Binalyze AIR MCP 服务器
为 Binalyze AIR 实现模型上下文协议 (MCP) 的Node.js 服务器,实现与 AIR 的数字取证和事件响应功能的自然语言交互。
✨ 特点
- 资产管理——列出您组织中的资产。
- 资产详情- 通过 ID 获取特定资产的详细信息。
- 资产任务- 通过 ID 获取与特定资产相关的所有任务。
- 收购概况- 列出收购概况。
- 获取任务- 将证据获取任务分配给端点。
- 图像采集任务- 将磁盘图像采集任务分配给端点。
- 基线采集- 从特定端点采集基线数据以建立参考点。
- 比较基线- 比较特定端点的多个基线采集任务以识别变化。
- 获取比较报告- 检索特定端点和任务的比较结果报告。
- 创建获取配置文件- 使用特定证据/工件/网络设置创建新的获取配置文件。
- 获取文物- 列出可用于收集证据的文物。
- 获取证据- 列出可用于法医数据收集的证据项目。
- 重启任务- 将重启任务分配给特定端点。
- 关机任务- 将关机任务分配给特定端点。
- 隔离任务- 隔离或取消隔离特定端点。
- 日志检索任务- 从特定端点检索日志。
- 版本更新任务- 将版本更新任务分配给特定端点。
- 组织管理——列出组织。
- 案例管理- 列出您组织中的案例。
- 策略管理——查看整个组织的安全策略。
- 任务管理——跟踪法医收集任务及其状态。
- 分类规则- 查看 YARA、Osquery 和 Sigma 规则以进行威胁检测。
- 用户管理- 列出您组织中的用户。
- 无人机分析器- 查看可用的无人机分析器及其支持的操作系统。
- 审计日志导出- 启动审计日志的导出。
- 列出审计日志- 查看系统的审计日志。
- 卸载资产- 根据过滤器卸载特定资产而不清除数据。
- 清除和卸载资产- 根据过滤器清除数据并卸载特定资产。
- 为资产添加标签- 根据过滤器为特定资产添加标签。
- 从资产中删除标签- 根据过滤器从特定资产中删除标签。
- 自动资产标记- 创建和更新规则以根据特定条件自动标记资产。
- 列出汽车资产标签- 列出所有现有的汽车资产标签规则。
- 获取自动资产标签详细信息- 通过 ID 获取特定自动资产标签规则的详细信息。
- 删除自动资产标签- 根据 ID 删除特定的自动资产标签规则。
- 开始自动标记- 启动符合特定过滤条件的资产的自动标记过程。
- 电子发现模式- 列出可用于检测不同文件类型的电子发现模式。
- 政策管理- 列出、创建、更新和删除组织中的政策。
- 政策匹配统计- 根据各种标准查看哪些政策适用于您的资产。
- 任务分配管理-查看和管理任务分配。
概述
此 MCP 服务器在**大型语言模型 (LLM)**和 Binalyze AIR 之间架起了一座桥梁,允许通过自然语言进行交互。无需编写代码或学习复杂的 API,即可检索有关您的数字取证环境的信息。
🔑 API 令牌要求
**重要提示:**身份验证需要 API 令牌。请使用AIR_API_TOKEN环境变量进行设置。
📦安装
本地开发
# Clone the repository
git clone https://github.com/binalyze/air-mcp
# Change to the project directory
cd air-mcp
# Install dependencies
npm install
# Build the project
npm run build
与 Claude Desktop 一起使用
将以下配置添加到您的 Claude Desktop 配置文件:
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
与游标一起使用
- 导航至光标设置 > MCP
- 使用以下配置添加新的 MCP 服务器:
{
"mcpServers": {
"air-mcp": {
"command": "npx",
"args": ["-y", "@binalyze/air-mcp"],
"env": {
"AIR_HOST": "your-api-host.com",
"AIR_API_TOKEN": "your-api-token"
}
}
}
}
🧩 与 Smithery 一起使用
**注意:**不要忘记在编辑器中激活代理模式。
单行安装命令
克劳德
npx -y @smithery/cli@latest install @binalyze/air-mcp --client claude --key {smithery_key}
光标
npx -y @smithery/cli@latest install @binalyze/air-mcp --client cursor --key {smithery_key}
风帆冲浪
npx -y @smithery/cli@latest install@rapidappio/rapidapp-mcp --client windsurf --key {smithery_key}
VSCode
npx -y @smithery/cli@latest install @binalyze/air-mcp --client vscode --key {smithery_key}
或者使用 VSCode 中的 Magic Link 选项。
如何使用
在 Claude Desktop 或任何 MCP 客户端中,您可以使用自然语言命令:
| 命令 | 描述 |
|---|
List all assets in the system | 显示所有托管/非托管端点及其操作系统、平台信息 |
Get details about asset with ID "abc123" | 显示特定资产的详细信息 |
Get tasks for asset with ID "abc123" | 显示与特定资产相关的所有任务 |
List all acquisition profiles | 显示可用的采集配置文件 |
Get acquisition profile details by ID | 显示有关特定采集配置文件的详细信息,包括证据和文物 |
List all acquisition artifacts | 显示所有可用于证据收集的文物,按平台和类别组织 |
List all acquisition evidences | 显示所有可用于法医数据收集的证据项目,按平台和类别组织 |
Assign an acquisition task to endpoint 123abc using profile "full" for case "C-2022-0001" | 将证据获取任务分配给指定端点 |
Assign an image acquisition task to endpoint 123abc for volume /dev/sda1 saving to repository 456def | 将磁盘映像获取任务分配给特定端点和卷,并保存到指定的存储库 |
