MCP - Panther：多ツール設定対応の安全分析MCPサーバ、IDEでルール作成・ログ検索

たんさく

MCP Panther

パンサーMCPサーバーはセキュリティ分析プラットフォームで、IDEでの検出ルールの作成、自然言語によるセキュリティログのクエリ、アラートの処理などの機能を提供し、複数のツールとクライアントの設定をサポートします。

セキュリティ開発者ツール #セキュリティ分析 #ログクエリ #アラート管理 #ルール作成 .Python

スコア : 2.5ポイント

ダウンロード数 : 5.6K

更新時間 : 2025-07-23

サイトを開く

パンサーMCPサーバーとは？

パンサーMCPサーバーは、モデルコンテキストプロトコル（MCP）の実装であり、ユーザーが自然言語でパンサーセキュリティプラットフォームと対話できるようにします。クエリの実行、アラートの管理、ログの分析、およびルールの開発とデバッグをサポートします。

パンサーMCPサーバーの使い方は？

APIキーとインスタンスURLを設定することで、パンサーMCPサーバーをIDEまたはAIツール（Cursor、Claude Desktopなど）に統合します。その後、自然言語のプロンプトを使用してデータをクエリ、アラートを管理、またはセキュリティルールを作成できます。

適用シナリオ

セキュリティアナリスト、開発者、およびITオペレーション担当者に適しています。セキュリティイベントの迅速な分析、アラートの管理、検出ルールのデバッグ、およびログデータのクエリに使用されます。

主な機能

アラート管理

コメントの追加、状態の更新、担当者の割り当て、および詳細情報の表示ができ、セキュリティチームによるアラート処理を容易にします。

ログクエリ

自然言語でPantherデータレイク内のログデータ（AWS CloudTrail、S3など）をクエリできます。

ルール開発

ユーザーがセキュリティルールを作成、更新、および無効化して、潜在的な脅威を検出できるようにします。

パターン管理

カスタムログ形式のパターン管理をサポートし、データ解析の効率を向上させます。

セキュリティのベストプラクティス

APIキーの権限制御、コンテナ化デプロイなどのセキュリティ提案を提供し、システムのセキュリティを確保します。

利点

セキュリティログ分析とアラート管理のプロセスを簡素化します。

自然言語による対話をサポートし、使用の敷居を下げます。

Cursor、Claudeなどの複数のツールと統合できます。

豊富なセキュリティのベストプラクティスガイドを提供します。

制限

APIキーの設定が必要で、初心者には学習コストがあります。

パンサープラットフォームの機能に依存しており、独立して動作することはできません。

一部の高度な機能には管理者権限が必要な場合があります。

使い方

APIキーの取得

パンサーコンソールで、必要な権限を持つAPIキーを生成します。

MCPサーバーの設定

使用するツール（Cursor、Claude Desktopなど）に合わせて、パンサーMCPサーバーを設定します。

MCPサーバーへの接続

ツールを起動した後、MCPサーバーが正常に接続されて使用可能であることを確認します。

使用例

最近の失敗したログインをクエリする

自然言語でAWS CloudTrailログをクエリして、最近の失敗したログイン試行を検索します。

アラートを解決済みとしてマークする

複数のアラートを解決済みとしてマークし、誤検知による干渉を減らします。

新しいルールの作成

7回以上の失敗したログインイベントを検出する新しいルールを作成します。

よくある質問

パンサーAPIキーを取得する方法は？

MCPサーバーに必要な権限は何ですか？

APIアクセスが拒否された問題を解決する方法は？

MCPサーバーはどの環境にデプロイできますか？

🚀 Panther MCP Server

Pantherのモデルコンテキストプロトコル（MCP）サーバーは、以下の機能を提供します。

IDEから検出ルールを作成し、調整する
自然言語を使用してセキュリティログを対話的にクエリする
1つまたは複数のアラートをトリアージし、コメントを追加し、解決する

🚀 クイックスタート

このセクションでは、Panther MCP Serverの利用を開始するための基本的な手順を説明します。

✨ 主な機能

IDEからの検出ルール作成と調整：IDEを使って検出ルールを作成し、調整することができます。
自然言語によるセキュリティログクエリ：自然言語を使ってセキュリティログを対話的にクエリすることができます。
アラートのトリアージ、コメント、解決：1つまたは複数のアラートをトリアージし、コメントを追加し、解決することができます。

📦 インストール

Docker Setup (おすすめ)

