Сервер MCP AIR Binalyze

Сервер Node.js, реализующий протокол контекста модели (MCP) для Binalyze AIR, обеспечивающий взаимодействие на естественном языке с возможностями цифровой криминалистики AIR и реагирования на инциденты.

✨ Особенности

Управление активами — составьте список активов вашей организации.
Сведения об активе — получите подробную информацию о конкретном активе по его идентификатору.
Задачи актива — получение всех задач, связанных с определенным активом по его идентификатору.
Профили приобретения — список профилей приобретения.
Задачи по сбору доказательств — назначение конечным точкам задач по сбору доказательств.
Задачи получения образов — назначение задач получения образов дисков конечным точкам.
Сбор исходных данных — сбор исходных данных из определенных конечных точек для установления точки отсчета.
Сравнение базовых показателей — сравнение нескольких задач сбора базовых показателей для определенной конечной точки с целью выявления изменений.
Получить отчет о сравнении — получить отчет о результатах сравнения для определенной конечной точки и задачи.
Создание профилей сбора данных . Создание новых профилей сбора данных с определенными настройками доказательств/артефактов/сети.
Артефакты для сбора доказательств — список доступных артефактов для сбора доказательств.
Получение доказательств - Перечислите доступные доказательства для сбора криминалистических данных.
Задачи перезагрузки — назначение задач перезагрузки определенным конечным точкам.
Задачи завершения работы — назначение задач завершения работы определенным конечным точкам.
Задачи изоляции — изоляция или отмена изоляции определенных конечных точек.
Задачи извлечения журналов — извлечение журналов из определенных конечных точек.
Задачи обновления версий — назначение задач обновления версий определенным конечным точкам.
Управление организациями - Список организаций.
Управление делами — составьте список дел в вашей организации.
Управление политиками — просматривайте политики безопасности в вашей организации.
Управление задачами — отслеживание задач по сбору криминалистических данных и их статусов.
Правила сортировки — просмотрите правила YARA, Osquery и Sigma для обнаружения угроз.
Управление пользователями — список пользователей в вашей организации.
Сведения о пользователе — получите подробную информацию о конкретном пользователе по его идентификатору.
Анализаторы дронов — просмотрите доступные анализаторы дронов с поддерживаемыми операционными системами.
Экспорт журнала аудита — инициирует экспорт журналов аудита.
Список журналов аудита — просмотр журналов аудита из системы.
Удаление ресурсов — удаление определенных ресурсов на основе фильтров без очистки данных.
Очистка и удаление ресурсов — очистка данных и удаление определенных ресурсов на основе фильтров.
Добавить теги к активам — добавить теги к определенным активам на основе фильтров.
Удалить теги из активов — удалить теги из определенных активов на основе фильтров.
Автоматическая маркировка активов — создание и обновление правил для автоматической маркировки активов на основе определенных условий.
Список автоматических тегов активов — список всех существующих правил автоматических тегов активов.
Получить сведения о теге автоматического актива — получить подробную информацию о конкретном правиле тега автоматического актива по его идентификатору.
Удалить автоматический тег актива — удалить определенное правило автоматического тега актива по его идентификатору.
Запустить автоматическую маркировку — запустить процесс автоматической маркировки для активов, соответствующих определенным критериям фильтра.
Шаблоны электронного обнаружения — список доступных шаблонов электронного обнаружения для обнаружения различных типов файлов.
Управление политиками — составление списка, создание, обновление и удаление политик в вашей организации.
Статистика соответствия политик — узнайте, какие политики применяются к вашим активам на основе различных критериев.
Управление назначением задач — просмотр и управление назначениями задач.
Управление правилами сортировки — составление списка, создание, обновление и удаление правил сортировки для обнаружения угроз.
Управление тегами сортировки — составление списка и создание тегов сортировки для обнаружения угроз.
Проверка правила сортировки — проверка синтаксиса правила сортировки без его создания.
Назначить задачу сортировки — назначить задачу сортировки конечным точкам на основе критериев фильтра.
Добавить заметку к делу — добавить заметку к определенному делу по его идентификатору.
Обновить заметку в деле — обновить существующую заметку в конкретном деле.
Удалить заметку из дела — удалить заметку из дела по ее идентификатору.
