AIBase
探索
Security Detections MCP
S

Security Detections MCP

Security Detections MCP 是一个基于Model Context Protocol的服务器,允许LLM查询统一的安全检测规则数据库,涵盖Sigma、Splunk ESCU、Elastic和KQL格式。最新3.0版本升级为自主检测工程平台,可自动从威胁情报中提取TTPs、分析覆盖差距、生成SIEM原生格式检测规则、运行测试并验证。项目包含71+工具、11个预构建工作流提示和知识图谱系统,支持多SIEM平台。
安全开发者工具#安全检测#威胁分析#自主工程#多平台支持.TypeScript
4分
6.0K
打开站点

概述

安装

工具列表

内容详情

替代品

什么是Security Detections MCP?

Security Detections MCP是一个智能安全检测平台,它将来自不同安全工具(Sigma、Splunk、Elastic、KQL)的检测规则统一到一个数据库中,让AI助手能够智能查询、分析和生成安全检测规则。最新3.0版本更是一个自主检测工程平台,能够自动分析威胁情报、识别覆盖漏洞、生成检测规则并验证其有效性。

如何使用Security Detections MCP?

您可以通过配置MCP客户端(如Cursor、Claude Desktop、VS Code)连接到该服务器,然后使用自然语言查询检测规则、分析安全覆盖度、生成新的检测规则或运行专家级安全评估工作流。

适用场景

适用于安全分析师、检测工程师、SOC团队、威胁猎手和红蓝队成员,用于快速查询现有检测规则、识别安全覆盖漏洞、生成新的检测规则、评估勒索软件就绪度、模拟APT攻击覆盖度等安全任务。

主要功能

统一检测规则查询
从单个界面查询Sigma、Splunk ESCU、Elastic和KQL的7,200+检测规则,支持全文搜索、MITRE ATT&CK技术过滤、CVE过滤等
自主检测工程平台(3.0新功能)
自动分析威胁情报,提取TTPs,识别覆盖漏洞,生成SIEM原生检测规则,运行Atomic Red Team测试并验证检测效果
11个专家级工作流提示
预构建的专家工作流,包括勒索软件就绪度评估、APT威胁模拟、紫队演练、SOC调查协助、执行层安全简报等
检测工程智能
从现有检测规则中学习模式,自动生成检测模板,跟踪常用字段和宏引用,基于模式建议改进
知识图谱/部落知识
持久化知识图谱,记录分析决策的原因和上下文,帮助未来AI助手理解历史决策逻辑
多SIEM平台支持
支持Splunk、Microsoft Sentinel、Elastic和Sigma格式,可根据配置生成相应平台的检测规则
71+个工具
提供71个以上工具,涵盖核心检测查询、工程智能、知识管理、动态分析、自主分析等多个类别
MCP资源与参数补全
提供可读的MCP资源上下文和参数自动补全,帮助AI助手更好地理解可用数据和正确使用工具
优势
统一查询多个安全平台的检测规则,节省切换工具的时间
自动化威胁分析和检测生成,大幅提升检测工程效率
预构建的专家工作流确保分析的一致性和专业性
知识图谱记录决策逻辑,形成可传承的部落知识
支持人类在环审核,所有PR都创建为草稿,确保安全可控
跨平台支持,可在macOS、Windows(WSL和原生)、Linux上运行
局限性
需要配置检测规则源路径,初始设置有一定复杂度
模式提取对KQL和Elastic格式的复杂表达式可能不够准确
部分高级功能(如交互式确认、采样)需要客户端支持
覆盖度分析依赖于源数据的MITRE标签准确性
需要Anthropic API密钥和Node.js环境

如何使用

安装与配置
通过npx直接运行或克隆仓库本地构建。配置环境变量指向您的检测规则源路径。
配置MCP客户端
在Cursor、Claude Desktop或VS Code中配置MCP服务器连接,设置环境变量。
下载检测规则内容
使用提供的脚本快速下载所有检测规则源,或手动克隆相关仓库。
开始查询与分析
通过AI助手使用自然语言查询检测规则、运行专家工作流或启动自主检测工程。

