Binalyze AIR MCP 서버
Binalyze AIR을 위한 모델 컨텍스트 프로토콜(MCP)을 구현하는 Node.js 서버로, AIR의 디지털 포렌식 및 사고 대응 기능과 자연어 상호작용을 가능하게 합니다.
✨ 특징
- 자산 관리 - 조직의 자산을 나열하세요.
- 자산 세부 정보 - ID로 특정 자산에 대한 자세한 정보를 얻습니다.
- 자산 작업 - ID로 특정 자산과 관련된 모든 작업을 가져옵니다.
- 인수 프로필 - 인수 프로필을 나열합니다.
- 수집 작업 - 엔드포인트에 증거 수집 작업을 할당합니다.
- 이미지 수집 작업 - 엔드포인트에 디스크 이미지 수집 작업을 할당합니다.
- 기준선 수집 - 특정 엔드포인트에서 기준선 데이터를 수집하여 기준점을 설정합니다.
- 기준선 비교 - 특정 종료점에 대한 여러 기준선 획득 작업을 비교하여 변경 사항을 식별합니다.
- 비교 보고서 가져오기 - 특정 엔드포인트 및 작업에 대한 비교 결과 보고서를 검색합니다.
- 수집 프로필 생성 - 특정 증거/아티팩트/네트워크 설정을 사용하여 새로운 수집 프로필을 생성합니다.
- 수집 유물 - 증거 수집에 사용할 수 있는 유물을 나열합니다.
- 수집 증거 - 법의학 데이터 수집을 위해 사용 가능한 증거 항목을 나열합니다.
- 재부팅 작업 - 특정 엔드포인트에 재부팅 작업을 할당합니다.
- 종료 작업 - 특정 엔드포인트에 종료 작업을 할당합니다.
- 격리 작업 - 특정 엔드포인트를 격리하거나 격리를 해제합니다.
- 로그 검색 작업 - 특정 엔드포인트에서 로그를 검색합니다.
- 버전 업데이트 작업 - 특정 엔드포인트에 버전 업데이트 작업을 할당합니다.
- 조직 관리 - 조직을 나열합니다.
- 사례 관리 - 조직의 사례를 나열하세요.
- 정책 관리 - 조직 전반의 보안 정책을 확인하세요.
- 업무 관리 - 법의학적 수집 업무와 그 상태를 추적합니다.
- 분류 규칙 - 위협 탐지를 위한 YARA, Osquery 및 Sigma 규칙을 확인하세요.
- 사용자 관리 - 조직의 사용자를 나열합니다.
- 드론 분석기 - 지원되는 운영 체제에서 사용 가능한 드론 분석기를 확인하세요.
- 감사 로그 내보내기 - 감사 로그 내보내기를 시작합니다.
- 감사 로그 나열 - 시스템의 감사 로그를 확인합니다.
- 자산 제거 - 데이터를 삭제하지 않고 필터에 따라 특정 자산을 제거합니다.
- 자산 정리 및 제거 - 필터를 기준으로 데이터를 정리하고 특정 자산을 제거합니다.
- 자산에 태그 추가 - 필터를 기반으로 특정 자산에 태그를 추가합니다.
- 자산에서 태그 제거 - 필터를 기반으로 특정 자산에서 태그를 제거합니다.
- 자동 자산 태그 지정 - 특정 조건에 따라 자산에 자동으로 태그를 지정하는 규칙을 만들고 업데이트합니다.
- 자동차 자산 태그 나열 - 기존의 모든 자동차 자산 태그 규칙을 나열합니다.
- 자동차 자산 태그 세부 정보 가져오기 - ID별로 특정 자동차 자산 태그 규칙에 대한 자세한 정보를 가져옵니다.
- 자동차 자산 태그 삭제 - ID로 특정 자동차 자산 태그 규칙을 삭제합니다.
- 자동 태그 지정 시작 - 특정 필터 기준과 일치하는 자산에 대해 자동 태그 지정 프로세스를 시작합니다.
- 전자 증거 조사 패턴 - 다양한 파일 유형을 감지하는 데 사용할 수 있는 전자 증거 조사 패턴을 나열합니다.
- 정책 관리 - 조직의 정책을 나열, 생성, 업데이트, 삭제합니다.
- 정책 일치 통계 - 다양한 기준에 따라 귀하의 자산에 적용되는 정책을 확인하세요.
