🚀 重磅发布:SOAR MCP Server - 让AI助手具备专业安全响应能力
📢 重要发布公告
雾帜智能正式发布开源项目 SOAR MCP Server,这是业内首个基于 Model Context Protocol (MCP) 的 SOAR 平台集成解决方案。通过该项目,我们让 Claude Desktop、Cherry Studio、Cursor 等AI客户端直接具备了专业的网络安全响应能力。
🔗 项目地址: https://github.com/flagify-com/soar-mcp
🌟 什么是 Model Context Protocol (MCP)?
Model Context Protocol (MCP) 是 Anthropic 公司推出的开放标准协议,旨在为AI助手提供安全、可控的外部工具调用能力。通过 MCP,AI助手可以:
• 🔧 调用外部工具:执行数据库查询、API调用、文件操作等 • 📊 访问实时数据:获取最新的业务数据和系统状态 • 🤖 自动化工作流:将复杂的多步骤操作串联起来 • 🛡️ 安全可控:所有操作都在严格的权限控制下进行
MCP 正在成为连接AI与现实世界系统的标准桥梁,让AI助手从"对话工具"进化为"行动助手"。
🎯 为什么要用 MCP 驱动 SOAR?
传统 SOAR 平台的挑战
传统的安全编排、自动化和响应(SOAR)平台虽然功能强大,但在实际使用中面临诸多挑战:
• 🧠 学习门槛高:复杂的UI界面和配置流程 • ⚡ 响应速度慢:需要人工导航到对应功能页面 • 🔄 操作繁琐:重复性任务需要多次点击 • 💼 切换成本高:不同安全工具间的操作方式差异大
MCP + SOAR 的革命性优势
通过 MCP 协议驱动 SOAR 平台,我们实现了:
🗣️ 自然语言操作
用户:"帮我检查IP地址 192.168.1.100 的威胁情报"AI:"正在执行IP信誉检查剧本,请稍候..."⚡ 秒级响应
• 无需登录SOAR界面 • 无需寻找对应功能 • 一句话直接执行安全操作
🤖 智能化决策
• AI理解安全语境和意图 • 自动选择最适合的安全剧本 • 智能填充执行参数
🔄 工作流整合
• 在日常聊天中无缝集成安全操作 • 支持复杂的多步骤安全响应流程 • 与其他工具和数据源联动
🛡️ OctoMation:低代码编排自动化平台
SOAR MCP Server 专为 OctoMation 平台(雾帜智能安全编排自动化与响应产品HoneyGuide SOAR的社区免费版)设计。OctoMation 是由雾帜智能开发的功能强大的SOAR平台,具有以下特色:
🏗️ 完整的安全工具生态
• 支持主流安全产品和平台集成 • 覆盖防火墙、EDR、SIEM、威胁情报等全品类 • 标准化的API接口和数据格式
📚 丰富的安全剧本库
• 预置大量实用的安全响应剧本 • 涵盖事件调查、威胁猎杀、应急响应等场景 • 可视化剧本编排,支持自定义扩展
🔄 灵活的工作流引擎
• 拖拽式剧本设计界面 • 支持条件分支、循环、并发等逻辑 • 实时执行监控和结果反馈
🌐 开放的架构设计
• 微服务架构,易于扩展和部署 • 支持私有化部署和云端部署 • 完整的API文档和SDK支持
🔗 SOAR MCP 与 OctoMation 联动方式
架构设计
┌─────────────────┐ ┌─────────────────┐ ┌─────────────────┐│ AI 客户端 │ │ SOAR MCP │ │ OctoMation ││ (Cherry Studio) │◄──►│ Server │◄──►│ Platform ││ (Claude Desktop)│ │ │ │ │└─────────────────┘ └─────────────────┘ └─────────────────┘核心功能
📋 剧本管理
• list_playbooks_quick- 快速获取可用剧本列表• query_playbook_execution_params- 查询剧本执行参数• execute_playbook- 执行指定剧本
📊 执行监控
• query_playbook_execution_status- 实时查询执行状态• query_playbook_execution_result- 获取详细执行结果
🔐 安全认证
• 基于Token的安全认证机制 • 完整的审计日志记录 • 细粒度的权限控制
联动效果
1. 🎯 精准理解:AI理解用户的安全需求和意图 2. 🔍 智能匹配:自动选择最适合的安全剧本和参数 3. ⚡ 快速执行:通过MCP直接调用OctoMation API 4. 📈 实时反馈:持续监控执行状态,智能解读结果 5. 🔄 持续优化:基于执行结果提供改进建议
