complete-mitre-attack-mcp-server - 支持ATT&CK可视化，全面访问MITRE框架的MCP威胁情报工具

Complete Mitre Attack MCP Server

MITRE ATT&CK MCP服务器是一个AI原生威胁情报工具，通过Model Context Protocol提供对MITRE ATT&CK框架的全面访问，包含200+技术、140+威胁组织、700+软件条目的查询能力，支持ATT&CK Navigator可视化层生成，专为安全团队和AI智能体设计。

安全研究与数据 #威胁情报 #安全框架 #AI工具 #MCP服务 .Python

评分 : 2分

下载量 : 6.2K

更新时间 : 2025-12-29

打开站点

什么是MITRE ATT&CK MCP Server?

这是一个基于Model Context Protocol (MCP)的服务器，专门为AI系统提供对MITRE ATT&CK框架的访问。MITRE ATT&CK是全球最权威的对手战术、技术和程序(TTPs)知识库。本服务器将复杂的威胁情报数据转换为LLM友好的结构化格式，让AI助手能够像安全专家一样查询和分析威胁信息。

如何使用MITRE ATT&CK MCP Server?

安装后，AI助手（如Claude Desktop）可以直接通过自然语言查询MITRE ATT&CK数据。例如，您可以询问'APT29使用哪些初始访问技术？'或'生成勒索软件组织的ATT&CK导航图'。服务器会自动下载官方数据并在本地缓存，提供快速响应。

适用场景

适合安全团队、威胁猎人、检测工程师、AI研究人员以及任何需要智能访问威胁情报的用户。可用于威胁分析、检测规则开发、红队演练规划、安全态势评估和自动化安全报告生成。

主要功能

全面覆盖ATT&CK框架

支持企业版、移动版和工业控制系统(ICS)版ATT&CK，包含200+攻击技术、140+威胁组织、700+恶意软件工具、100+缓解措施和所有战术阶段。

65+专用查询工具

提供专门设计的MCP工具，包括按ID查询技术、搜索威胁组织、查找软件关联、生成可视化图层等，覆盖所有ATT&CK实体和关系。

ATT&CK导航图生成

自动生成ATT&CK Navigator兼容的JSON图层文件，可上传到官方导航器网站进行可视化分析，支持威胁覆盖图、检测差距分析等。

智能缓存与自动更新

首次运行时自动下载官方STIX数据(~59MB)并本地缓存，后续查询无需网络连接，确保快速响应和数据一致性。

LLM友好输出

所有数据都转换为结构化、易于理解的格式，专门为大型语言模型优化，支持自然语言查询和复杂推理。

多平台安装支持

支持Python pip安装、Node.js npm安装、npx直接运行，兼容macOS、Windows和Linux系统。

优势

无需手动查询MITRE网站，AI助手可直接访问最新威胁情报

结构化数据便于自动化分析和报告生成

支持复杂关系查询（如'哪些组织使用特定技术'）

可视化输出帮助快速理解威胁态势

基于官方MITRE数据，确保准确性和权威性

与Claude Desktop等MCP客户端无缝集成

局限性

首次使用需要下载约59MB数据文件

需要基本的MCP客户端配置知识

高级自定义分析可能需要结合其他工具

数据更新依赖MITRE官方发布周期

如何使用

安装服务器

选择适合您环境的安装方式。推荐使用npx无需安装，或pip安装Python版本。

配置Claude Desktop

在Claude Desktop配置文件中添加MCP服务器配置。macOS配置文件位于~/Library/Application Support/Claude/claude_desktop_config.json，Windows位于%APPDATA%\Claude\claude_desktop_config.json。

重启并开始使用

完全退出并重新启动Claude Desktop。服务器将在首次运行时自动下载MITRE数据。之后即可通过自然语言查询ATT&CK信息。

使用案例

威胁情报分析

安全分析师需要快速了解特定威胁组织（如APT29）的攻击模式和技术使用情况。

检测规则开发

检测工程师需要了解特定攻击技术（如进程注入T1055）的检测方法和数据源。

红队演练规划

红队需要规划一次模拟攻击演练，需要了解特定平台（如Windows）的常见攻击技术。

安全态势评估

CISO需要评估组织当前安全控制对常见威胁的覆盖情况。

常见问题

需要网络连接才能使用吗？

数据多久更新一次？

支持哪些MCP客户端？

如何生成可视化图表？

可以查询子技术吗？

数据存储在哪里？可以自定义位置吗？

🚀 🔒 MITRE ATT&CK MCP Server

以原生AI方式访问全球领先的威胁情报框架

该项目将全球领先的对手知识库转化为原生AI接口。基于模型上下文协议构建，使大语言模型和智能体系统能够查询200多种技术、140多个组织、700多个软件条目，对复杂的威胁关系和战术、技术与程序（TTP）进行推理，使用ATT&CK Navigator层可视化覆盖差距，并通过结构化工具扩展威胁情报工作流程。非常适合安全团队、威胁猎手、检测工程师、AI研究人员以及任何构建智能安全系统的人员。