使用案例

勒索软件就绪度评估
全面评估组织对勒索软件攻击链的检测和响应能力,识别关键漏洞并提供修复路线图。
APT威胁模拟分析
评估对特定高级持续性威胁(APT)组织的检测覆盖度,如APT29、Lazarus、Volt Typhoon等。
检测工程冲刺规划
基于威胁情报生成优先级检测开发待办列表,包含用户故事和验收标准。
CVE响应评估
快速评估对新披露CVE漏洞的现有检测覆盖度,生成立即行动建议。
执行层安全简报
生成面向董事会或CISO的专业安全简报,使用业务风险语言和投资建议。

常见问题

这个MCP服务器需要什么先决条件?
如何获取检测规则内容?
自主检测工程平台会自动化提交代码吗?
支持哪些SIEM平台?
如何测试特定MITRE技术的覆盖度?
Windows用户遇到EBUSY错误怎么办?
如何与MITRE ATT&CK MCP配合使用?
什么是部落知识(Tribal Knowledge)?

相关资源

GitHub仓库
项目源代码、问题跟踪和最新更新
设置指南
详细的安装配置指南,涵盖macOS、Windows、Linux系统
自主平台文档
v3.0自主检测工程平台的详细文档
端到端测试指南
按SIEM平台(Splunk、Sentinel、Elastic、Sigma)的完整测试指南
MITRE ATT&CK MCP
配套的MITRE ATT&CK MCP服务器,提供威胁框架数据
Sigma规则仓库
Sigma检测规则官方仓库
Splunk安全内容
Splunk ESCU检测规则和故事
Elastic检测规则
Elastic检测规则仓库

安装

复制以下命令到你的Client进行配置
{
  "mcpServers": {
    "security-detections": {
      "command": "npx",
      "args": ["-y", "security-detections-mcp"],
      "env": {
        "SIGMA_PATHS": "/path/to/sigma/rules,/path/to/sigma/rules-threat-hunting",
        "SPLUNK_PATHS": "/path/to/security_content/detections",
        "ELASTIC_PATHS": "/path/to/detection-rules/rules",
        "STORY_PATHS": "/path/to/security_content/stories",
        "KQL_PATHS": "/path/to/Hunting-Queries-Detection-Rules"
      }
    }
  }
}

{
  "mcpServers": {
    "security-detections": {
      "command": "npx",
      "args": ["-y", "security-detections-mcp"],
      "env": {
        "SIGMA_PATHS": "/Users/you/sigma/rules,/Users/you/sigma/rules-threat-hunting",
        "SPLUNK_PATHS": "/Users/you/security_content/detections",
        "ELASTIC_PATHS": "/Users/you/detection-rules/rules",
        "STORY_PATHS": "/Users/you/security_content/stories",
        "KQL_PATHS": "/Users/you/Hunting-Queries-Detection-Rules"
      }
    }
  }
}

{
  "mcpServers": {
    "security-detections": {
      "command": "npx",
      "args": ["-y", "security-detections-mcp"],
      "env": {
        "SIGMA_PATHS": "/path/to/sigma/rules",
        "SPLUNK_PATHS": "/path/to/security_content/detections",
        "ELASTIC_PATHS": "/path/to/detection-rules/rules",
        "KQL_PATHS": "/path/to/kql-hunting-queries"
      }
    },
    "mitre-attack": {
      "command": "npx",
      "args": ["-y", "mitre-attack-mcp"],
      "env": {
        "ATTACK_DOMAIN": "enterprise-attack"
      }
    }
  }
}
注意:您的密钥属于敏感信息,请勿与任何人分享。

