A
securityA
licenseA
qualityNode.js server implementing Model Context Protocol (MCP) for filesystem operations.
Last updated -
14
116,828
63,134
TypeScript
MIT License
Binalyze AIR MCP 服务器
为 Binalyze AIR 实现模型上下文协议 (MCP) 的Node.js 服务器,实现与 AIR 的数字取证和事件响应功能的自然语言交互。
✨ 特点
- 资产管理——列出您组织中的资产。
- 资产详情- 通过 ID 获取特定资产的详细信息。
- 资产任务- 通过 ID 获取与特定资产相关的所有任务。
- 收购概况- 列出收购概况。
- 获取任务- 将证据获取任务分配给端点。
- 图像采集任务- 将磁盘图像采集任务分配给端点。
- 基线采集- 从特定端点采集基线数据以建立参考点。
- 比较基线- 比较特定端点的多个基线采集任务以识别变化。
- 获取比较报告- 检索特定端点和任务的比较结果报告。
- 创建获取配置文件- 使用特定证据/工件/网络设置创建新的获取配置文件。
- 获取文物- 列出可用于收集证据的文物。
- 获取证据- 列出可用于法医数据收集的证据项目。
- 重启任务- 将重启任务分配给特定端点。
- 关机任务- 将关机任务分配给特定端点。
- 隔离任务- 隔离或取消隔离特定端点。
- 日志检索任务- 从特定端点检索日志。
- 版本更新任务- 将版本更新任务分配给特定端点。
- 组织管理——列出组织。
- 案例管理- 列出您组织中的案例。
- 策略管理——查看整个组织的安全策略。
- 任务管理——跟踪法医收集任务及其状态。
- 分类规则- 查看 YARA、Osquery 和 Sigma 规则以进行威胁检测。
- 用户管理- 列出您组织中的用户。
- 无人机分析器- 查看可用的无人机分析器及其支持的操作系统。
- 审计日志导出- 启动审计日志的导出。
- 列出审计日志- 查看系统的审计日志。
- 卸载资产- 根据过滤器卸载特定资产而不清除数据。
- 清除和卸载资产- 根据过滤器清除数据并卸载特定资产。
- 为资产添加标签- 根据过滤器为特定资产添加标签。
- 从资产中删除标签- 根据过滤器从特定资产中删除标签。
- 自动资产标记- 创建和更新规则以根据特定条件自动标记资产。
- 列出汽车资产标签- 列出所有现有的汽车资产标签规则。
- 获取自动资产标签详细信息- 通过 ID 获取特定自动资产标签规则的详细信息。
- 删除自动资产标签- 根据 ID 删除特定的自动资产标签规则。
- 开始自动标记- 启动符合特定过滤条件的资产的自动标记过程。
- 电子发现模式- 列出可用于检测不同文件类型的电子发现模式。
- 政策管理- 列出、创建、更新和删除组织中的政策。
- 政策匹配统计- 根据各种标准查看哪些政策适用于您的资产。
- 任务分配管理-查看和管理任务分配。
概述
此 MCP 服务器在**大型语言模型 (LLM)**和 Binalyze AIR 之间架起了一座桥梁,允许通过自然语言进行交互。无需编写代码或学习复杂的 API,即可检索有关您的数字取证环境的信息。
🔑 API 令牌要求
**重要提示:**身份验证需要 API 令牌。请使用
AIR_API_TOKEN环境变量进行设置。
📦安装
本地开发
与 Claude Desktop 一起使用
将以下配置添加到您的 Claude Desktop 配置文件:
与游标一起使用
- 导航至光标设置 > MCP
- 使用以下配置添加新的 MCP 服务器:
🧩 与 Smithery 一起使用
**注意:**不要忘记在编辑器中激活代理模式。
单行安装命令
克劳德
光标
风帆冲浪
VSCode
或者使用 VSCode 中的 Magic Link 选项。
如何使用
在 Claude Desktop 或任何 MCP 客户端中,您可以使用自然语言命令:
| 命令 | 描述 |
|---|---|
List all assets in the system | 显示所有托管/非托管端点及其操作系统、平台信息 |
Get details about asset with ID "abc123" | 显示特定资产的详细信息 |
Get tasks for asset with ID "abc123" | 显示与特定资产相关的所有任务 |
List all acquisition profiles | 显示可用的采集配置文件 |
Get acquisition profile details by ID | 显示有关特定采集配置文件的详细信息,包括证据和文物 |
List all acquisition artifacts | 显示所有可用于证据收集的文物,按平台和类别组织 |
List all acquisition evidences | 显示所有可用于法医数据收集的证据项目,按平台和类别组织 |
Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001" | 将证据获取任务分配给指定端点 |
Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def | 将磁盘映像获取任务分配给特定端点和卷,并保存到指定的存储库 |
Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"] | 使用指定的配置创建一个新的采集配置文件 |
Reboot endpoint 123abc | 将重启任务分配给特定端点 |
Shutdown endpoint 123abc | 将关机任务分配给特定端点 |