Create an acquisition profile named "My Custom Profile" with windows evidence ["clp"] and linux artifact ["apcl"] | 使用指定的配置创建一个新的采集配置文件 |
Reboot endpoint 123abc | 将重启任务分配给特定端点 |
Shutdown endpoint 123abc | 将关机任务分配给特定端点 |
Isolate endpoint 123abc | 将隔离任务分配给特定端点 |
Unisolate endpoint 123abc | 移除与特定端点的隔离 |
Retrieve logs from endpoint 123abc | 将日志检索任务分配给特定端点 |
Update version for endpoint 123abc | 将版本更新任务分配给特定端点 |
List all organizations | 显示环境中的所有组织 |
List all cases | 显示案例的状态和创建时间 |
List all policies | 显示安全策略和收集策略 |
List all tasks | 列出所有任务及其状态 |
List all triage rules | 显示用于威胁检测的 YARA、OSQuery 和 Sigma 规则 |
List all users | 显示系统中的所有用户及其详细信息 |
List all drone analyzers | 显示可用的无人机分析仪及其支持的操作系统 |
Export audit logs | 启动审计日志的导出。导出操作在 AIR 服务器的后台运行。 |
List audit logs | 显示审计日志,其中包含时间戳、用户、操作、实体等详细信息 |
Uninstall asset with ID "endpoint-id" | 卸载指定资产而不清除数据(需要提供filter.includedEndpointIds ) |
Purge and uninstall asset with ID "endpoint-id" | 清除数据并卸载指定资产(需要提供filter.includedEndpointIds ) |
Add tags ["tag1", "tag2"] to asset with ID "endpoint-id" | 将指定的标签添加到目标资产(需要提供filter.includedEndpointIds和tags ) |
Remove tags ["tag1"] from asset with ID "endpoint-id" | 从目标资产中删除指定的标签(需要提供filter.includedEndpointIds和tags ) |
Create an auto asset tag named "Web Server" | 创建新规则以根据条件自动标记资产。 |
Update auto asset tag "fkkEPhpqMNqJeHfi4RyxiWEm" to have tag name "Updated Container" with linux process "containerd" running | 使用新条件更新现有的自动资产标签规则。 |
List all auto asset tag rules | 列出所有现有的自动资产标签规则及其配置。 |
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 显示有关特定自动资产标签规则的详细信息。 |
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm" | 根据 ID 删除特定的自动资产标签规则。 |
Start auto tagging for windows machines | 启动符合指定条件的 Windows 资产的自动标记过程。 |
Acquire baseline for case "C-2022-001" from endpoints ["id1", "id2"] | 从给定案例 ID 的指定端点获取基线数据。 |
Compare baselines for endpoint "id1" with task IDs ["task1", "task2"] | 比较特定端点的多个基线采集任务以识别变化。 |
Get comparison report for endpoint "id1" and task "task1" | 检索特定端点和比较任务的比较结果报告。 |
List all e-discovery patterns | 显示所有可用于文件类型检测的电子发现模式 |
Create a policy named "Production Policy" with specific storage settings | 使用自定义设置创建新策略 |
Update policy with ID "abc123" | 使用新设置更新现有策略 |
Get policy details for ID "System" | 显示有关特定策略的详细信息 |
Update policy priorities to ["policy1", "policy2", "policy3"] | 更新政策应用顺序 |
Show policy match statistics | 显示每个策略匹配的端点数量 |
Get policy distribution for Windows endpoints | 显示按平台过滤的政策匹配项 |
Get policy match stats for offline endpoints | 显示离线资产的政策匹配情况 |
Delete policy with ID "abc123" | 从系统中永久删除策略 |
Get all assignments for task with ID "def456" | 显示与特定任务相关的所有分配 |
Cancel task assignment with ID "xyz789" | 取消特定任务分配 |
Delete task assignment with ID "xyz789" | 永久删除任务分配 |
Get details about task with ID "40a9dc46-d401-4bd1-82d3-ca9cf97c9024" | 显示有关特定任务的详细信息,包括证据类型和配置 |
Cancel task with ID "abc123" | 取消指定 ID 的正在运行的任务 |
Delete task with ID "abc123" | 永久删除特定任务 |
查看采集文物
您可以列出所有可用的采集文物以用于证据收集:
List all acquisition artifacts
Show me all available artifacts for Windows
What artifacts can be collected for evidence?