💡 典型应用场景
🔍 场景一:威胁情报查询
用户输入: "请帮我查一下这个IP 192.168.1.100 是否为恶意IP"
AI响应流程:
1. 理解用户意图 → IP威胁情报查询 2. 选择合适剧本 → "IP信誉检查剧本" 3. 自动填充参数 → src="192.168.1.100" 4. 执行安全剧本 → 调用多个威胁情报源 5. 解读执行结果 → 提供综合安全评估
🚨 场景二:安全事件响应
用户输入: "检测到可疑登录行为,用户账号:[email protected],来源IP:203.0.113.10"
AI响应流程:
1. 识别安全事件 → 异常登录事件 2. 启动响应剧本 → "账号异常登录调查剧本" 3. 并行执行操作 → IP信誉检查 + 账号行为分析 + 设备指纹识别 4. 综合风险评估 → 基于多维度数据判断威胁等级 5. 提出处置建议 → 账号锁定、IP封禁等措施
🔒 场景三:应急响应协调
用户输入: "发现恶意文件哈希:a1b2c3d4e5f6,需要全网查杀"
AI响应流程:
1. 启动应急剧本 → "恶意文件全网查杀剧本" 2. 多平台联动 → EDR + 防火墙 + 邮件安全网关 3. 实时监控进度 → 各平台查杀状态统计 4. 结果汇总分析 → 受影响主机列表和清理结果 5. 生成调查报告 → 包含时间线、影响范围、处置措施
🖼️ Cherry Studio 应用截图展示
截图1:剧本列表查询
{ "mcpServers": { "soar-mcp": { "type": "http", "name": "soar-mcp", "description": "SOAR 安全编排平台集成", "url": "http://127.0.0.1:12345/mcp?token=xxxx" } }}截图2:MCP Server可用tools列表
截图3:在Cherry Studio中使用SOAR MCP Server
🔧 快速开始体验
1. 部署 SOAR MCP Server
# 克隆项目git clone https://github.com/flagify-com/soar-mcp.gitcd soar-mcp# 安装依赖pip install -r requirements.txt# 启动服务python3 soar_mcp_server.py2. 配置SOAR参数
MCP Server启动后,控制台会打印相关信息,且自带Web管理界面,支持用户自己配置SOAR连接参数以及查看剧本导入结果。
3. 配置 MCP 客户端,如Cherry Studio, Claude Desktop
在 Cherry Studio 中添加以下配置:
{ "mcpServers": { "soar-mcp": { "type": "http", "name": "soar-mcp", "description": "SOAR 安全编排平台集成", "url": "http://127.0.0.1:12345/mcp?token=your_token_here" } }}4. 开始安全响应之旅
在AI客户端中直接使用自然语言执行安全操作:
• "帮我查询这个IP的威胁情报" • "分析这个文件哈希是否为恶意文件" • "调查这个用户账号的异常行为"
🌟 项目价值与愿景
💡 技术创新
• 业内首创:MCP + SOAR 的创新结合 • 开放标准:基于Anthropic MCP协议 • 开源共享:完全开源,促进社区发展
🎯 用户价值
• 降低门槛:自然语言替代复杂UI操作 • 提升效率:秒级响应取代分钟级操作 • 智能决策:AI理解+专业工具执行
🔮 未来愿景
我们致力于打造**"AI驱动的安全运营中心"**,让每个安全从业者都能拥有AI助手,实现:
• 🤖 7×24小时智能值守 • ⚡ 自动化威胁响应 • 🧠 智能化决策支持 • 🔄 持续学习优化
📞 联系我们
雾帜智能 专注于AI驱动的网络安全解决方案,致力于让安全更智能、更高效。
• 🌐 官网: https://flagify.com • 📧 邮箱:[email protected] • 📱 项目地址: https://github.com/flagify-com/soar-mcp • 💬 技术交流: 欢迎在GitHub提交Issue或PR
让AI成为您的安全专家,让SOAR更智能! 🚀
推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
还没有评论,来说两句吧...