Экспортировать дела — экспортировать данные о делах из системы.
Экспорт примечаний к делу — экспорт примечаний к конкретному делу по его идентификатору.
Экспорт конечных точек дела — экспорт конечных точек для определенного дела по его идентификатору.
Экспорт действий по делу — экспорт действий по конкретному делу по его идентификатору.
Создать дело — создать новое дело в системе.
Обновить дело — обновить существующее дело по идентификатору.
Получить дело по идентификатору — получить подробную информацию о конкретном деле по его идентификатору.
Закрыть дело по идентификатору — закрыть конкретное дело по его идентификатору.
Открыть дело по идентификатору — открыть конкретное дело по его идентификатору.
Архивировать дело по идентификатору — архивировать конкретное дело по его идентификатору.
Проверить название дела — проверить, не используется ли уже название дела.
Получить сведения об активности дела — получить историю активности для конкретного дела по его идентификатору.
Получить конечные точки дела — получить все конечные точки, связанные с определенным делом по его идентификатору.
Получить задачи дела по идентификатору — получить все задачи, связанные с определенным делом по его идентификатору.
Получить пользователей дела — получить всех пользователей, связанных с определенным делом по его идентификатору.
Удалить конечные точки из дела — удалить конечные точки из дела на основе указанных фильтров.
Удалить назначение задачи из дела — удалить определенное назначение задачи из дела.
Импорт назначений задач в дело — импорт назначений задач в определенное дело.
Список хранилищ — список всех хранилищ доказательств в организации.
Создать репозиторий SMB — создать новый репозиторий доказательств SMB.
Обновление репозитория SMB — обновление существующего репозитория доказательств SMB.
Создать репозиторий SFTP — создать новый репозиторий доказательств SFTP.
Обновление репозитория SFTP — обновление существующего репозитория доказательств SFTP.
Создать репозиторий FTPS — создать новый репозиторий доказательств FTPS.
Обновление репозитория FTPS — обновление существующего репозитория доказательств FTPS.
Проверка репозитория FTPS — проверка конфигурации репозитория FTPS без его создания.
Создать репозиторий хранилища Azure . Создайте новый репозиторий свидетельств хранилища Azure.
Обновление репозитория хранилища Azure — обновление существующего репозитория свидетельств хранилища Azure.
Проверка репозитория хранилища Azure — проверка конфигурации репозитория хранилища Azure без его создания.
Создать репозиторий Amazon S3 — создать новый репозиторий доказательств Amazon S3.
Обновление репозитория Amazon S3 — обновление существующего репозитория доказательств Amazon S3.
Проверка репозитория Amazon S3 — проверка конфигурации репозитория Amazon S3 без его создания.
Получить репозиторий по идентификатору — получить подробную информацию о конкретном репозитории доказательств по его идентификатору.
Удалить репозиторий — удалить репозиторий доказательств по его идентификатору.
Загрузить кейс PPC — загрузить файл PPC для определенной конечной точки и задачи.
Загрузить отчет о задаче — загрузить отчет о задаче для определенной конечной точки и задачи.
Получить информацию о файле отчета — получить информацию о файле PPC для определенной конечной точки и задачи.
Получить пользователей организации — получить пользователей определенной организации по ее идентификатору.
Назначить пользователей организации — назначить пользователей определенной организации.
Удалить пользователя из организации — удалить пользователя из определенной организации.
Создать организацию — создать новую организацию.
Обновить организацию — обновить существующую организацию.
Получить организацию по идентификатору — получить подробную информацию о конкретной организации по ее идентификатору.
Проверить существование названия организации — проверьте, существует ли уже название организации в системе.
Получить информацию о совместно используемом развертывании — получить информацию о совместно используемом развертывании с помощью токена развертывания.
Обновление общего развертывания организации — обновление параметров общего развертывания организации.
Обновление токена развертывания организации — обновление токена развертывания для определенной организации.
Удалить организацию — удалить организацию по ее идентификатору.
Добавить теги к организации — добавить теги к организации.
Удалить теги из организации — удалить теги из организации.
Вызов вебхука — вызов вебхука с указанными параметрами.
Post Webhook — публикация данных в веб-хуке.
Получить назначения задач — получить все назначения для определенной задачи по ее идентификатору.
Обновить сообщение баннера — обновить настройки сообщения системного баннера.

