Servidor MCP de Binalyze AIR

Un servidor Node.js que implementa el Protocolo de Contexto de Modelo (MCP) para Binalyze AIR, lo que permite la interacción en lenguaje natural con las capacidades de respuesta a incidentes y análisis forense digital de AIR.

✨ Características

Gestión de activos : enumere los activos de su organización.
Detalles del activo : obtenga información detallada sobre un activo específico por su ID.
Tareas de activos : obtenga todas las tareas asociadas con un activo específico por su ID.
Perfiles de adquisición : enumera los perfiles de adquisición.
Tareas de adquisición : asigne tareas de adquisición de evidencia a los puntos finales.
Tareas de adquisición de imágenes : asigne tareas de adquisición de imágenes de disco a los puntos finales.
Adquisición de línea base : adquiera datos de línea base de puntos finales específicos para establecer un punto de referencia.
Comparar línea base : compare múltiples tareas de adquisición de línea base para un punto final específico para identificar cambios.
Obtener informe de comparación : recupere un informe de resultados de comparación para un punto final y una tarea específicos.
Crear perfiles de adquisición : cree nuevos perfiles de adquisición con configuraciones de evidencia/artefacto/red específicas.
Artefactos de adquisición : enumera los artefactos disponibles para la recopilación de evidencia.
Evidencias de adquisición : enumera los elementos de evidencia disponibles para la recopilación de datos forenses.
Tareas de reinicio : asigne tareas de reinicio a puntos finales específicos.
Tareas de apagado : asigne tareas de apagado a puntos finales específicos.
Tareas de aislamiento : aislar o desaislar puntos finales específicos.
Tareas de recuperación de registros : recupere registros de puntos finales específicos.
Tareas de actualización de versión : asigne tareas de actualización de versión a puntos finales específicos.
Gestión de organizaciones : enumerar organizaciones.
Gestión de casos : enumere los casos de su organización.
Gestión de políticas : consulte las políticas de seguridad de toda su organización.
Gestión de tareas : realice un seguimiento de las tareas de recopilación forense y sus estados.
Reglas de triaje : vea las reglas de YARA, Osquery y Sigma para la detección de amenazas.
Gestión de usuarios : enumere los usuarios de su organización.
Analizadores de drones : vea los analizadores de drones disponibles con sistemas operativos compatibles.
Exportación de registro de auditoría : inicia una exportación de registros de auditoría.
Listar registros de auditoría : ver registros de auditoría del sistema.
Desinstalar activos : desinstale activos específicos según filtros sin purgar datos.
Purgar y desinstalar activos : purgue datos y desinstale activos específicos según filtros.
Agregar etiquetas a activos : agregue etiquetas a activos específicos según filtros.
Eliminar etiquetas de activos : elimine etiquetas de activos específicos según filtros.
Etiquetado automático de activos : cree y actualice reglas para etiquetar activos automáticamente según condiciones específicas.
Listar etiquetas de activos automáticos : enumera todas las reglas de etiquetas de activos automáticos existentes.
Obtener detalles de etiquetas de activos automáticos : obtenga información detallada sobre una regla de etiqueta de activos automáticos específica por su ID.
Eliminar etiqueta de activo automática : elimina una regla de etiqueta de activo automática específica por su ID.
Iniciar etiquetado automático : inicia el proceso de etiquetado automático para los activos que coinciden con criterios de filtro específicos.
Patrones de descubrimiento electrónico : enumera los patrones de descubrimiento electrónico disponibles para detectar diferentes tipos de archivos.
Gestión de políticas : enumere, cree, actualice y elimine políticas en su organización.
Estadísticas de coincidencia de políticas : vea qué políticas se aplican a sus activos según diversos criterios.
Gestión de asignación de tareas : vea y administre las asignaciones de tareas.

Descripción general

Este servidor MCP crea un puente entre los Modelos de Lenguaje Grandes (LLM) y Binalyze AIR, lo que permite la interacción mediante lenguaje natural. Recupere información sobre su entorno de análisis forense digital sin necesidad de escribir código ni aprender API complejas.

🔑 Requisito de token API

Importante: Se requiere un token de API para la autenticación. Configúrelo mediante la variable de entorno AIR_API_TOKEN .

