Binalyze AIR MCP サーバー
Binalyze AIR 用の**Model Context Protocol (MCP)**を実装する Node.js サーバー。AIR のデジタル フォレンジックおよびインシデント対応機能との自然言語による対話を可能にします。
✨ 特徴
- 資産管理- 組織内の資産を一覧表示します。
- 資産の詳細- ID によって特定の資産の詳細情報を取得します。
- 資産タスク- 特定の資産に関連付けられているすべてのタスクを ID で取得します。
- 取得プロファイル- 取得プロファイルを一覧表示します。
- 取得タスク- エンドポイントに証拠取得タスクを割り当てます。
- イメージ取得タスク- エンドポイントにディスク イメージ取得タスクを割り当てます。
- ベースライン取得- 特定のエンドポイントからベースライン データを取得して、参照ポイントを確立します。
- ベースラインの比較- 特定のエンドポイントの複数のベースライン取得タスクを比較して、変更を識別します。
- 比較レポートの取得- 特定のエンドポイントとタスクの比較結果レポートを取得します。
- 取得プロファイルの作成- 特定の証拠/アーティファクト/ネットワーク設定を使用して新しい取得プロファイルを作成します。
- 取得アーティファクト- 証拠収集に使用可能なアーティファクトを一覧表示します。
- 取得証拠- 法医学データ収集に利用可能な証拠項目をリストします。
- 再起動タスク- 特定のエンドポイントに再起動タスクを割り当てます。
- シャットダウン タスク- 特定のエンドポイントにシャットダウン タスクを割り当てます。
- 分離タスク- 特定のエンドポイントを分離または分離解除します。
- ログ取得タスク- 特定のエンドポイントからログを取得します。
- バージョン更新タスク- 特定のエンドポイントにバージョン更新タスクを割り当てます。
- 組織管理- 組織を一覧表示します。
- ケース管理- 組織内のケースを一覧表示します。
- ポリシー管理- 組織全体のセキュリティ ポリシーを確認します。
- タスク管理- フォレンジック収集タスクとそのステータスを追跡します。
- トリアージ ルール- 脅威検出のための YARA、Osquery、および Sigma ルールを表示します。
- ユーザー管理- 組織内のユーザーを一覧表示します。
- ドローン アナライザー- サポートされているオペレーティング システムで利用可能なドローン アナライザーを表示します。
- 監査ログのエクスポート- 監査ログのエクスポートを開始します。
- 監査ログの一覧表示- システムからの監査ログを表示します。
- アセットのアンインストール- データを消去せずに、フィルターに基づいて特定のアセットをアンインストールします。
- 資産の消去とアンインストール- フィルターに基づいてデータを消去し、特定の資産をアンインストールします。
- アセットにタグを追加- フィルターに基づいて特定のアセットにタグを追加します。
- アセットからタグを削除- フィルターに基づいて特定のアセットからタグを削除します。
- 自動資産タグ付け- 特定の条件に基づいて資産に自動的にタグを付けるルールを作成および更新します。
- 自動資産タグの一覧表示- 既存の自動資産タグ ルールをすべて一覧表示します。
- 自動資産タグの詳細を取得- ID によって特定の自動資産タグ ルールの詳細情報を取得します。
- 自動資産タグの削除- ID によって特定の自動資産タグ ルールを削除します。
- 自動タグ付けを開始- 特定のフィルター条件に一致するアセットの自動タグ付けプロセスを開始します。
- 電子情報開示パターン- さまざまなファイル タイプを検出するために使用できる電子情報開示パターンを一覧表示します。
- ポリシー管理- 組織内のポリシーを一覧表示、作成、更新、削除します。
- ポリシー一致統計- さまざまな基準に基づいて、資産に適用されるポリシーを確認します。
- タスク割り当て管理- タスクの割り当てを表示および管理します。
概要
このMCPサーバーは**、大規模言語モデル(LLM)**とBinalyze AIRの間にブリッジを作成し、自然言語によるインタラクションを可能にします。コードを書いたり複雑なAPIを習得したりすることなく、デジタルフォレンジック環境に関する情報を取得できます。
🔑 APIトークンの要件
**重要:**認証にはAPIトークンAIR_API_TOKEN必要です。AIR_API_TOKEN環境変数を使用して設定してください。
📦 インストール
地域開発
# Clone the repository
git clone https://github.com/binalyze/air-mcp
# Change to the project directory
cd air-mcp
# Install dependencies
npm install
# Build the project
npm run build
Claude Desktopでの使用
Claude Desktop 構成ファイルに次の構成を追加します。
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
カーソルとの使用
- カーソル設定 > MCP に移動します
- 次の構成で新しい MCP サーバーを追加します。
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
🧩 Smithery での使用
**注意:**エディターでエージェント モードを有効にすることを忘れないでください。
ワンラインインストールコマンド