Обзор

Этот сервер MCP создает мост между моделями Large Language Models (LLM) и Binalyze AIR, позволяя взаимодействовать посредством естественного языка. Получайте информацию о своей среде цифровой криминалистики без написания кода или изучения сложных API.

🔑 Требования к токену API

Важно: Для аутентификации требуется API-токен. Установите его с помощью переменной среды AIR_API_TOKEN .

📦 Установка

Местное развитие

# Clone the repository
git clone https://github.com/binalyze/air-mcp

# Change to the project directory
cd air-mcp

# Install dependencies
npm install

# Build the project
npm run build

Использование с Claude Desktop

Добавьте следующую конфигурацию в файл конфигурации Claude Desktop:

{
  "mcpServers": {
    "air-mcp": {
      "command": "npx",
      "args": ["-y", "@binalyze/air-mcp"],
      "env": {
        "AIR_HOST": "your-api-host.com",
        "AIR_API_TOKEN": "your-api-token"
      }
    }
  }
}

Использование с курсором

Перейдите в Настройки курсора > MCP.
Добавьте новый сервер MCP со следующей конфигурацией:
{ "mcpServers": { "air-mcp": { "command": "npx", "args": ["-y", "@binalyze/air-mcp"], "env": { "AIR_HOST": "your-api-host.com", "AIR_API_TOKEN": "your-api-token" } } } }

🧩 Использование с кузнечным делом

Примечание: Не забудьте активировать режим агента в вашем редакторе.

Однострочные команды установки

Клод

npx -y @smithery/cli@latest install @binalyze/air-mcp --client claude --key {smithery_key}

Курсор

npx -y @smithery/cli@latest install @binalyze/air-mcp --client cursor --key {smithery_key}

Виндсерфинг

npx -y @smithery/cli@latest install@rapidappio/rapidapp-mcp --client windsurf --key {smithery_key}

VSCode

npx -y @smithery/cli@latest install @binalyze/air-mcp --client vscode --key {smithery_key}

Или воспользуйтесь опцией Magic Link в VSCode.

Как использовать

В Claude Desktop или любом MCP-клиенте вы можете использовать команды на естественном языке:

Команда	Описание
`List all assets in the system`	Показывает все управляемые/неуправляемые конечные точки с информацией об ОС и платформе
`Get details about asset with ID "abc123"`	Отображает подробную информацию о конкретном активе
`Get tasks for asset with ID "abc123"`	Показывает все задачи, связанные с определенным активом
`List all acquisition profiles`	Отображает доступные профили получения
`Get acquisition profile details by ID`	Показывает подробную информацию о конкретном профиле приобретения, включая доказательства и артефакты.
`List all acquisition artifacts`	Показывает все доступные артефакты для сбора доказательств, упорядоченные по платформам и категориям.
`List all acquisition evidences`	Показывает все доступные элементы доказательств для сбора криминалистических данных, упорядоченные по платформам и категориям.
`Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001"`	Назначает задачу сбора доказательств указанным конечным точкам
`Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def`	Назначает задачу получения образа диска определенной конечной точке и тому, сохраняя в указанном репозитории.
`Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"]`	Создает новый профиль сбора данных с указанной конфигурацией.
`Reboot endpoint 123abc`	Назначает задачу перезагрузки определенной конечной точке
`Shutdown endpoint 123abc`	Назначает задачу завершения работы определенной конечной точке.
`Isolate endpoint 123abc`	Назначает задачу изоляции определенной конечной точке
`Unisolate endpoint 123abc`	Удаляет изоляцию с определенной конечной точки
`Retrieve logs from endpoint 123abc`	Назначает задачу извлечения журнала определенной конечной точке
`Update version for endpoint 123abc`	Назначает задачу обновления версии определенной конечной точке
`List all organizations`	Показывает все организации в средах
`List all cases`	Отображает дела со статусом и временем создания
`List all policies`	Показывает политику безопасности и политику сбора данных
`List all tasks`	Список всех задач с их статусами
`List all triage rules`	Показывает правила YARA, OSQuery и Sigma для обнаружения угроз
`List all users`	Показывает всех пользователей в системе с их данными
`Get user by ID`	Извлекает данные конкретного пользователя по его идентификатору
`List all drone analyzers`	Показывает доступные анализаторы дронов с поддерживаемыми операционными системами
`Export audit logs`	Инициирует экспорт журналов аудита. Экспорт выполняется в фоновом режиме на сервере AIR.
`List audit logs`	Показывает журналы аудита с подробностями, такими как метка времени, пользователь, действие, сущность
`Uninstall asset with ID "endpoint-id"`	Удаляет указанный актив без очистки данных (требуется предоставление `filter.includedEndpointIds` )
`Purge and uninstall asset with ID "endpoint-id"`	Очищает данные и удаляет указанный актив (требуется предоставление `filter.includedEndpointIds` )
`Add tags ["tag1", "tag2"] to asset with ID "endpoint-id"`	Добавляет указанные теги к целевым активам (требуется предоставление `filter.includedEndpointIds` и `tags` )
`Remove tags ["tag1"] from asset with ID "endpoint-id"`	Удаляет указанные теги из целевых активов (требуется предоставление `filter.includedEndpointIds` и `tags` )
`Create an auto asset tag named "Web Server"`	Создает новое правило для автоматической маркировки активов на основе условий.
`Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running`	Обновляет существующее правило автоматической маркировки активов новыми условиями.
`List all auto asset tag rules`	Перечисляет все существующие правила автоматических тегов активов с их конфигурациями.
`Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"`	Показывает подробную информацию о конкретном правиле тега автоматического актива.
`Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"`	Удаляет определенное правило тега автоматического актива по его идентификатору.
`Start auto tagging for windows machines`	Запускает процесс автоматической маркировки ресурсов Windows, соответствующих указанным критериям.
`Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"]`	Получает исходные данные из указанных конечных точек для заданного идентификатора случая.
`Compare baselines for endpoint "id1" with task IDs ["task1", "task2"]`	Сравнивает несколько базовых задач сбора данных для определенной конечной точки для выявления изменений.
`Get comparison report for endpoint "id1" and task "task1"`	Извлекает отчет о результатах сравнения для определенной конечной точки и задачи сравнения.
`List all e-discovery patterns`	Показывает все доступные шаблоны электронного обнаружения для определения типа файла
`Create a policy named "Production Policy" with specific storage settings`	Создает новую политику с пользовательскими настройками
`Update policy with ID "abc123"`	Обновляет существующую политику новыми настройками
`Get policy details for ID "System"`	Отображает подробную информацию о конкретной политике
`Update policy priorities to ["policy1", "policy2", "policy3"]`	Обновляет порядок применения политики
`Show policy match statistics`	Показывает, сколько конечных точек соответствуют каждой политике
`Get policy distribution for Windows endpoints`	Показывает совпадения политики, отфильтрованные по платформе
`Get policy match stats for offline endpoints`	Показывает соответствие политики для автономных активов
`Delete policy with ID "abc123"`	Навсегда удаляет политику из системы
`Get all assignments for task with ID "def456"`	Показывает все назначения, связанные с определенной задачей
`Cancel task assignment with ID "xyz789"`	Отменяет конкретное назначение задачи
`Delete task assignment with ID "xyz789"`	Навсегда удаляет назначение задачи
`Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024"`	Отображает подробную информацию о конкретной задаче, включая типы доказательств и конфигурацию.
`Cancel task with ID "abc123"`	Отменяет запущенную задачу с указанным идентификатором.
`Delete task with ID "abc123"`	Навсегда удаляет определенную задачу
`Create triage rule named "My Rule"`	Создает новое правило сортировки
`List all triage tags`	Вы можете работать с правилами сортировки и связанными с ними тегами.
`Create triage tag named "My Tag"`	Создает новый тег сортировки
`Update triage rule with ID "abc123"`	Обновляет существующее правило сортировки
`Delete triage rule with ID "abc123"`	Навсегда удаляет правило сортировки
`Get triage rule with ID "abc123"`	Извлекает сведения о конкретном правиле сортировки