📦 Instalación

Desarrollo local

# Clone the repository
git clone https://github.com/binalyze/air-mcp

# Change to the project directory
cd air-mcp

# Install dependencies
npm install

# Build the project
npm run build

Uso con Claude Desktop

Agregue la siguiente configuración a su archivo de configuración de Claude Desktop:

{
  "mcpServers": {
    "air-mcp": {
      "command": "npx",
      "args": ["-y", "@binalyze/air-mcp"],
      "env": {
        "AIR_HOST": "your-api-host.com",
        "AIR_API_TOKEN": "your-api-token"
      }
    }
  }
}

Uso con cursor

Vaya a Configuración del cursor > MCP
Agregue un nuevo servidor MCP con la siguiente configuración:
{ "mcpServers": { "air-mcp": { "command": "npx", "args": ["-y", "@binalyze/air-mcp"], "env": { "AIR_HOST": "your-api-host.com", "AIR_API_TOKEN": "your-api-token" } } } }

🧩 Uso con herrería

Nota: No olvides activar el modo Agente en tu editor.

Comandos de instalación de una línea

Claude

npx -y @smithery/cli@latest install @binalyze/air-mcp --client claude --key {smithery_key}

Cursor

npx -y @smithery/cli@latest install @binalyze/air-mcp --client cursor --key {smithery_key}

Windsurf

npx -y @smithery/cli@latest install@rapidappio/rapidapp-mcp --client windsurf --key {smithery_key}

VSCode

npx -y @smithery/cli@latest install @binalyze/air-mcp --client vscode --key {smithery_key}

O utilice la opción Magic Link en VSCode.

Cómo utilizar

En Claude Desktop o cualquier cliente MCP, puedes usar comandos en lenguaje natural:

Dominio	Descripción
`List all assets in the system`	Muestra todos los puntos finales administrados y no administrados con información del sistema operativo y la plataforma.
`Get details about asset with ID "abc123"`	Muestra información detallada sobre un activo específico
`Get tasks for asset with ID "abc123"`	Muestra todas las tareas asociadas con un activo específico
`List all acquisition profiles`	Muestra los perfiles de adquisición disponibles
`Get acquisition profile details by ID`	Muestra información detallada sobre un perfil de adquisición específico, incluida evidencia y artefactos.
`List all acquisition artifacts`	Muestra todos los artefactos disponibles para la recopilación de evidencia, organizados por plataforma y categoría.
`List all acquisition evidences`	Muestra todos los elementos de evidencia disponibles para la recopilación de datos forenses, organizados por plataforma y categoría.
`Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001"`	Asigna una tarea de adquisición de evidencia a uno o más puntos finales específicos
`Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def`	Asigna una tarea de adquisición de imágenes de disco a un punto final y volumen específicos, guardándolas en un repositorio especificado
`Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"]`	Crea un nuevo perfil de adquisición con la configuración especificada
`Reboot endpoint 123abc`	Asigna una tarea de reinicio a un punto final específico
`Shutdown endpoint 123abc`	Asigna una tarea de apagado a un punto final específico
`Isolate endpoint 123abc`	Asigna una tarea de aislamiento a un punto final específico
`Unisolate endpoint 123abc`	Elimina el aislamiento de un punto final específico
`Retrieve logs from endpoint 123abc`	Asigna una tarea de recuperación de registros a un punto final específico
`Update version for endpoint 123abc`	Asigna una tarea de actualización de versión a un punto final específico
`List all organizations`	Muestra todas las organizaciones en entornos
`List all cases`	Muestra casos con estado y hora de creación.
`List all policies`	Muestra políticas de seguridad y políticas de recopilación.
`List all tasks`	Enumera todas las tareas con sus estados.
`List all triage rules`	Muestra las reglas de YARA, OSQuery y Sigma para la detección de amenazas
`List all users`	Muestra todos los usuarios en el sistema con sus detalles.
`List all drone analyzers`	Muestra los analizadores de drones disponibles con sistemas operativos compatibles
`Export audit logs`	Inicia la exportación de registros de auditoría. La exportación se ejecuta en segundo plano en el servidor AIR.
`List audit logs`	Muestra registros de auditoría con detalles como marca de tiempo, usuario, acción y entidad.
`Uninstall asset with ID "endpoint-id"`	Desinstala el activo especificado sin purgar datos (requiere proporcionar `filter.includedEndpointIds` )
`Purge and uninstall asset with ID "endpoint-id"`	Purga los datos y desinstala el activo especificado (requiere proporcionar `filter.includedEndpointIds` )
`Add tags ["tag1", "tag2"] to asset with ID "endpoint-id"`	Agrega etiquetas específicas a los activos de destino (requiere proporcionar `filter.includedEndpointIds` y `tags` )
`Remove tags ["tag1"] from asset with ID "endpoint-id"`	Elimina las etiquetas especificadas de los activos de destino (requiere proporcionar `filter.includedEndpointIds` y `tags` )
`Create an auto asset tag named "Web Server"`	Crea una nueva regla para etiquetar automáticamente los activos según las condiciones.
`Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running`	Actualiza una regla de etiqueta de activo automático existente con nuevas condiciones.
`List all auto asset tag rules`	Enumera todas las reglas de etiquetado de activos automáticos existentes con sus configuraciones.
`Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"`	Muestra información detallada sobre una regla de etiqueta de activo automático específica.
`Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"`	Elimina una regla de etiqueta de activo automático específica por su ID.
`Start auto tagging for windows machines`	Inicia el proceso de etiquetado automático para los activos de Windows que coinciden con los criterios especificados.
`Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"]`	Adquiere datos de referencia de puntos finales específicos para un ID de caso determinado.
`Compare baselines for endpoint "id1" with task IDs ["task1", "task2"]`	Compara múltiples tareas de adquisición de línea base para un punto final específico para identificar cambios.
`Get comparison report for endpoint "id1" and task "task1"`	Recupera el informe de resultados de comparación para un punto final y una tarea de comparación específicos.
`List all e-discovery patterns`	Muestra todos los patrones de descubrimiento electrónico disponibles para la detección del tipo de archivo
`Create a policy named "Production Policy" with specific storage settings`	Crea una nueva política con configuraciones personalizadas
`Update policy with ID "abc123"`	Actualiza una política existente con nuevas configuraciones
`Get policy details for ID "System"`	Muestra información detallada sobre una política específica
`Update policy priorities to ["policy1", "policy2", "policy3"]`	Actualiza el orden de aplicación de las políticas
`Show policy match statistics`	Muestra cuántos puntos finales coinciden con cada política
`Get policy distribution for Windows endpoints`	Muestra coincidencias de políticas filtradas por plataforma
`Get policy match stats for offline endpoints`	Muestra las coincidencias de políticas para los activos sin conexión
`Delete policy with ID "abc123"`	Elimina permanentemente una política del sistema
`Get all assignments for task with ID "def456"`	Muestra todas las asignaciones asociadas con una tarea específica
`Cancel task assignment with ID "xyz789"`	Cancela una asignación de tarea específica
`Delete task assignment with ID "xyz789"`	Elimina permanentemente una asignación de tarea
`Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024"`	Muestra información detallada sobre una tarea específica, incluidos los tipos de evidencia y la configuración.
`Cancel task with ID "abc123"`	Cancela una tarea en ejecución con el ID especificado
`Delete task with ID "abc123"`	Elimina permanentemente una tarea específica

Visualización de artefactos de adquisición

Puede enumerar todos los artefactos de adquisición disponibles para la recopilación de evidencia:

List all acquisition artifacts
Show me all available artifacts for Windows
What artifacts can be collected for evidence?

Esto mostrará una lista categorizada de artefactos que se pueden recopilar durante una tarea de adquisición, organizada por plataforma (Windows, Linux, macOS, etc.) y categorías de grupo (Servidor, Comunicación, Nube, etc.).

Visualización de evidencias de adquisición

Puede enumerar todos los elementos de evidencia disponibles para la recopilación de datos forenses:

List all acquisition evidences
Show me all available evidences for Windows
What evidences can be collected during an investigation?

Esto mostrará una lista categorizada de elementos de evidencia que se pueden recopilar durante una investigación forense, organizada por plataforma (Windows, Linux, macOS, etc.) y categorías de grupo (Sistema, Red, Memoria, etc.).

Visualización de patrones de descubrimiento electrónico

Puede enumerar todos los patrones de descubrimiento electrónico disponibles para la detección del tipo de archivo:

List all e-discovery patterns
Show me all file patterns for e-discovery
What file patterns are available for e-discovery?