クロード
npx -y @smithery/cli@latest install @binalyze/air-mcp --client claude --key {smithery_key}
カーソル
npx -y @smithery/cli@latest install @binalyze/air-mcp --client cursor --key {smithery_key}
ウィンドサーフィン
npx -y @smithery/cli@latest install@rapidappio/rapidapp-mcp --client windsurf --key {smithery_key}
VSコード
npx -y @smithery/cli@latest install @binalyze/air-mcp --client vscode --key {smithery_key}
または、VSCode の Magic Link オプションを使用します。
使い方
Claude Desktop または任意の MCP クライアントでは、自然言語コマンドを使用できます。
| 指示 | 説明 |
|---|
List all assets in the system | すべての管理対象/管理対象外エンドポイントを OS、プラットフォーム情報とともに表示します |
Get details about asset with ID "abc123" | 特定の資産に関する詳細情報を表示します |
Get tasks for asset with ID "abc123" | 特定の資産に関連付けられたすべてのタスクを表示します |
List all acquisition profiles | 利用可能な取得プロファイルを表示します |
Get acquisition profile details by ID | 証拠や成果物を含む特定の取得プロファイルに関する詳細情報を表示します。 |
List all acquisition artifacts | 証拠収集に利用可能なすべてのアーティファクトをプラットフォームとカテゴリ別に表示します |
List all acquisition evidences | プラットフォームとカテゴリ別に整理された、フォレンジックデータ収集に利用可能なすべての証拠項目を表示します。 |
Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001" | 指定されたエンドポイントに証拠取得タスクを割り当てます |
Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def | 特定のエンドポイントとボリュームにディスクイメージ取得タスクを割り当て、指定されたリポジトリに保存します。 |
Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"] | 指定された構成で新しい取得プロファイルを作成します |
Reboot endpoint 123abc | 特定のエンドポイントに再起動タスクを割り当てます |
Shutdown endpoint 123abc | 特定のエンドポイントにシャットダウンタスクを割り当てます |
Isolate endpoint 123abc | 特定のエンドポイントに分離タスクを割り当てます |
Unisolate endpoint 123abc | 特定のエンドポイントからの分離を削除します |
Retrieve logs from endpoint 123abc | 特定のエンドポイントにログ取得タスクを割り当てます |
Update version for endpoint 123abc | 特定のエンドポイントにバージョン更新タスクを割り当てます |
List all organizations | 環境内のすべての組織を表示します |
List all cases | ケースをステータスと作成時間とともに表示します |
List all policies | セキュリティポリシーと収集ポリシーを表示します |
List all tasks | すべてのタスクとそのステータスを一覧表示します |
List all triage rules | 脅威検出のためのYARA、OSQuery、Sigmaルールを表示します |
List all users | システム内のすべてのユーザーの詳細を表示します |
List all drone analyzers | サポートされているオペレーティングシステムで利用可能なドローンアナライザーを表示します |
Export audit logs | 監査ログのエクスポートを開始します。エクスポートはAIRサーバー上でバックグラウンドで実行されます。 |
List audit logs | タイムスタンプ、ユーザー、アクション、エンティティなどの詳細を含む監査ログを表示します。 |
Uninstall asset with ID "endpoint-id" | データを消去せずに指定されたアセットをアンインストールします( filter.includedEndpointIdsを指定する必要があります) |
Purge and uninstall asset with ID "endpoint-id" | データを消去し、指定されたアセットをアンインストールします ( filter.includedEndpointIds指定する必要があります) |
Add tags ["tag1", "tag2"] to asset with ID "endpoint-id" | 指定されたタグを対象のアセットに追加します( filter.includedEndpointIdsとtagsを指定する必要があります) |