最も簡単な方法は、事前にビルドされたDockerイメージを使用することです。

{
  "mcpServers": {
    "mcp-panther": {
      "command": "docker",
      "args": [
        "run",
        "-i",
        "-e", "PANTHER_INSTANCE_URL",
        "-e", "PANTHER_API_TOKEN",
        "--rm",
        "ghcr.io/panther-labs/mcp-panther"
      ],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-API-KEY"
      }
    }
  }
}

UVX Setup

Pythonユーザーは、uvxを使用してPyPIから直接実行することができます。

UVをインストールする
MCPクライアントを設定する

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

💻 使用例

Cursor

こちらの手順に従って、プロジェクトまたはグローバルのMCP設定を構成します。このファイルをバージョン管理にチェックインしないようにしてください。

設定後、Cursorの設定 > MCPに移動して、実行中のサーバーを表示します。

ヒント

新しいルールを生成する場所を指定するには、@ 記号を使用してから特定のディレクトリを入力します。
ツールの使用中により高い信頼性を得るには、特定のモデル（例：Claude 3.7 Sonnet）を選択してみましょう。
MCPクライアントがPanther MCPサーバーからツールを見つけられない場合は、クライアントを再起動し、MCPサーバーが実行中であることを確認します。Cursorでは、MCPサーバーを更新して新しいチャットを開始します。

Claude Desktop

Claude Desktopで使用するには、claude_desktop_config.json を手動で設定します。

Claude Desktopの設定を開き、開発者タブに移動します。
[設定を編集] をクリックして、設定ファイルを開きます。
次の設定を追加します。

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

ファイルを保存し、Claude Desktopを再起動します。

問題が発生した場合は、こちらのトラブルシューティング手順を試してみてください。

Goose

Goose（BlockのオープンソースAIエージェント）で使用するには、次のコマンドを実行します。

# Start Goose with the MCP server
goose session --with-extension "uvx mcp-panther"

📚 詳細ドキュメント

利用可能なツール

Alerts

ツール名	説明	サンプルプロンプト
`add_alert_comment`	Pantherアラートにコメントを追加する	"アラートabc123にコメント 'かなり深刻そう' を追加する"
`get_alert_by_id`	特定のアラートの詳細情報を取得する	"アラート8def456のステータスは何ですか？"
`get_alert_events`	特定のアラートのイベントのサンプルを取得する	"アラート8def456に関連するイベントを表示してください"
`list_alerts`	包括的なフィルタオプション（日付範囲、重大度、ステータスなど）でアラートをリストする	"過去24時間のすべての高重大度アラートを表示してください"
`update_alert_assignee_by_id`	1つまたは複数のアラートの担当者を更新する	"アラートabc123とdef456をJohnに割り当てる"
`update_alert_status`	1つまたは複数のアラートのステータスを更新する	"アラートabc123とdef456を解決済みとしてマークする"
`list_alert_comments`	特定のアラートのすべてのコメントをリストする	"アラートabc123のすべてのコメントを表示してください"

Data

ツール名	説明	サンプルプロンプト
`execute_data_lake_query`	Pantherのデータレイクに対してSQLクエリを実行する	"過去1日間の失敗したログイン試行をAWS CloudTrailログからクエリする"
`get_data_lake_query_results`	以前に実行したデータレイククエリの結果を取得する	"クエリID abc123の結果を取得する"
`get_sample_log_events`	特定のログタイプの最近の10件のイベントのサンプルを取得する	"AWS_CLOUDTRAILログのサンプルイベントを表示してください"
`get_table_schema`	特定のテーブルのスキーマ情報を取得する	"AWS_CLOUDTRAILテーブルのスキーマを表示してください"
`list_databases`	Pantherのすべての利用可能なデータレイクデータベースをリストする	"すべての利用可能なデータベースを表示してください"
`list_log_sources`	オプションのフィルタ（ヘルスステータス、ログタイプ、統合タイプなど）でログソースをリストする	"すべての健全なS3ログソースを表示してください"
`list_database_tables`	Pantherのデータレイク内の特定のデータベースのすべての利用可能なテーブルをリストする	"panther_logsデータベースにあるテーブルは何ですか？"
`summarize_alert_events`	複数のアラートのイベントデータを集計して、パターンと関係を分析する	"アラートabc123とdef456のイベントのパターンを表示してください"

