bricht eine laufende Aufgabe mit der angegebenen ID ab |
Delete task with ID "abc123" | Löscht eine bestimmte Aufgabe dauerhaft |
Create triage rule named "My Rule" | Erstellt eine neue Triage-Regel |
List all triage tags | Sie können mit Triage-Regeln und den zugehörigen Tags arbeiten |
Create triage tag named "My Tag" | Erstellt ein neues Triage-Tag |
Update triage rule with ID "abc123" | Aktualisiert eine vorhandene Triage-Regel |
Delete triage rule with ID "abc123" | Entfernt dauerhaft eine Triage-Regel |
Get triage rule with ID "abc123" | Ruft die Details einer bestimmten Triage-Regel ab |
Validate triage rule syntax | Validiert die Syntax einer Triage-Regel, ohne sie zu erstellen |
Assign triage task to endpoints with IDs ["id1", "id2"] | Weist Endpunkten basierend auf Filterkriterien eine Triage-Aufgabe zu |
Add note to case with ID "C-2022-0002" | Fügt einem bestimmten Fall anhand seiner ID eine Notiz hinzu |
Update note with ID "8d9baa16-9aa3-4e4f-a08e-a74341ce2f90" in case "C-2022-0002" | Aktualisiert eine vorhandene Notiz in einem bestimmten Fall |
Delete note with ID "8d9baa16-9aa3-4e4f-a08e-a74341ce2f90" from case "C-2022-0002" | Löscht eine bestimmte Notiz aus einem Fall anhand ihrer ID |
Export cases data | Initiiert einen Export von Falldaten für Ihre Organisation |
Export notes for case with ID "case123" | Initiiert einen Export von Notizen für einen bestimmten Fall anhand seiner ID |
Export endpoints for case with ID "case123" | Initiiert einen Export von Endpunkten für einen bestimmten Fall anhand seiner ID |
Export activities for case with ID "case123" | Initiiert einen Export von Aktivitäten für einen bestimmten Fall anhand seiner ID |
Create a new case named "Incident Response" | Erstellt einen neuen Fall im System |
Update case with ID "C-2022-0003" to have name "Updated Case" | Aktualisiert einen vorhandenen Fall anhand der ID |
Get case with ID "C-2022-0003" | Ruft die Details eines bestimmten Falls anhand seiner ID ab |
Close case with ID "C-2022-0003" | Schließt einen bestimmten Fall anhand seiner ID |
Open case with ID "C-2022-0003" | Öffnet einen bestimmten Fall anhand seiner ID |
Archive case with ID "C-2022-0003" | Archiviert einen bestimmten Fall anhand seiner ID |
Change case owner with ID "C-2022-0003" to user with ID "user123" | Ändert den Besitzer eines bestimmten Falls anhand seiner ID |
Check if case name "Incident 2023-05" is available | Überprüft, ob ein Fallname bereits verwendet wird |
Get case activities for case with ID "C-2022-0003" | Zeigt den Aktivitätsverlauf für einen bestimmten Fall anhand seiner ID an |
Get endpoints for case with ID "C-2022-0001" | Ruft alle Endpunkte ab, die einem bestimmten Fall anhand seiner ID zugeordnet sind |
Get tasks for case with ID "C-2022-0001" | Zeigt alle Aufgaben an, die mit dem angegebenen Fall verknüpft sind |
Get users for case with ID "C-2022-0001" | Ruft alle Benutzer ab, die einem bestimmten Fall anhand seiner ID zugeordnet sind. |
Remove endpoints from case with ID "C-2022-0001" | Entfernt Endpunkte aus einem Fall basierend auf angegebenen Filtern |
Remove task assignment with ID "f04666c9-62c7-4cb0-8638-967f05eb7936" from case "C-2022-0001" | Entfernt eine bestimmte Aufgabenzuweisung aus einem Fall |
Import task assignments to case with ID "C-2022-0001" | Importiert Aufgabenzuweisungen in einen bestimmten Fall |
List repositories | Listet alle Beweismittel-Repositorys in der Organisation auf |
Create SMB repository with name "My SMB Repository" | Erstellt ein neues SMB-Beweisrepository mit angegebenen Anmeldeinformationen |
Update SMB repository with ID "abc123" | Aktualisiert die Konfiguration eines vorhandenen SMB-Repositorys |
Create SFTP repository with name "My SFTP Repository" | Erstellt ein neues SFTP-Beweisrepository mit den angegebenen Anmeldeinformationen |
Update SFTP repository with ID "abc123" | Aktualisiert die Konfiguration eines vorhandenen SFTP-Repositorys |