替代品

V
Vestige
Vestige是一个基于认知科学的AI记忆引擎,通过实现预测误差门控、FSRS-6间隔重复、记忆梦境等29个神经科学模块,为AI提供长期记忆能力。包含3D可视化仪表板和21个MCP工具,完全本地运行,无需云端。
Rust
5.5K
4.5分
M
Moltbrain
MoltBrain是一个为OpenClaw、MoltBook和Claude Code设计的长期记忆层插件,能够自动学习和回忆项目上下文,提供智能搜索、观察记录、分析统计和持久化存储功能。
TypeScript
5.0K
4.5分
B
Bm.md
一个功能丰富的Markdown排版工具,支持多种样式主题和平台适配,提供实时编辑预览、图片导出和API集成能力
TypeScript
3.4K
5分
P
Paperbanana
PaperBanana是一个自动化生成学术图表和统计图的智能框架,支持从文本描述生成高质量的论文插图,采用多智能体管道和迭代优化,提供CLI、Python API和MCP服务器等多种使用方式。
Python
7.5K
5分
B
Better Icons
一个提供超过20万图标搜索和检索的MCP服务器和CLI工具,支持150多个图标库,帮助AI助手和开发者快速获取和使用图标。
TypeScript
5.6K
4.5分
A
Assistant Ui
assistant-ui是一个开源TypeScript/React库,用于快速构建生产级AI聊天界面,提供可组合的UI组件、流式响应、无障碍访问等功能,支持多种AI后端和模型。
TypeScript
7.2K
5分
A
Apify MCP Server
Apify MCP服务器是一个基于模型上下文协议(MCP)的工具,允许AI助手通过数千个现成的爬虫、抓取器和自动化工具(Apify Actor)从社交媒体、搜索引擎、电商等网站提取数据。它支持OAuth和Skyfire代理支付,可通过HTTPS端点或本地stdio方式集成到Claude、VS Code等MCP客户端中。
TypeScript
7.4K
5分
R
Rsdoctor
Rsdoctor 是一款专为 Rspack 生态系统打造的构建分析工具,全面兼容 webpack,提供可视化构建分析、多维度性能诊断及智能优化建议,帮助开发者提升构建效率与工程质量。
TypeScript
9.3K
5分
F
Figma Context MCP
Framelink Figma MCP Server是一个为AI编程工具(如Cursor)提供Figma设计数据访问的服务器,通过简化Figma API响应,帮助AI更准确地实现设计到代码的一键转换。
TypeScript
74.3K
4.5分
D
Duckduckgo MCP Server
已认证
DuckDuckGo搜索MCP服务器,为Claude等LLM提供网页搜索和内容抓取服务
Python
84.2K
4.3分
F
Firecrawl MCP Server
Firecrawl MCP Server是一个集成Firecrawl网页抓取能力的模型上下文协议服务器,提供丰富的网页抓取、搜索和内容提取功能。
TypeScript
149.4K
5分
E
Edgeone Pages MCP Server
EdgeOne Pages MCP是一个通过MCP协议快速部署HTML内容到EdgeOne Pages并获取公开URL的服务
TypeScript
33.0K
4.8分
C
Context7
Context7 MCP是一个为AI编程助手提供实时、版本特定文档和代码示例的服务,通过Model Context Protocol直接集成到提示中,解决LLM使用过时信息的问题。
TypeScript
105.7K
4.7分
B
Baidu Map
已认证
百度地图MCP Server是国内首个兼容MCP协议的地图服务,提供地理编码、路线规划等10个标准化API接口,支持Python和Typescript快速接入,赋能智能体实现地图相关功能。
Python
50.1K
4.5分
E
Exa Web Search
已认证
Exa MCP Server是一个为AI助手(如Claude)提供网络搜索功能的服务器,通过Exa AI搜索API实现实时、安全的网络信息获取。
TypeScript
56.1K
5分
M
Minimax MCP Server
MiniMax Model Context Protocol (MCP) 是一个官方服务器,支持与强大的文本转语音、视频/图像生成API交互,适用于多种客户端工具如Claude Desktop、Cursor等。
Python
64.6K
4.8分
AIBase
智启未来,您的人工智能解决方案智库
简体中文
© 2026AIBase 备案号:闽ICP备08105208号-24