Filtrado por organización

Puede filtrar los resultados por ID de organización:

List all assets for organization 123
Show me all cases for organization 456
Get policies for organization 789
List tasks for organization 123
List triage rules for organization 123
List users for organization 123
Export audit logs for organization 0
List audit logs for organization 0

Obtener detalles de los activos

Puede recuperar información detallada sobre un activo específico:

Get details for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me information about endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"

Obtener tareas de activos

Puede recuperar todas las tareas asociadas con un activo específico:

Get tasks for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me the tasks assigned to endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
What tasks are currently running on asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"

Asignación de tareas de adquisición

Puede asignar tareas de adquisición de evidencia a puntos finales específicos:

Assign an acquisition task to endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" using profile "full" for case "C-2022-0001"
Start an acquisition on endpoints ["id1", "id2"] with profile "memory" for case "C-2023-0045" with analyzers ["bha", "wsa"]

Asignación de tareas de adquisición de imágenes

Puede asignar tareas de adquisición de imágenes de disco a puntos finales y volúmenes específicos:

Assign an image acquisition task to endpoint "7a37cfdb-..." for volume "/dev/disk3s5" saving to repository "Q2gCVO..." with case ID "C-2024-0123"
Assign image task for endpoint "ep-id-1" volumes ["/dev/sda1", "/dev/sda2"] and endpoint "ep-id-2" volume "C:" to repository "repo-xyz"

Asignación de tareas de reinicio

Puede asignar tareas de reinicio a puntos finales específicos:

Reboot endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a reboot task to endpoints ["id1", "id2"] for organization 123

Asignación de tareas de apagado

Puede asignar tareas de apagado a puntos finales específicos:

Shutdown endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a shutdown task to endpoints ["id1", "id2"] for organization 123

Asignación de tareas de aislamiento

Puede aislar o desaislar puntos finales específicos:

Isolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign an isolation task to endpoints ["id1", "id2"] for organization 123
Unisolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" (by setting enabled=false)
Assign an unisolation task to endpoints ["id1", "id2"] with enabled=false

Asignación de tareas de recuperación de registros

Puede recuperar registros de puntos finales específicos:

Retrieve logs from endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with organization ID 0
Assign a log retrieval task to endpoints ["id1", "id2"] for organization 123

Nota: Especifique siempre el ID de la organización al asignar tareas de recuperación de registros. El punto final debe existir en la organización especificada.

Asignación de tareas de actualización de versiones

Puede asignar tareas de actualización de versión a puntos finales específicos:

Update version for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a version update task to endpoints ["id1", "id2"] for organization 123

Desinstalación de activos

Puedes desinstalar recursos sin purgar sus datos mediante filtros. Debes especificar los ID exactos de los recursos que se desinstalarán mediante filter.includedEndpointIds .

Uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Uninstall assets with IDs ["id1", "id2"] for organization 0

Purgar y desinstalar activos

Puede purgar datos de activos y desinstalarlos mediante filtros. Debe especificar los ID exactos de los activos que desea purgar y desinstalar mediante filter.includedEndpointIds .

Purge and uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Purge and uninstall assets with IDs ["id1", "id2"] for organization 0

Agregar etiquetas a los activos

Puedes agregar etiquetas a activos específicos mediante filtros. Debes especificar los ID exactos de los activos a los que se agregarán etiquetas mediante filter.includedEndpointIds y proporcionar al menos una etiqueta en la matriz tags .

Add tags ["important", "review-needed"] to asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Add tag "critical" to assets with IDs ["id1", "id2"] for organization 0

Eliminar etiquetas de los activos

Puedes eliminar etiquetas de activos específicos mediante filtros. Debes especificar los ID exactos de los activos de los que se eliminarán las etiquetas mediante filter.includedEndpointIds y proporcionar al menos una etiqueta en la matriz tags .

Remove tags ["obsolete"] from asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Remove tag "needs-review" from assets with IDs ["id1", "id2"] for organization 0

Creación de reglas de etiquetas de activos automáticas

Puedes definir reglas para etiquetar automáticamente activos según las condiciones en diferentes sistemas operativos. Describe el nombre de la etiqueta y las condiciones para Linux, Windows y macOS.

Create an auto asset tag named "Web Server"
- For Linux: if process "apache2" is running OR process "nginx" is running
- For Windows: if process "httpd.exe" is running OR process "nginx.exe" is running
- For macOS: if process "httpd" is running

Create auto asset tag "Domain Controller" if windows registry key "HKLM\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters" exists

Obtener detalles de la etiqueta de activos automáticos

Puede recuperar información detallada sobre una regla de etiqueta de activo automático específica por su ID:

Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Show me details about the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Fetch information about auto asset tag "f6kEPhpqMNqJeHfi4RyxiWEm"

Eliminar la etiqueta de activo automático

Puede eliminar una regla de etiqueta de activo automática por su ID:

Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Remove the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Delete the auto asset tagging rule "f6kEPhpqMNqJeHfi4RyxiWEm"

Reglas para la etiqueta de activos automáticos

Puede enumerar todas las reglas de etiquetas de activos automáticas configuradas para ver sus identificaciones, etiquetas y condiciones.