Remove tags ["tag1"] from asset with ID "endpoint-id" | 対象のアセットから指定されたタグを削除します( filter.includedEndpointIdsとtagsを指定する必要があります) |
Create an auto asset tag named "Web Server" | 条件に基づいて資産に自動的にタグを付ける新しいルールを作成します。 |
Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running | 既存の自動資産タグ ルールを新しい条件で更新します。 |
List all auto asset tag rules | 既存のすべての自動資産タグ ルールとその構成を一覧表示します。 |
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 特定の自動資産タグ ルールに関する詳細情報を表示します。 |
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 特定の自動資産タグ ルールを ID で削除します。 |
Start auto tagging for windows machines | 指定された条件に一致する Windows アセットの自動タグ付けプロセスを開始します。 |
Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"] | 指定されたケース ID の指定されたエンドポイントからベースライン データを取得します。 |
Compare baselines for endpoint "id1" with task IDs ["task1", "task2"] | 特定のエンドポイントの複数のベースライン取得タスクを比較して、変更を識別します。 |
Get comparison report for endpoint "id1" and task "task1" | 特定のエンドポイントと比較タスクの比較結果レポートを取得します。 |
List all e-discovery patterns | ファイルタイプ検出に利用可能なすべての電子情報開示パターンを表示します |
Create a policy named "Production Policy" with specific storage settings | カスタム設定で新しいポリシーを作成します |
Update policy with ID "abc123" | 既存のポリシーを新しい設定で更新します |
Get policy details for ID "System" | 特定のポリシーに関する詳細情報を表示します |
Update policy priorities to ["policy1", "policy2", "policy3"] | ポリシー適用の順序を更新します |
Show policy match statistics | 各ポリシーに一致するエンドポイントの数を表示します |
Get policy distribution for Windows endpoints | プラットフォーム別にフィルタリングされたポリシー一致を表示します |
Get policy match stats for offline endpoints | オフライン資産のポリシー一致を表示します |
Delete policy with ID "abc123" | システムからポリシーを永久に削除します |
Get all assignments for task with ID "def456" | 特定のタスクに関連付けられたすべての割り当てを表示します |
Cancel task assignment with ID "xyz789" | 特定のタスクの割り当てをキャンセルします |
Delete task assignment with ID "xyz789" | タスクの割り当てを完全に削除します |
Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024" | 証拠の種類や構成など、特定のタスクに関する詳細情報を表示します。 |
Cancel task with ID "abc123" | 指定されたIDの実行中のタスクをキャンセルします |
Delete task with ID "abc123" | 特定のタスクを完全に削除します |
取得アーティファクトの表示
証拠収集に使用できるすべての取得アーティファクトを一覧表示できます。
List all acquisition artifacts
Show me all available artifacts for Windows
What artifacts can be collected for evidence?
これにより、取得タスク中に収集できる成果物の分類されたリストが、プラットフォーム (Windows、Linux、macOS など) およびグループ カテゴリ (サーバー、通信、クラウドなど) 別に表示されます。
取得証拠の閲覧
法医学データ収集に利用可能なすべての証拠項目を一覧表示できます。
List all acquisition evidences
Show me all available evidences for Windows
What evidences can be collected during an investigation?