主要特性 • 安装指南 • 快速开始 • 可用工具 • 示例查询 • 路线图与愿景

🚀 快速开始

1. 安装

pip install mitre-mcp-server

2. 配置Claude Desktop

将以下内容添加到 claude_desktop_config.json 文件中：

macOS：~/Library/Application Support/Claude/claude_desktop_config.json
Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "mitre-attack": {
      "command": "npx",
      "args": ["-y", "@imouiche/mitre-attack-mcp-server"]
    }
  }
}

3. 重启Claude Desktop

完全退出Claude Desktop（在macOS上使用Cmd + Q），然后重新打开。

4. 开始查询！

向Claude提问，例如：

"APT29在初始访问时使用了哪些技术？" "为勒索软件组织生成一个ATT&CK Navigator层" "展示所有Windows持久化技术"

首次运行时会自动下载数据（约59MB，缓存于 ~/.mitre-mcp-server/data/）。

✨ 主要特性

✅ 在ATT&CK领域（企业、移动、工业控制系统）提供65+个MCP工具
✅ 首次运行时自动下载并缓存STIX数据
✅ 原生支持ATT&CK Navigator层生成
✅ 专为大语言模型和MCP兼容客户端设计
✅ 内存缓存，实现即时查询响应
✅ 使用Pydantic模型确保类型安全
✅ 简洁、可用于生产环境、自包含的服务器
✅ 全面的测试覆盖

📦 安装指南

通过PyPI（推荐） - Python用户

pip install mitre-mcp-server

npm

npm install -g @imouiche/mitre-attack-mcp-server

npx（无需安装）

npx @imouiche/mitre-attack-mcp-server

通过uv（现代Python）

uv pip install mitre-mcp-server

本地开发

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
npm install

使用uv（Python包管理器）

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync

📦 MCP注册表

此服务器已在模型上下文协议（MCP）注册表中正式注册。

注册表ID：io.github.imouiche/mitre-attack-mcp-server

在官方注册表中查看：https://registry.modelcontextprotocol.io/?q=mitre-attack-mcp-server

安装选项

选项1：直接使用NPM

npm install -g @imouiche/mitre-attack-mcp-server

选项2：使用NPX（无需安装）

npx @imouiche/mitre-attack-mcp-server

选项3：通过注册表发现

访问 MCP注册表
搜索 "mitre-attack"
点击服务器卡片获取安装说明

🛠️ 可用工具

该服务器提供了50多个MCP工具，涵盖了所有主要的MITRE ATT&CK实体和关系。

📊 基础设施与元数据

工具	描述
`get_data_stats`	显示下载状态、文件路径、大小和ATT&CK版本
`generate_layer`	生成ATT&CK Navigator层（JSON输出）
`get_layer_metadata`	返回Navigator层元数据模板

🎯 技术

工具	描述
`get_technique_by_id`	通过ATT&CK ID获取技术（例如，T1055）
`search_techniques`	按名称或描述搜索技术
`get_all_techniques`	获取所有技术
`get_all_parent_techniques`	仅获取父技术
`get_all_subtechniques`	获取所有子技术
`get_subtechniques_of_technique`	获取父技术的子技术
`get_parent_technique_of_subtechnique`	获取子技术的父技术
`get_technique_tactics`	获取与技术相关的战术
`get_techniques_by_tactic`	获取某个战术下的技术
`get_techniques_by_platform`	获取某个平台的技术
`get_revoked_techniques`	获取已撤销的技术

🧑‍💻 组织（威胁行为者）

工具	描述
`get_group_by_name`	按名称或别名查找组织
`search_groups`	搜索组织
`get_all_groups`	获取所有ATT&CK组织
`get_groups_by_alias`	按别名查找组织
`get_groups_using_technique`	获取使用某项技术的组织
`get_groups_using_software`	获取使用某个软件的组织
`get_groups_attributing_to_campaign`	获取归因于某个活动的组织

🧪 软件（恶意软件与工具）

工具	描述
`get_software`	获取所有软件
`search_software`	搜索软件
`get_software_by_alias`	按别名查找软件
`get_software_used_by_group`	获取某个组织使用的软件
`get_software_used_by_campaign`	获取某个活动中使用的软件
`get_software_using_technique`	获取使用某项技术的软件

📌 活动

工具	描述
`get_all_campaigns`	获取所有活动
`get_campaigns_by_alias`	按别名查找活动
`get_campaigns_using_technique`	获取使用某项技术的活动
`get_campaigns_using_software`	获取使用某个软件的活动
`get_campaigns_attributed_to_group`	获取归因于某个组织的活动

🛡️ 缓解措施

工具	描述
`get_all_mitigations`	获取所有缓解措施
`get_mitigations_mitigating_technique`	获取针对某项技术的缓解措施
`get_techniques_mitigated_by_mitigation`	获取由某个缓解措施缓解的技术