这将显示在获取任务期间可以收集的工件的分类列表,按平台(Windows、Linux、macOS 等)和组类别(服务器、通信、云等)组织。
查看获取证据
您可以列出所有可用于法医数据收集的证据项目:
List all acquisition evidences
Show me all available evidences for Windows
What evidences can be collected during an investigation?
这将显示在法医调查期间可以收集的证据项目的分类列表,按平台(Windows、Linux、macOS 等)和组类别(系统、网络、内存等)组织。
查看电子取证模式
您可以列出所有可用于文件类型检测的电子发现模式:
List all e-discovery patterns
Show me all file patterns for e-discovery
What file patterns are available for e-discovery?
按组织过滤
您可以按组织 ID 过滤结果:
List all assets for organization 123
Show me all cases for organization 456
Get policies for organization 789
List tasks for organization 123
List triage rules for organization 123
List users for organization 123
Export audit logs for organization 0
List audit logs for organization 0
获取资产详细信息
您可以检索有关特定资产的详细信息:
Get details for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me information about endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
获取资产任务
您可以检索与特定资产相关的所有任务:
Get tasks for asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
Show me the tasks assigned to endpoint with ID "bc906dea-f92d-46b3-87f2-a2fc36667f70"
What tasks are currently running on asset "bc906dea-f92d-46b3-87f2-a2fc36667f70"
分配采购任务
您可以将证据获取任务分配给特定端点:
Assign an acquisition task to endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" using profile "full" for case "C-2022-0001"
Start an acquisition on endpoints ["id1", "id2"] with profile "memory" for case "C-2023-0045" with analyzers ["bha", "wsa"]
分配图像采集任务
您可以将磁盘映像获取任务分配给特定的端点和卷:
Assign an image acquisition task to endpoint "7a37cfdb-..." for volume "/dev/disk3s5" saving to repository "Q2gCVO..." with case ID "C-2024-0123"
Assign image task for endpoint "ep-id-1" volumes ["/dev/sda1", "/dev/sda2"] and endpoint "ep-id-2" volume "C:" to repository "repo-xyz"
分配重启任务
您可以将重启任务分配给特定端点:
Reboot endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a reboot task to endpoints ["id1", "id2"] for organization 123
分配关机任务
您可以将关机任务分配给特定端点:
Shutdown endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a shutdown task to endpoints ["id1", "id2"] for organization 123
分配隔离任务
您可以隔离或取消隔离特定端点:
Isolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign an isolation task to endpoints ["id1", "id2"] for organization 123
Unisolate endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" (by setting enabled=false)
Assign an unisolation task to endpoints ["id1", "id2"] with enabled=false
分配日志检索任务
您可以从特定端点检索日志:
Retrieve logs from endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with organization ID 0
Assign a log retrieval task to endpoints ["id1", "id2"] for organization 123
注意:分配日志检索任务时,请务必指定组织 ID。端点必须存在于指定的组织中。
分配版本更新任务
您可以将版本更新任务分配给特定端点:
Update version for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Assign a version update task to endpoints ["id1", "id2"] for organization 123
卸载资产
您可以使用过滤器卸载资产而不清除其数据。您必须通过filter.includedEndpointIds指定要卸载资产的确切 ID。
Uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Uninstall assets with IDs ["id1", "id2"] for organization 0
清除和卸载资产
您可以使用过滤器清除资产数据并卸载资产。您必须通过filter.includedEndpointIds指定要清除和卸载的资产的确切 ID。
Purge and uninstall asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Purge and uninstall assets with IDs ["id1", "id2"] for organization 0