これにより、フォレンジック調査中に収集できる証拠項目の分類されたリストが、プラットフォーム (Windows、Linux、macOS など) およびグループ カテゴリ (システム、ネットワーク、メモリなど) 別に表示されます。
電子情報開示パターンの表示
ファイル タイプ検出に使用できるすべての電子情報開示パターンを一覧表示できます。
List all e-discovery patterns
Show me all file patterns for e-discovery
What file patterns are available for e-discovery?
組織によるフィルタリング
組織 ID で結果をフィルタリングできます。
List all assets for organization 123
Show me all cases for organization 456
Get policies for organization 789
List tasks for organization 123
List triage rules for organization 123
List users for organization 123
Export audit logs for organization 0
List audit logs for organization 0
資産の詳細を取得する
特定の資産に関する詳細情報を取得できます。
Get details for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me information about endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
資産タスクの取得
特定のアセットに関連付けられているすべてのタスクを取得できます。
Get tasks for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me the tasks assigned to endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
What tasks are currently running on asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
取得タスクの割り当て
証拠取得タスクを特定のエンドポイントに割り当てることができます。
Assign an acquisition task to endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" using profile "full" for case "C-2022-0001"
Start an acquisition on endpoints ["id1", "id2"] with profile "memory" for case "C-2023-0045" with analyzers ["bha", "wsa"]
画像取得タスクの割り当て
ディスク イメージ取得タスクを特定のエンドポイントとボリュームに割り当てることができます。
Assign an image acquisition task to endpoint "7a37cfdb-..." for volume "/dev/disk3s5" saving to repository "Q2gCVO..." with case ID "C-2024-0123"
Assign image task for endpoint "ep-id-1" volumes ["/dev/sda1", "/dev/sda2"] and endpoint "ep-id-2" volume "C:" to repository "repo-xyz"
再起動タスクの割り当て
特定のエンドポイントに再起動タスクを割り当てることができます。
Reboot endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a reboot task to endpoints ["id1", "id2"] for organization 123
シャットダウンタスクの割り当て
シャットダウン タスクを特定のエンドポイントに割り当てることができます。
Shutdown endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a shutdown task to endpoints ["id1", "id2"] for organization 123
分離タスクの割り当て
特定のエンドポイントを分離したり分離解除したりできます。
Isolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign an isolation task to endpoints ["id1", "id2"] for organization 123
Unisolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" (by setting enabled=false)
Assign an unisolation task to endpoints ["id1", "id2"] with enabled=false
ログ取得タスクの割り当て
特定のエンドポイントからログを取得できます。
Retrieve logs from endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with organization ID 0
Assign a log retrieval task to endpoints ["id1", "id2"] for organization 123
注: ログ取得タスクを割り当てる際は、必ず組織IDを指定してください。エンドポイントは指定された組織内に存在している必要があります。
バージョン更新タスクの割り当て
特定のエンドポイントにバージョン更新タスクを割り当てることができます。
Update version for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a version update task to endpoints ["id1", "id2"] for organization 123
アセットのアンインストール
フィルターを使用すると、データを削除せずにアセットをアンインストールできます。アンインストールするアセットの正確なIDを、 filter.includedEndpointIdsで指定する必要があります。
Uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Uninstall assets with IDs ["id1", "id2"] for organization 0
資産の削除とアンインストール
フィルターを使用して、アセットデータをパージしたり、アセットをアンインストールしたりできます。パージおよびアンインストールするアセットの正確なIDを、 filter.includedEndpointIdsで指定する必要があります。
Purge and uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Purge and uninstall assets with IDs ["id1", "id2"] for organization 0
アセットにタグを追加する