🧭 战术、数据源与工业控制系统

工具	描述
`get_all_tactics`	获取所有战术
`get_all_datasources`	获取所有数据源
`get_all_datacomponents`	获取所有数据组件
`get_datacomponents_detecting_technique`	获取检测某项技术的数据组件
`get_all_assets`	获取工业控制系统资产
`get_assets_targeted_by_technique`	获取被某项技术针对的资产

💻 使用示例

威胁情报

"APT29在初始访问时使用了哪些技术？"
"哪些组织针对金融机构？"
"展示所有与勒索软件相关的软件"
" Lazarus Group的别名有哪些？"

检测工程

"哪些数据源可以检测凭据转储？"
"为EDR能力生成一个覆盖图"
"列出所有Windows提权技术"
"什么可以检测T1055（进程注入）？"

威胁狩猎

"哪些技术使用了PowerShell？"
"展示Linux的横向移动技术"
"哪些组织使用了Cobalt Strike？"
"哪些持久化技术针对macOS？"

缓解与防御

"针对网络钓鱼攻击有哪些缓解措施？"
"展示所有针对提权的缓解措施"
"MFA可以缓解哪些技术？"

合规性与差距分析

"为我们EDR覆盖的所有技术生成一个层"
"将APT29的战术、技术与程序（TTP）与我们的检测能力进行比较"
"展示我们环境中未缓解的技术"

📊 ATT&CK Navigator可视化

generate_layer 工具可生成与ATT&CK Navigator兼容的JSON。

使用方法：

要求Claude生成一个层：

"为APT29使用的所有技术生成一个ATT&CK Navigator层"
将JSON输出保存到文件（例如，apt29_layer.json）
上传到 ATT&CK Navigator
可视化技术覆盖、威胁行为者使用情况或缓解措施映射

使用LangGraph的实际示例

威胁调查：阅读我的Medium博客，了解多智能体LangGraph系统如何利用这些工具进行实际威胁调查。
实时演示：在Hugging Face Spaces上探索交互式Gradio 6.2演示。

示例层用例：

红队覆盖：映射演习中使用的所有技术
检测差距：突出显示未监控的技术
威胁行为者概况：可视化组织的战术、技术与程序（TTP）
缓解措施覆盖：显示受保护和暴露的内容

🔧 技术细节

架构

语言：Python 3.12+
框架：用于模型上下文协议的FastMCP
数据库：官方 mitreattack-python（v5.3.0+）
异步/等待：为并发查询提供最佳性能
类型安全：所有数据结构均使用Pydantic模型
测试：全面的pytest覆盖

数据

企业ATT&CK：v18.1+（约50.9MB）
移动ATT&CK：v18.1+（约4.9MB）
工业控制系统ATT&CK：v18.1+（约3.5MB）
总计：约59MB，本地缓存
存储：~/.mitre-mcp-server/data/v{version}/
更新：安装时自动下载，后续运行使用缓存数据

性能

内存缓存：启动时加载所有域
查询速度：大多数操作在亚秒级完成
图遍历：高效的关系查询
并发：处理多个并发请求

要求

Python：3.12或更高版本
Node.js：16+（用于NPM安装）
磁盘空间：约150MB（包括依赖项和数据）
内存：运行时约200MB RAM

🚀 路线图与愿景

该项目是构建全面的智能安全自动化这一更大愿景的第一个组件，旨在集成多个安全知识库和框架。

当前状态

✅ MITRE ATT&CK - 威胁情报和对手战术、技术与程序（TTP）（v18.1）

计划集成

🔜 CVE/NVD - 漏洞情报和利用映射
🔜 MITRE D3FEND - 防御对策知识图谱
🔜 Sigma规则 - 检测规则翻译和管理
🔜 CAPEC - 常见攻击模式枚举
🔜 CWE - 软件弱点枚举
🔜 智能渗透测试 - 多智能体自主安全测试

最终目标

使AI智能体能够自主地：

🎯 映射攻击面并识别漏洞
🛡️ 推荐防御对策
🔍 生成检测规则并验证覆盖范围
🤖 编排多阶段安全评估
📊 推理完整的攻防生命周期

参与贡献

我们欢迎以下人员的贡献：

🎓 从事论文项目的学生（网络安全、AI、智能体系统）
🔬 AI安全、威胁情报或智能体框架领域的研究人员
💻 热衷于安全自动化的开发人员
🏢 对研究合作或商业应用感兴趣的组织

感兴趣的领域：

集成其他安全框架（CVE、D3FEND、Sigma）
构建用于渗透测试和红队的智能工作流程
开发检测规则生成管道
创建威胁情报推理系统
改进MCP工具和文档

📬 感兴趣吗？ 打开一个问题、发起讨论或直接联系我们！

加入讨论 →

🤝 贡献指南

如果发现了漏洞、有功能请求或想为路线图做出贡献，请按以下方式操作：

欢迎所有贡献！

开发设置

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync
# uv run pytest (测试文件夹尚未发布)
uv run python -m mitre_mcp_server.server