Isolate endpoint 123abc | 将隔离任务分配给特定端点 |
Unisolate endpoint 123abc | 移除与特定端点的隔离 |
Retrieve logs from endpoint 123abc | 将日志检索任务分配给特定端点 |
Update version for endpoint 123abc | 将版本更新任务分配给特定端点 |
List all organizations | 显示环境中的所有组织 |
List all cases | 显示案例的状态和创建时间 |
List all policies | 显示安全策略和收集策略 |
List all tasks | 列出所有任务及其状态 |
List all triage rules | 显示用于威胁检测的 YARA、OSQuery 和 Sigma 规则 |
List all users | 显示系统中的所有用户及其详细信息 |
List all drone analyzers | 显示可用的无人机分析仪及其支持的操作系统 |
Export audit logs | 启动审计日志的导出。导出操作在 AIR 服务器的后台运行。 |
List audit logs | 显示审计日志,其中包含时间戳、用户、操作、实体等详细信息 |
Uninstall asset with ID "endpoint-id" | 卸载指定资产而不清除数据(需要提供filter.includedEndpointIds ) |
Purge and uninstall asset with ID "endpoint-id" | 清除数据并卸载指定资产(需要提供filter.includedEndpointIds ) |
Add tags ["tag1", "tag2"] to asset with ID "endpoint-id" | 将指定的标签添加到目标资产(需要提供filter.includedEndpointIds和tags ) |
Remove tags ["tag1"] from asset with ID "endpoint-id" | 从目标资产中删除指定的标签(需要提供filter.includedEndpointIds和tags ) |
Create an auto asset tag named "Web Server" | 创建新规则以根据条件自动标记资产。 |
Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running | 使用新条件更新现有的自动资产标签规则。 |
List all auto asset tag rules | 列出所有现有的自动资产标签规则及其配置。 |
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 显示有关特定自动资产标签规则的详细信息。 |
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 根据 ID 删除特定的自动资产标签规则。 |
Start auto tagging for windows machines | 启动符合指定条件的 Windows 资产的自动标记过程。 |
Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"] | 从给定案例 ID 的指定端点获取基线数据。 |
Compare baselines for endpoint "id1" with task IDs ["task1", "task2"] | 比较特定端点的多个基线采集任务以识别变化。 |
Get comparison report for endpoint "id1" and task "task1" | 检索特定端点和比较任务的比较结果报告。 |
List all e-discovery patterns | 显示所有可用于文件类型检测的电子发现模式 |
Create a policy named "Production Policy" with specific storage settings | 使用自定义设置创建新策略 |
Update policy with ID "abc123" | 使用新设置更新现有策略 |
Get policy details for ID "System" | 显示有关特定策略的详细信息 |
Update policy priorities to ["policy1", "policy2", "policy3"] | 更新政策应用顺序 |
Show policy match statistics | 显示每个策略匹配的端点数量 |
Get policy distribution for Windows endpoints | 显示按平台过滤的政策匹配项 |
Get policy match stats for offline endpoints | 显示离线资产的政策匹配情况 |
Delete policy with ID "abc123" | 从系统中永久删除策略 |
Get all assignments for task with ID "def456" | 显示与特定任务相关的所有分配 |
Cancel task assignment with ID "xyz789" | 取消特定任务分配 |
Delete task assignment with ID "xyz789" | 永久删除任务分配 |
Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024" | 显示有关特定任务的详细信息,包括证据类型和配置 |