フィルターを使用して、特定のアセットにタグを追加できます。タグを追加するアセットの正確なIDをfilter.includedEndpointIdsで指定し、 tags配列に少なくとも1つのタグを指定する必要があります。
Add tags ["important", "review-needed"] to asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Add tag "critical" to assets with IDs ["id1", "id2"] for organization 0
アセットからタグを削除する
フィルターを使用して、特定のアセットからタグを削除できます。タグを削除するアセットの正確なIDをfilter.includedEndpointIdsで指定し、 tags配列に少なくとも1つのタグを指定する必要があります。
Remove tags ["obsolete"] from asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Remove tag "needs-review" from assets with IDs ["id1", "id2"] for organization 0
自動資産タグルールの作成
異なるオペレーティングシステム間で、条件に基づいてアセットを自動的にタグ付けするルールを定義できます。Linux、Windows、macOSのタグ名と条件を記述してください。
Create an auto asset tag named "Web Server"
- For Linux: if process "apache2" is running OR process "nginx" is running
- For Windows: if process "httpd.exe" is running OR process "nginx.exe" is running
- For macOS: if process "httpd" is running
Create auto asset tag "Domain Controller" if windows registry key "HKLM\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters" exists
自動資産タグの詳細を取得する
特定の自動資産タグ ルールに関する詳細情報を、ID で取得できます。
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Show me details about the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Fetch information about auto asset tag "f6kEPhpqMNqJeHfi4RyxiWEm"
自動資産タグの削除
自動資産タグ ルールは ID で削除できます。
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Remove the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Delete the auto asset tagging rule "f6kEPhpqMNqJeHfi4RyxiWEm"
自動資産タグルールの一覧表示
設定されているすべての自動資産タグ ルールを一覧表示して、その ID、タグ、条件を確認できます。
List all auto asset tags
Show me the auto asset tag rules
自動資産タグ付けプロセスの開始
特定のフィルター条件に一致するアセットに対して自動タグ付けプロセスを開始できます。
Start auto tagging for all Windows assets
Start tagging for managed Windows endpoints
Initiate auto tagging process for assets with platform "linux"
Start auto tagging for endpoints with IDs ["id1", "id2"]
ベースラインの取得
ケースIDとフィルター条件を指定することで、特定のエンドポイントからベースラインデータを取得できます。ベースラインは、フォレンジック調査における比較のための基準点となります。
Acquire baseline for case "C-2022-001" from endpoints ["0ccbb181-685c-4f1e-982a-6f7c7e88eadd", "7a37cfdb-..."]
Get baseline data for case "C-2023-042" from all Windows endpoints
Acquire baseline for online endpoints with case ID "C-2024-099"
Collect baseline from managed endpoints with IDs ["id1", "id2", "id3"] for case "C-2024-100"
ベースライン取得タスクの比較
特定のエンドポイントの複数のベースライン取得タスクを比較して、時間の経過に伴う変化や異なるシステム状態間の変化を識別できます。
Compare baselines for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with task IDs ["task1", "task2"]
Compare baseline tasks ["task-id-1", "task-id-2", "task-id-3"] for endpoint "7a37cfdb-..."
Create baseline comparison between tasks "pre-update-task-id" and "post-update-task-id" for endpoint "bc906dea-..."
比較レポートの取得
特定のエンドポイントと比較タスクの比較結果レポートを取得できます。
Get comparison report for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" and task "task1"
Show me the comparison result for endpoint "7a37cfdb-..." and task "comparison-task-id"
Download the baseline comparison report for endpoint "bc906dea-..." task "task-xyz"
ポリシーの作成
特定のストレージ、圧縮、セキュリティ設定を使用して新しいポリシーを作成できます。
Create a policy named "Dev Policy" with:
Windows storage at C:\Binalyze\AIR
Linux storage at /opt/binalyze/air
macOS storage at /opt/binalyze/air
Compression enabled
Encryption enable with password "secure123"
タスクの割り当ての表示
タスクの割り当てのステータスを確認できます。
Show me all assignments for task abc-123-456