Rules

ツール名	説明	サンプルプロンプト
`create_rule`	新しいPantherルールを作成する	"AWSコンソールで1日以内に7回以上のログイン失敗を検出する新しいルールを作成する"
`disable_rule`	ルールを無効にする（有効フラグをfalseに設定する）	"ルールabc123を無効にする"
`get_global_helper_by_id`	特定のグローバルヘルパーの詳細情報を取得する	"グローバルヘルパーID panther_github_helpersの詳細を取得する"
`get_policy_by_id`	特定のポリシーの詳細情報を取得する	"ポリシーID AWS.S3.Bucket.PublicReadACPの詳細を取得する"
`get_rule_by_id`	特定のルールの詳細情報を取得する	"ルールID abc123の詳細を取得する"
`get_scheduled_rule_by_id`	特定のスケジュールされたルールの詳細情報を取得する	"スケジュールされたルールabc123の詳細を取得する"
`get_simple_rule_by_id`	特定のシンプルルールの詳細情報を取得する	"シンプルルールabc123の詳細を取得する"
`list_global_helpers`	オプションのページネーションですべてのPantherグローバルヘルパーをリストする	"CrowdStrikeイベントのすべてのグローバルヘルパーを表示してください"
`list_policies`	オプションのページネーションですべてのPantherポリシーをリストする	"AWSリソースのすべてのポリシーを表示してください"
`list_rules`	オプションのページネーションですべてのPantherルールをリストする	"すべての有効なルールを表示してください"
`list_scheduled_rules`	オプションのページネーションですべてのスケジュールされたルールをリストする	"Panther内のすべてのスケジュールされたルールをリストする"
`list_simple_rules`	オプションのページネーションですべてのシンプルルールをリストする	"Panther内のすべてのシンプルルールを表示してください"
`put_rule`	既存のルールを更新するか、新しいルールを作成する	"ルールabc123を新しい重大度HIGHで更新する"

Schemas

ツール名	説明	サンプルプロンプト
`create_or_update_schema`	スキーマを作成または更新する	"カスタムログタイプの新しいスキーマを作成する"
`get_schema_details`	特定のスキーマの詳細情報を取得する	"AWS.CloudTrailスキーマの完全な詳細を取得する"
`list_schemas`	オプションのフィルタで利用可能なスキーマをリストする	"すべてのAWS関連のスキーマを表示してください"

Metrics

ツール名	説明	サンプルプロンプト
`get_rule_alert_metrics`	ルールごとにグループ化されたアラートに関するメトリクスを取得する	"アラート数で上位10のルールを表示する"
`get_severity_alert_metrics`	重大度ごとにグループ化されたアラートに関するメトリクスを取得する	"過去1週間の重大度別のアラート数を表示する"

Users

ツール名	説明	サンプルプロンプト
`list_panther_users`	すべてのPantherユーザーアカウントをリストする	"すべてのアクティブなPantherユーザーを表示してください"
`get_permissions`	現在のユーザーの権限を取得する	"私はどのような権限を持っていますか？"

セキュリティのベストプラクティス

Pantherは、以下のMCPのベストプラクティスを強く推奨します。

信頼できる、公式に署名されたMCPサーバーのみを実行する：実行前にデジタル署名またはチェックサムを検証し、ツールコードを監査し、非公式のパブリッシャーからのコミュニティツールを避けます。
Panther APIトークンに厳格な最小特権を適用する：トークンを必要な最小限の権限にスコープし、IP許可リストまたはCIDR範囲にバインドして、漏洩した場合に無力化します。好みの間隔（例：30日ごと）で資格情報をローテーションします。
読み取り専用マウントでロックダウンされたサンドボックス（例：Docker）でMCPサーバーをホストする：これにより、侵害を最小限の影響範囲に限定します。
Pantherへの資格情報アクセスを監視し、異常を監視する：Pantherルールを作成しましょう！
mcp-scan でMCPサーバーをスキャンする：invariantlabsによる mcp-scan ツールを使用して、一般的な脆弱性をスキャンします。

Pantherの設定

PantherでAPIトークンを作成する
- 設定（歯車アイコン）→ APIトークンに移動します。
- 次の権限を持つ新しいトークンを作成します（最初は読み取り専用アプローチをおすすめします）。
- 必要な権限を表示
生成されたトークンを安全に保存する（例：1Password）
ブラウザからPantherインスタンスのURLを取得する（例：https://YOUR-PANTHER-INSTANCE.domain）
- 注：これには https:// が含まれている必要があります。

🔧 トラブルシューティング

サーバーログを確認して、詳細なエラーメッセージを取得します：tail -n 20 -F ~/Library/Logs/Claude/mcp*.log。一般的な問題と解決策を以下に示します。

ツールの実行

{"success": false, "message": "Failed to [action]: Request failed (HTTP 403): {\"error\": \"forbidden\"}"} エラーが発生した場合、APIトークンにツールが必要とする特定の権限がない可能性があります。
PantherインスタンスのURLが正しく設定されていることを確認します。これは、MCPクライアントの config://panther リソースで確認できます。