Cancel task with ID "abc123" | 取消指定 ID 的正在运行的任务 |
Delete task with ID "abc123" | 永久删除特定任务 |
查看采集文物
您可以列出所有可用的采集文物以用于证据收集:
这将显示在获取任务期间可以收集的工件的分类列表,按平台(Windows、Linux、macOS 等)和组类别(服务器、通信、云等)组织。
查看获取证据
您可以列出所有可用于法医数据收集的证据项目:
这将显示在法医调查期间可以收集的证据项目的分类列表,按平台(Windows、Linux、macOS 等)和组类别(系统、网络、内存等)组织。
查看电子取证模式
您可以列出所有可用于文件类型检测的电子发现模式:
按组织过滤
您可以按组织 ID 过滤结果:
获取资产详细信息
您可以检索有关特定资产的详细信息:
获取资产任务
您可以检索与特定资产相关的所有任务:
分配采购任务
您可以将证据获取任务分配给特定端点:
分配图像采集任务
您可以将磁盘映像获取任务分配给特定的端点和卷:
分配重启任务
您可以将重启任务分配给特定端点:
分配关机任务
您可以将关机任务分配给特定端点:
分配隔离任务
您可以隔离或取消隔离特定端点:
分配日志检索任务
您可以从特定端点检索日志:
注意:分配日志检索任务时,请务必指定组织 ID。端点必须存在于指定的组织中。
分配版本更新任务
您可以将版本更新任务分配给特定端点:
卸载资产
您可以使用过滤器卸载资产而不清除其数据。您必须通过filter.includedEndpointIds指定要卸载资产的确切 ID。
清除和卸载资产
您可以使用过滤器清除资产数据并卸载资产。您必须通过filter.includedEndpointIds指定要清除和卸载的资产的确切 ID。
为资产添加标签
您可以使用过滤器为特定资产添加标签。您必须通过filter.includedEndpointIds指定要添加标签的资产的确切 ID,并在tags数组中提供至少一个标签。
从资产中删除标签
您可以使用过滤器从特定资产中移除标签。您必须通过filter.includedEndpointIds指定要移除标签的资产的确切 ID,并在tags数组中提供至少一个标签。
创建自动资产标签规则
您可以定义规则,根据不同操作系统上的条件自动标记资产。请描述 Linux、Windows 和 macOS 的标签名称和条件。
获取汽车资产标签详细信息
您可以通过 ID 检索特定自动资产标签规则的详细信息:
删除自动资产标签
您可以通过 ID 删除自动资产标签规则:
列出汽车资产标签规则
您可以列出所有已配置的自动资产标签规则以查看其 ID、标签和条件。
启动自动资产标记流程
您可以针对符合特定过滤条件的资产启动自动标记过程。
获取基线
您可以通过提供案例 ID 和过滤条件来获取特定端点的基线数据。基线为法医调查中的比较建立了参考点。
比较基线采集任务
您可以比较特定端点的多个基线采集任务,以识别随时间或不同系统状态之间的变化:
获取比较报告
您可以检索特定端点和比较任务的比较结果报告:
创建策略
您可以使用特定的存储、压缩和安全设置创建新策略:
查看任务分配
您可以检查任务分配的状态:
remote-capable server
The server can be hosted and run remotely because it primarily relies on remote services or has no dependency on the local environment.
实现模型上下文协议 (MCP) 的 Node.js 服务器,可实现与 Binalyze AIR 的数字取证和事件响应功能的自然语言交互。
Related Resources
Related MCP Servers
- AsecurityAlicenseAqualityA Model Context Protocol server providing utility tools for development and testing, offering functionalities like personalized greetings, random card drawing, and datetime formatting with an extensible architecture.Last updated -195464TypeScriptMIT License
- -securityAlicense-qualityNode.js server implementing Model Context Protocol (MCP) for filesystem operations, allowing AI systems to read, write, edit files and manage directories within specified allowed paths.Last updated -116,828JavaScriptMIT License
- -securityAlicense-qualityNode.js server implementing Model Context Protocol (MCP) for filesystem operations with regex support for allowed directories, enabling AI assistants to safely read, write, and manipulate files through natural language.Last updated -116,828JavaScriptMIT License