- 업무 할당 관리 - 업무 할당을 보고 관리합니다.
개요
이 MCP 서버는 대용량 언어 모델(LLM) 과 Binalyze AIR 간의 연결을 구축하여 자연어를 통한 상호 작용을 가능하게 합니다. 코드를 작성하거나 복잡한 API를 배우지 않고도 디지털 포렌식 환경에 대한 정보를 검색할 수 있습니다.
🔑 API 토큰 요구 사항
중요: 인증에는 API 토큰이 필요합니다. AIR_API_TOKEN 환경 변수를 사용하여 설정하세요.
📦 설치
지역 개발
지엑스피1
Claude Desktop과 함께 사용
Claude Desktop 구성 파일에 다음 구성을 추가하세요.
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
커서를 사용한 사용
- 커서 설정 > MCP로 이동하세요.
- 다음 구성으로 새로운 MCP 서버를 추가합니다.
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
🧩 Smithery와 함께 사용
참고: 편집기에서 에이전트 모드를 활성화하는 것을 잊지 마세요.
한 줄 설치 명령
클로드
npx -y @smithery/cli@latest install @binalyze/air-mcp --client claude --key {smithery_key}
커서
npx -y @smithery/cli@latest install @binalyze/air-mcp --client cursor --key {smithery_key}
윈드서핑
npx -y @smithery/cli@latest install@rapidappio/rapidapp-mcp --client windsurf --key {smithery_key}
VS코드
npx -y @smithery/cli@latest install @binalyze/air-mcp --client vscode --key {smithery_key}
또는 VSCode의 Magic Link 옵션을 사용하세요.
사용 방법
Claude Desktop이나 모든 MCP 클라이언트에서는 자연어 명령을 사용할 수 있습니다.
| 명령 | 설명 |
|---|
List all assets in the system | OS, 플랫폼 정보와 함께 관리/비관리 엔드포인트를 모두 표시합니다. |
Get details about asset with ID "abc123" | 특정 자산에 대한 자세한 정보를 표시합니다. |
Get tasks for asset with ID "abc123" | 특정 자산과 관련된 모든 작업을 표시합니다. |
List all acquisition profiles | 사용 가능한 인수 프로필을 표시합니다. |
Get acquisition profile details by ID | 증거 및 유물을 포함한 특정 인수 프로필에 대한 자세한 정보를 표시합니다. |
List all acquisition artifacts | 플랫폼 및 범주별로 정리된 증거 수집에 사용 가능한 모든 아티팩트를 표시합니다. |
List all acquisition evidences | 플랫폼 및 범주별로 정리된 법의학 데이터 수집을 위한 모든 사용 가능한 증거 항목을 표시합니다. |
Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001" | 지정된 엔드포인트에 증거 수집 작업을 할당합니다. |
Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def | 특정 엔드포인트 및 볼륨에 디스크 이미지 수집 작업을 할당하여 지정된 저장소에 저장합니다. |
Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"] | 지정된 구성으로 새로운 인수 프로필을 생성합니다. |
Reboot endpoint 123abc | 특정 엔드포인트에 재부팅 작업을 할당합니다. |
Shutdown endpoint 123abc | 특정 엔드포인트에 종료 작업을 할당합니다. |
Isolate endpoint 123abc | 특정 엔드포인트에 격리 작업을 할당합니다. |
Unisolate endpoint 123abc | 특정 엔드포인트에서 격리를 제거합니다. |
Retrieve logs from endpoint 123abc | 특정 엔드포인트에 로그 검색 작업을 할당합니다. |
Update version for endpoint 123abc | 특정 엔드포인트에 버전 업데이트 작업을 할당합니다. |
List all organizations | 환경의 모든 조직을 표시합니다. |
List all cases | 상태 및 생성 시간이 포함된 케이스를 표시합니다. |
List all policies | 보안 정책 및 수집 정책을 보여줍니다 |
List all tasks | 모든 작업을 상태와 함께 나열합니다. |
List all triage rules | 위협 탐지를 위한 YARA, OSQuery 및 Sigma 규칙을 보여줍니다. |
List all users | 시스템의 모든 사용자를 세부 정보와 함께 표시합니다. |
List all drone analyzers | 지원되는 운영 체제를 갖춘 사용 가능한 드론 분석기를 표시합니다. |
Export audit logs | 감사 로그 내보내기를 시작합니다. 내보내기는 AIR 서버에서 백그라운드로 실행됩니다. |
List audit logs | 타임스탬프, 사용자, 작업, 엔터티와 같은 세부 정보가 포함된 감사 로그를 표시합니다. |