为资产添加标签
您可以使用过滤器为特定资产添加标签。您必须通过filter.includedEndpointIds指定要添加标签的资产的确切 ID,并在tags数组中提供至少一个标签。
Add tags ["important", "review-needed"] to asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Add tag "critical" to assets with IDs ["id1", "id2"] for organization 0
从资产中删除标签
您可以使用过滤器从特定资产中移除标签。您必须通过filter.includedEndpointIds指定要移除标签的资产的确切 ID,并在tags数组中提供至少一个标签。
Remove tags ["obsolete"] from asset with ID "0ccbb181-685c-4f1e-982a-6f7c7e88eadd"
Remove tag "needs-review" from assets with IDs ["id1", "id2"] for organization 0
创建自动资产标签规则
您可以定义规则,根据不同操作系统上的条件自动标记资产。请描述 Linux、Windows 和 macOS 的标签名称和条件。
Create an auto asset tag named "Web Server"
- For Linux: if process "apache2" is running OR process "nginx" is running
- For Windows: if process "httpd.exe" is running OR process "nginx.exe" is running
- For macOS: if process "httpd" is running
Create auto asset tag "Domain Controller" if windows registry key "HKLM\\SYSTEM\\CurrentControlSet\\Services\\NTDS\\Parameters" exists
获取汽车资产标签详细信息
您可以通过 ID 检索特定自动资产标签规则的详细信息:
Get auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Show me details about the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Fetch information about auto asset tag "f6kEPhpqMNqJeHfi4RyxiWEm"
删除自动资产标签
您可以通过 ID 删除自动资产标签规则:
Delete auto asset tag with ID "f6kEPhpqMNqJeHfi4RyxiWEm"
Remove the auto asset tag rule "f6kEPhpqMNqJeHfi4RyxiWEm"
Delete the auto asset tagging rule "f6kEPhpqMNqJeHfi4RyxiWEm"
列出汽车资产标签规则
您可以列出所有已配置的自动资产标签规则以查看其 ID、标签和条件。
List all auto asset tags
Show me the auto asset tag rules
启动自动资产标记流程
您可以针对符合特定过滤条件的资产启动自动标记过程。
Start auto tagging for all Windows assets
Start tagging for managed Windows endpoints
Initiate auto tagging process for assets with platform "linux"
Start auto tagging for endpoints with IDs ["id1", "id2"]
获取基线
您可以通过提供案例 ID 和过滤条件来获取特定端点的基线数据。基线为法医调查中的比较建立了参考点。
Acquire baseline for case "C-2022-001" from endpoints ["0ccbb181-685c-4f1e-982a-6f7c7e88eadd", "7a37cfdb-..."]
Get baseline data for case "C-2023-042" from all Windows endpoints
Acquire baseline for online endpoints with case ID "C-2024-099"
Collect baseline from managed endpoints with IDs ["id1", "id2", "id3"] for case "C-2024-100"
比较基线采集任务
您可以比较特定端点的多个基线采集任务,以识别随时间或不同系统状态之间的变化:
Compare baselines for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" with task IDs ["task1", "task2"]
Compare baseline tasks ["task-id-1", "task-id-2", "task-id-3"] for endpoint "7a37cfdb-..."
Create baseline comparison between tasks "pre-update-task-id" and "post-update-task-id" for endpoint "bc906dea-..."
获取比较报告
您可以检索特定端点和比较任务的比较结果报告:
Get comparison report for endpoint "0ccbb181-685c-4f1e-982a-6f7c7e88eadd" and task "task1"
Show me the comparison result for endpoint "7a37cfdb-..." and task "comparison-task-id"
Download the baseline comparison report for endpoint "bc906dea-..." task "task-xyz"
创建策略
您可以使用特定的存储、压缩和安全设置创建新策略:
Create a policy named "Dev Policy" with:
Windows storage at C:\Binalyze\AIR
Linux storage at /opt/binalyze/air
macOS storage at /opt/binalyze/air
Compression enabled
Encryption enable with password "secure123"
查看任务分配
您可以检查任务分配的状态:
Show me all assignments for task abc-123-456