Crowdstrike Falcon

Соединяет ИИ-агентов с CrowdStrike Falcon для автоматизированного анализа безопасности и охоты за угрозами.

Python

⭐ 56 stars

Описание

falcon-mcp — сервер Model Context Protocol (MCP) на Python, интегрирующий AI агентов с API CrowdStrike Falcon. Поддерживает модули для анализа детекций, инцидентов, хостов, уязвимостей, threat intelligence и облачной безопасности. Использует Falcon Query Language (FQL) для гибких запросов. Применения: threat hunting, incident response, управление уязвимостями, мониторинг сенсоров и идентификационная защита.

Возможности

✓

Анализ детекций

Поиск и детальный анализ детекций для понимания вредоносной активности и threat hunting.

✓

Управление инцидентами

Поиск инцидентов, поведений и CrowdScore для оценки атак и мониторинга позы безопасности.

✓

Поиск хостов

Запрос и детализация информации о хостах/устройствах для asset management и compliance.

✓

Threat intelligence

Исследование актеров угроз, IOC и отчетов для анализа ландшафта угроз.

✓

Управление уязвимостями

Поиск уязвимостей, контейнеров и serverless-функций для оценки рисков и патчинга.

✓

Identity Protection

Расследование сущностей, timeline и рисков для анализа поведения пользователей и эндпоинтов.

Установка

Требования: Python 3.11+, uv или pip, API-ключи CrowdStrike (создать в консоли: Support > API Clients and Keys, указать scopes по модулям). Настройка: Создать .env с FALCON_CLIENT_ID, FALCON_CLIENT_SECRET, FALCON_BASE_URL (по умолчанию https://api.crowdstrike.com). Установка: uv tool install falcon-mcp Или pip install falcon-mcp Запуск: falcon-mcp (stdio по умолчанию) или с –transport sse/streamable-http. Для Docker: docker pull quay.io/crowdstrike/falcon-mcp:latest; docker run -i –rm –env-file .env quay.io/crowdstrike/falcon-mcp:latest.

Информация

Язык

Python

Лицензия

MIT License

GitHub Stars

Ссылки

GitHub