List all auto asset tags
Show me the auto asset tag rules

Inicio del proceso de etiquetado automático de activos

Puede iniciar el proceso de etiquetado automático para activos que coincidan con criterios de filtro específicos.

Start auto tagging for all Windows assets
Start tagging for managed Windows endpoints
Initiate auto tagging process for assets with platform "linux"
Start auto tagging for endpoints with IDs ["id1", "id2"]

Adquisición de línea base

Puede obtener datos de referencia de puntos finales específicos proporcionando un ID de caso y criterios de filtrado. Las líneas base establecen un punto de referencia para la comparación en investigaciones forenses.

Acquire baseline for case "C-2022-001" from endpoints ["0ccbb181-685c-4f1e-982a-6f7c7e88eadd", "7a37cfdb-..."]
Get baseline data for case "C-2023-042" from all Windows endpoints
Acquire baseline for online endpoints with case ID "C-2024-099"
Collect baseline from managed endpoints with IDs ["id1", "id2", "id3"] for case "C-2024-100"

Comparación de tareas de adquisición de línea base

Puede comparar múltiples tareas de adquisición de línea base para un punto final específico para identificar cambios a lo largo del tiempo o entre diferentes estados del sistema:

Compare baselines for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with task IDs ["task1", "task2"]
Compare baseline tasks ["task-id-1", "task-id-2", "task-id-3"] for endpoint "7a37cfdb-..."
Create baseline comparison between tasks "pre-update-task-id" and "post-update-task-id" for endpoint "bc906dea-..."

Obtener informe de comparación

Puede recuperar el informe de resultados de comparación para un punto final y una tarea de comparación específicos:

Get comparison report for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" and task "task1"
Show me the comparison result for endpoint "7a37cfdb-..." and task "comparison-task-id"
Download the baseline comparison report for endpoint "bc906dea-..." task "task-xyz"

Creación de políticas

Puede crear nuevas políticas con configuraciones específicas de almacenamiento, compresión y seguridad:

Create a policy named "Dev Policy" with:
Windows storage at C:\Binalyze\AIR
Linux storage at /opt/binalyze/air
macOS storage at /opt/binalyze/air
Compression enabled
Encryption enable with password "secure123"

Visualización de asignaciones de tareas

Puede comprobar el estado de las asignaciones de tareas:

Show me all assignments for task abc-123-456

Install Server

HTTP connection URL

security – no known vulnerabilities

license - permissive license

quality - confirmed to work

How are these scores calculated?

remote-capable server

The server can be hosted and run remotely because it primarily relies on remote services or has no dependency on the local environment.

Un servidor Node.js que implementa el Protocolo de Contexto de Modelo (MCP) que permite la interacción en lenguaje natural con las capacidades de respuesta a incidentes y análisis forense digital de Binalyze AIR.

Related Resources

Reddit Discussion about this server

Related MCP Servers

aws-mcp
RafalWilinski
A
security
F
license
A
quality
A Model Context Protocol (MCP) server that enables AI assistants like Claude to interact with your AWS environment. This allows for natural language querying and management of your AWS resources during conversations. Think of better Amazon Q alternative.
Last updated -
3
264
TypeScript
mcp-hn
erithwik
A
security
A
license
A
quality
A Model Context Protocol (MCP) server that provides tools for searching and fetching information from Hacker News.
Last updated -
4
6
Python
MIT License
Redash MCP Server
suthio
A
security
F
license
A
quality
Model Context Protocol (MCP) server that integrates Redash with AI assistants like Claude, allowing them to query data, manage visualizations, and interact with dashboards through natural language.
Last updated -
10
104
21
JavaScript
HWP MCP Server
jkf87
-
security
F
license
-
quality
A Node.js server that implements Model Context Protocol (MCP) for controlling HWP (Korean word processor) documents, allowing AI assistants like Claude to create and manipulate Hangul documents.
Last updated -
116
Python

View all related MCP servers

Appeared in Searches

A platform for IoT or industrial applications working with real assets