Uninstall asset with ID "endpoint-id" | 데이터를 삭제하지 않고 지정된 자산을 제거합니다( filter.includedEndpointIds 제공 필요) |
Purge and uninstall asset with ID "endpoint-id" | 데이터를 정리하고 지정된 자산을 제거합니다( filter.includedEndpointIds 제공 필요) |
Add tags ["tag1", "tag2"] to asset with ID "endpoint-id" | 대상 자산에 지정된 태그를 추가합니다( filter.includedEndpointIds 및 tags 제공 필요) |
Remove tags ["tag1"] from asset with ID "endpoint-id" | 대상 자산에서 지정된 태그를 제거합니다( filter.includedEndpointIds 및 tags 제공 필요) |
Create an auto asset tag named "Web Server" | 조건에 따라 자산에 자동으로 태그를 지정하는 새 규칙을 만듭니다. |
Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running | 기존 자동 자산 태그 규칙을 새로운 조건으로 업데이트합니다. |
List all auto asset tag rules | 모든 기존 자동 자산 태그 규칙과 해당 구성을 나열합니다. |
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 특정 자동차 자산 태그 규칙에 대한 자세한 정보를 표시합니다. |
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | ID로 특정 자동차 자산 태그 규칙을 삭제합니다. |
Start auto tagging for windows machines | 지정된 기준과 일치하는 Windows 자산에 대한 자동 태그 지정 프로세스를 시작합니다. |
Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"] | 주어진 사례 ID에 대해 지정된 종료점에서 기준 데이터를 수집합니다. |
Compare baselines for endpoint "id1" with task IDs ["task1", "task2"] | 특정 엔드포인트에 대한 여러 기준선 획득 작업을 비교하여 변경 사항을 식별합니다. |
Get comparison report for endpoint "id1" and task "task1" | 특정 엔드포인트와 비교 작업에 대한 비교 결과 보고서를 검색합니다. |
List all e-discovery patterns | 파일 유형 감지를 위해 사용 가능한 모든 전자 증거 수집 패턴을 표시합니다. |
Create a policy named "Production Policy" with specific storage settings | 사용자 정의 설정으로 새 정책을 만듭니다. |
Update policy with ID "abc123" | 기존 정책을 새 설정으로 업데이트합니다. |
Get policy details for ID "System" | 특정 정책에 대한 자세한 정보를 표시합니다. |
Update policy priorities to ["policy1", "policy2", "policy3"] | 정책 적용 순서를 업데이트합니다. |
Show policy match statistics | 각 정책과 일치하는 엔드포인트 수를 표시합니다. |
Get policy distribution for Windows endpoints | 플랫폼별로 필터링된 정책 일치 항목을 표시합니다. |
Get policy match stats for offline endpoints | 오프라인 자산에 대한 정책 일치를 표시합니다. |
Delete policy with ID "abc123" | 시스템에서 정책을 영구적으로 제거합니다. |
Get all assignments for task with ID "def456" | 특정 작업과 관련된 모든 할당을 표시합니다. |
Cancel task assignment with ID "xyz789" | 특정 작업 할당을 취소합니다 |
Delete task assignment with ID "xyz789" | 작업 할당을 영구적으로 제거합니다. |
Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024" | 증거 유형 및 구성을 포함한 특정 작업에 대한 자세한 정보를 표시합니다. |
Cancel task with ID "abc123" | 지정된 ID로 실행 중인 작업을 취소합니다. |
Delete task with ID "abc123" | 특정 작업을 영구적으로 삭제합니다 |
획득 아티팩트 보기
증거 수집을 위해 사용 가능한 모든 수집 아티팩트를 나열할 수 있습니다.
List all acquisition artifacts
Show me all available artifacts for Windows
What artifacts can be collected for evidence?
이렇게 하면 수집 작업 중에 수집할 수 있는 아티팩트의 분류된 목록이 표시되며, 플랫폼(Windows, Linux, macOS 등) 및 그룹 범주(서버, 통신, 클라우드 등)별로 정리됩니다.