Validate FTPS repository configuration | Testet, ob eine FTPS-Repository-Konfiguration gültig ist, ohne sie zu erstellen |
Create Azure Storage repository with name "My Azure Storage Repository" | Erstellt ein neues Azure Storage-Beweisrepository mit den angegebenen Anmeldeinformationen |
Update Azure Storage repository with ID "abc123" | Aktualisiert die Konfiguration eines vorhandenen Azure Storage-Repositorys |
Validate Azure Storage repository with SAS URL | Überprüft, ob die angegebene SAS-URL für den Azure Storage-Zugriff gültig ist |
Create a new Amazon S3 repository | Richtet einen neuen S3-Bucket als Beweismittel-Repository ein |
Update Amazon S3 repository with ID "abc123" | Ändert eine vorhandene S3-Repository-Konfiguration |
Validate Amazon S3 repository configuration | Überprüft, ob S3-Anmeldeinformationen und Bucket gültig sind |
Get details about repository with ID "abc123" | Zeigt detaillierte Informationen zu einem bestimmten Beweisarchiv an |
Delete repository with ID "abc123" | Löscht ein bestimmtes Beweisarchiv |
Download PPC file for endpoint "ep-1" and task "task-1" | Lädt eine PPC-Datei für den angegebenen Endpunkt und die angegebene Aufgabe herunter |
Download task report for endpoint "123" and task "456" | Lädt einen Aufgabenbericht für den angegebenen Endpunkt und die angegebene Aufgabe herunter |
Get report file information for endpoint "123" and task "456" | Ruft Informationen zu einer PPC-Datei für einen bestimmten Endpunkt und eine bestimmte Aufgabe ab |
Get users for organization with ID "2" | Zeigt alle Benutzer an, die zur angegebenen Organisation gehören |
Assign users with IDs ["user1", "user2"] to organization "123" | Ordnet Benutzer der angegebenen Organisation zu |
Remove user with ID "user1" from organization "123" | Entfernt einen Benutzer aus der angegebenen Organisation |
Create organization with name "My Organization" and contact information | Erstellt eine neue Organisation mit dem angegebenen Namen und den angegebenen Kontaktinformationen |
Update organization with ID "123" | Aktualisiert eine vorhandene Organisation mit neuen Einstellungen |
Get details about organization with ID 2 | Zeigt detaillierte Informationen zu einer bestimmten Organisation an |
Check if organization name "My Organization" already exists | Überprüft, ob ein Organisationsname bereits verwendet wird |
Get shareable deployment information using deployment token "token123" | Ruft Informationen zu einer gemeinsam nutzbaren Bereitstellung mithilfe eines Bereitstellungstokens ab. |
Update organization shareable deployment with ID "123" to be enabled | Aktualisiert die gemeinsam nutzbaren Bereitstellungseinstellungen einer Organisation |
Update deployment token for organization with ID 2 | Aktualisiert das Bereitstellungstoken für eine bestimmte Organisation |
Delete organization with ID "123" | Entfernt eine Organisation dauerhaft aus dem System |
Add tags to organization with ID "123" | Fügt einer Organisation Tags hinzu |
Delete tags ["tag1", "tag2" ] from organization with ID "123" | Entfernt Tags aus einer Organisation |
Call webhook with slug "air-generic-url-webhook" and data "192.168.1.100" and token "token123" | Ruft einen Webhook mit den angegebenen Parametern auf |
Post data to webhook with slug "air-generic-url-webhook" | Sendet eine POST-Anfrage mit den bereitgestellten Daten an einen Webhook |
Get task assignments for task with ID "task123" | Ruft alle Zuweisungen für eine bestimmte Aufgabe anhand ihrer ID ab |
Update banner message | Aktualisiert die Einstellungen für die Systembannernachricht |
You must be authenticated.
remote-capable server
The server can be hosted and run remotely because it primarily relies on remote services or has no dependency on the local environment.
Ein Node.js-Server, der das Model Context Protocol (MCP) implementiert, das eine natürliche Sprachinteraktion mit den digitalen Forensik- und Incident-Response-Funktionen von Binalyze AIR ermöglicht.