`Validate triage rule syntax`	Проверяет синтаксис правила сортировки, не создавая его
`Assign triage task to endpoints with IDs ["id1", "id2"]`	Назначает задачу сортировки конечным точкам на основе критериев фильтра
`Add note to case with ID "C-2022-0002"`	Добавляет заметку к конкретному делу по его идентификатору
`Update note with ID "8d9baa16-9aa3-4e4f-a08e-a74341ce2f90" in case "C-2022-0002"`	Обновляет существующую заметку в определенном случае
`Delete note with ID "8d9baa16-9aa3-4e4f-a08e-a74341ce2f90" from case "C-2022-0002"`	Удаляет определенную заметку из дела по ее идентификатору
`Export cases data`	Инициирует экспорт данных о случаях для вашей организации
`Export notes for case with ID "case123"`	Инициирует экспорт заметок для конкретного дела по его идентификатору
`Export endpoints for case with ID "case123"`	Инициирует экспорт конечных точек для конкретного дела по его идентификатору
`Export activities for case with ID "case123"`	Инициирует экспорт действий для конкретного дела по его идентификатору
`Create a new case named "Incident Response"`	Создает новое дело в системе
`Update case with ID "C-2022-0003" to have name "Updated Case"`	Обновляет существующее дело по идентификатору
`Get case with ID "C-2022-0003"`	Извлекает сведения о конкретном деле по его идентификатору
`Close case with ID "C-2022-0003"`	Закрывает конкретное дело по его идентификатору
`Open case with ID "C-2022-0003"`	Открывает конкретное дело по его идентификатору
`Archive case with ID "C-2022-0003"`	Архивирует конкретное дело по его идентификатору
`Change case owner with ID "C-2022-0003" to user with ID "user123"`	Изменяет владельца конкретного дела по его идентификатору
`Check if case name "Incident 2023-05" is available`	Проверяет, используется ли уже имя дела
`Get case activities for case with ID "C-2022-0003"`	Отображает историю активности для конкретного дела по его идентификатору
`Get endpoints for case with ID "C-2022-0001"`	Извлекает все конечные точки, связанные с определенным делом по его идентификатору.
`Get tasks for case with ID "C-2022-0001"`	Отображает все задачи, связанные с указанным делом
`Get users for case with ID "C-2022-0001"`	Извлекает всех пользователей, связанных с определенным делом по его идентификатору.
`Remove endpoints from case with ID "C-2022-0001"`	Удаляет конечные точки из дела на основе указанных фильтров.
`Remove task assignment with ID "f04666c9-62c7-4cb0-8638-967f05eb7936" from case "C-2022-0001"`	Удаляет определенное назначение задачи из дела
`Import task assignments to case with ID "C-2022-0001"`	Импортирует назначения задач в конкретное дело
`List repositories`	Перечисляет все хранилища доказательств в организации.
`Create SMB repository with name "My SMB Repository"`	Создает новый репозиторий доказательств SMB с указанными учетными данными
`Update SMB repository with ID "abc123"`	Обновляет существующую конфигурацию репозитория SMB
`Create SFTP repository with name "My SFTP Repository"`	Создает новый репозиторий доказательств SFTP с указанными учетными данными.
`Update SFTP repository with ID "abc123"`	Обновляет конфигурацию существующего репозитория SFTP.
`Validate FTPS repository configuration`	Проверяет правильность конфигурации репозитория FTPS без его создания
`Create Azure Storage repository with name "My Azure Storage Repository"`	Создает новый репозиторий доказательств Azure Storage с указанными учетными данными.
`Update Azure Storage repository with ID "abc123"`	Обновляет существующую конфигурацию репозитория хранилища Azure.
`Validate Azure Storage repository with SAS URL`	Проверяет, является ли предоставленный URL-адрес SAS допустимым для доступа к хранилищу Azure.
`Create a new Amazon S3 repository`	Устанавливает новый контейнер S3 в качестве хранилища доказательств.
`Update Amazon S3 repository with ID "abc123"`	Изменяет существующую конфигурацию репозитория S3.
`Validate Amazon S3 repository configuration`	Проверяет действительность учетных данных и контейнера S3.
`Get details about repository with ID "abc123"`	Отображает подробную информацию о конкретном хранилище доказательств
`Delete repository with ID "abc123"`	Удаляет определенное хранилище доказательств
`Download PPC file for endpoint "ep-1" and task "task-1"`	Загружает файл PPC для указанной конечной точки и задачи.
`Download task report for endpoint "123" and task "456"`	Загружает отчет о задаче для указанной конечной точки и задачи
`Get report file information for endpoint "123" and task "456"`	Извлекает информацию о файле PPC для определенной конечной точки и задачи.
`Get users for organization with ID "2"`	Отображает всех пользователей, принадлежащих указанной организации
`Assign users with IDs ["user1", "user2"] to organization "123"`	Назначает пользователей в указанную организацию
`Remove user with ID "user1" from organization "123"`	Удаляет пользователя из указанной организации.
`Create organization with name "My Organization" and contact information`	Создает новую организацию с указанным названием и контактной информацией.
`Update organization with ID "123"`	Обновляет существующую организацию с новыми настройками
`Get details about organization with ID 2`	Отображает подробную информацию о конкретной организации
`Check if organization name "My Organization" already exists`	Проверяет, используется ли уже название организации
`Get shareable deployment information using deployment token "token123"`	Извлекает информацию о совместно используемом развертывании с использованием токена развертывания.
`Update organization shareable deployment with ID "123" to be enabled`	Обновляет общие параметры развертывания организации
`Update deployment token for organization with ID 2`	Обновляет токен развертывания для определенной организации.
`Delete organization with ID "123"`	Навсегда удаляет организацию из системы
`Add tags to organization with ID "123"`	Добавляет теги к организации
`Delete tags ["tag1", "tag2" ] from organization with ID "123"`	Удаляет теги из организации
`Call webhook with slug "air-generic-url-webhook" and data "192.168.1.100" and token "token123"`	Вызывает вебхук с указанными параметрами
`Post data to webhook with slug "air-generic-url-webhook"`	Отправляет запрос POST на вебхук с предоставленными данными
`Get task assignments for task with ID "task123"`	Извлекает все назначения для определенной задачи по ее идентификатору.
`Update banner message`	Обновляет настройки системного баннерного сообщения

Binalyze AIR MCP Server

Integrations