인수 증거 보기
법의학 데이터 수집을 위해 사용 가능한 모든 증거 항목을 나열할 수 있습니다.
List all acquisition evidences
Show me all available evidences for Windows
What evidences can be collected during an investigation?
이는 법의학적 조사 중에 수집할 수 있는 증거 항목의 분류된 목록을 표시하며, 플랫폼(Windows, Linux, macOS 등) 및 그룹 범주(시스템, 네트워크, 메모리 등)별로 정리됩니다.
전자 증거 공개 패턴 보기
파일 유형 감지를 위해 사용 가능한 모든 전자 증거 공개 패턴을 나열할 수 있습니다.
List all e-discovery patterns
Show me all file patterns for e-discovery
What file patterns are available for e-discovery?
조직별 필터링
조직 ID로 결과를 필터링할 수 있습니다.
List all assets for organization 123
Show me all cases for organization 456
Get policies for organization 789
List tasks for organization 123
List triage rules for organization 123
List users for organization 123
Export audit logs for organization 0
List audit logs for organization 0
자산 세부 정보 가져오기
특정 자산에 대한 자세한 정보를 검색할 수 있습니다.
Get details for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me information about endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
자산 작업 가져오기
특정 자산과 관련된 모든 작업을 검색할 수 있습니다.
Get tasks for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me the tasks assigned to endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
What tasks are currently running on asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
인수 작업 할당
특정 엔드포인트에 증거 수집 작업을 할당할 수 있습니다.
Assign an acquisition task to endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" using profile "full" for case "C-2022-0001"
Start an acquisition on endpoints ["id1", "id2"] with profile "memory" for case "C-2023-0045" with analyzers ["bha", "wsa"]
이미지 수집 작업 할당
특정 엔드포인트와 볼륨에 디스크 이미지 수집 작업을 할당할 수 있습니다.
Assign an image acquisition task to endpoint "7a37cfdb-..." for volume "/dev/disk3s5" saving to repository "Q2gCVO..." with case ID "C-2024-0123"
Assign image task for endpoint "ep-id-1" volumes ["/dev/sda1", "/dev/sda2"] and endpoint "ep-id-2" volume "C:" to repository "repo-xyz"
재부팅 작업 할당
특정 엔드포인트에 재부팅 작업을 할당할 수 있습니다.
Reboot endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a reboot task to endpoints ["id1", "id2"] for organization 123
종료 작업 할당
특정 엔드포인트에 종료 작업을 할당할 수 있습니다.
Shutdown endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a shutdown task to endpoints ["id1", "id2"] for organization 123
격리 작업 할당
특정 엔드포인트를 격리하거나 격리 해제할 수 있습니다.
Isolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign an isolation task to endpoints ["id1", "id2"] for organization 123
Unisolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" (by setting enabled=false)
Assign an unisolation task to endpoints ["id1", "id2"] with enabled=false
로그 검색 작업 할당
특정 엔드포인트에서 로그를 검색할 수 있습니다.
Retrieve logs from endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with organization ID 0
Assign a log retrieval task to endpoints ["id1", "id2"] for organization 123
참고: 로그 검색 작업을 할당할 때는 항상 조직 ID를 지정하십시오. 엔드포인트는 지정된 조직에 있어야 합니다.
버전 업데이트 작업 할당
특정 엔드포인트에 버전 업데이트 작업을 할당할 수 있습니다.
Update version for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a version update task to endpoints ["id1", "id2"] for organization 123
자산 제거
필터를 사용하면 데이터를 삭제하지 않고도 에셋을 제거할 수 있습니다. filter.includedEndpointIds 통해 제거할 에셋의 정확한 ID를 지정 해야 합니다 .
Uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Uninstall assets with IDs ["id1", "id2"] for organization 0
자산 정리 및 제거
필터를 사용하여 자산 데이터를 삭제하고 자산을 제거할 수 있습니다. filter.includedEndpointIds 통해 삭제 및 제거할 자산의 정확한 ID를 지정 해야 합니다 .
Purge and uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Purge and uninstall assets with IDs ["id1", "id2"] for organization 0
자산에 태그 추가
필터를 사용하여 특정 자산에 태그를 추가할 수 있습니다. 태그를 추가할 자산의 정확한 ID를 filter.includedEndpointIds 통해 지정 하고 , tags 배열에 최소 하나의 태그를 입력해야 합니다.
Add tags ["important", "review-needed"] to asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Add tag "critical" to assets with IDs ["id1", "id2"] for organization 0
자산에서 태그 제거
필터를 사용하여 특정 에셋에서 태그를 제거할 수 있습니다. filter.includedEndpointIds 통해 태그를 제거할 에셋의 정확한 ID를 지정하고 , tags 배열에 최소 하나의 태그를 포함해야 합니다.
Remove tags ["obsolete"] from asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Remove tag "needs-review" from assets with IDs ["id1", "id2"] for organization 0
자동 자산 태그 규칙 생성
다양한 운영 체제에서 조건에 따라 자산에 자동으로 태그를 지정하는 규칙을 정의할 수 있습니다. Linux, Windows, macOS에 대한 태그 이름과 조건을 설명하세요.
Create an auto asset tag named "Web Server"
- For Linux: if process "apache2" is running OR process "nginx" is running
- For Windows: if process "httpd.exe" is running OR process "nginx.exe" is running
- For macOS: if process "httpd" is running
Create auto asset tag "Domain Controller" if windows registry key "HKLM\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters" exists
자동차 자산 태그 세부 정보 가져오기
ID를 통해 특정 자동차 자산 태그 규칙에 대한 자세한 정보를 검색할 수 있습니다.
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Show me details about the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Fetch information about auto asset tag "f6kEPhpqMNqJeHfi4RyxiWEm"
자동 자산 태그 삭제
ID를 통해 자동 자산 태그 규칙을 삭제할 수 있습니다.
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Remove the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Delete the auto asset tagging rule "f6kEPhpqMNqJeHfi4RyxiWEm"
자동차 자산 태그 규칙 목록
구성된 자동 자산 태그 규칙을 모두 나열하여 해당 ID, 태그, 조건을 확인할 수 있습니다.
List all auto asset tags
Show me the auto asset tag rules
자동 자산 태그 지정 프로세스 시작
특정 필터 기준과 일치하는 자산에 대해 자동 태그 지정 프로세스를 시작할 수 있습니다.
Start auto tagging for all Windows assets
Start tagging for managed Windows endpoints
Initiate auto tagging process for assets with platform "linux"
Start auto tagging for endpoints with IDs ["id1", "id2"]
기준선 획득
사례 ID와 필터 기준을 제공하여 특정 엔드포인트에서 기준 데이터를 수집할 수 있습니다. 기준 데이터는 법의학 조사에서 비교를 위한 기준점을 설정합니다.
Acquire baseline for case "C-2022-001" from endpoints ["0ccbb181-685c-4f1e-982a-6f7c7e88eadd", "7a37cfdb-..."]
Get baseline data for case "C-2023-042" from all Windows endpoints
Acquire baseline for online endpoints with case ID "C-2024-099"
Collect baseline from managed endpoints with IDs ["id1", "id2", "id3"] for case "C-2024-100"
기준선 획득 작업 비교
시간 경과에 따른 변경 사항이나 다양한 시스템 상태 간의 변경 사항을 식별하기 위해 특정 엔드포인트에 대한 여러 기준선 획득 작업을 비교할 수 있습니다.
Compare baselines for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with task IDs ["task1", "task2"]
Compare baseline tasks ["task-id-1", "task-id-2", "task-id-3"] for endpoint "7a37cfdb-..."
Create baseline comparison between tasks "pre-update-task-id" and "post-update-task-id" for endpoint "bc906dea-..."
비교 보고서 받기
특정 엔드포인트 및 비교 작업에 대한 비교 결과 보고서를 검색할 수 있습니다.
Get comparison report for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" and task "task1"
Show me the comparison result for endpoint "7a37cfdb-..." and task "comparison-task-id"
Download the baseline comparison report for endpoint "bc906dea-..." task "task-xyz"
정책 생성
특정 저장소, 압축 및 보안 설정으로 새 정책을 만들 수 있습니다.
Create a policy named "Dev Policy" with:
Windows storage at C:\Binalyze\AIR
Linux storage at /opt/binalyze/air
macOS storage at /opt/binalyze/air
Compression enabled
Encryption enable with password "secure123"
작업 할당 보기
작업 할당 상태를 확인할 수 있습니다.
Show me all assignments for task abc-123-456