MCP Threatintel

🚀 MCP脅威インテリジェンスサーバー

このMCPサーバーは、セキュリティ研究や分析のために、複数の脅威インテリジェンスソースへの統一的なアクセスを提供します。

🚀 クイックスタート

このMCPサーバーは、セキュリティ研究、インシデント対応、または脅威分析を行う際に、複数の脅威インテリジェンスソースへの統一的なアクセスを提供します。

✨ 主な機能

なぜこのサーバーを使用するのか？

セキュリティ研究、インシデント対応、または脅威分析を行っている場合、このMCPサーバーを使用すると以下のことができます。

• 統一的な検索：複数のソースを同時にクエリして、IPアドレス、ドメイン、ハッシュ、およびURLを検索できます。
• コンテキスト切り替えの削減：異なるインテリジェンスソースのために複数のブラウザタブを開く必要がありません。
• インテリジェンスの関連付け：1つのレスポンスですべての構成されたソースからの結果を確認できます。
• 無料枠に対応：無料のAPI枠で動作し、ソースが利用できない場合も適切に動作します。
• キーなしで動作：Feodo Tracker（ボットネットC2サーバー）はAPIキーなしで動作します。

機能一覧

📦 インストール

npmを使用する（推奨）

npx mcp-threatintel-server

または、グローバルにインストールする場合は以下のコマンドを実行します。

npm install -g mcp-threatintel-server

ソースからインストール

git clone https://github.com/aplaceforallmystuff/mcp-threatintel.git
cd mcp-threatintel
npm install
npm run build

📚 ドキュメント

設定

Claude Desktop用

Claude Desktopの設定ファイルに以下の内容を追加します。 macOS：~/Library/Application Support/Claude/claude_desktop_config.json Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

Claude Code用

~/.claude.jsonに以下の内容を追加します。

{
  "mcpServers": {
    "threatintel": {
      "command": "npx",
      "args": ["-y", "mcp-threatintel-server"],
      "env": {
        "OTX_API_KEY": "your-otx-api-key",
        "ABUSEIPDB_API_KEY": "your-abuseipdb-api-key",
        "GREYNOISE_API_KEY": "your-greynoise-api-key",
        "ABUSECH_AUTH_KEY": "your-abusech-auth-key"
      }
    }
  }
}

APIキー

注意：ツールは提供されたAPIキーに基づいて動的に有効化されます。Feodo Trackerは認証なしで動作します（公開JSONフィード）。

使用例

利用可能なソースの確認

"What threat intel sources are configured?" "Show me threatintel status"

IP調査

"Check if 185.220.101.1 is malicious" "Look up this IP across all threat intel sources"

ドメイン分析

"Is evil-domain.com known to be malicious?" "Check domain reputation"

マルウェアハッシュ検索

"Look up this SHA256 hash in threat intel" "Is this file hash known malware?"

URL分析

"Check if this URL is in any blocklists"

ボットネット追跡（APIキー不要）

"Show me active botnet C2 servers" "Get Feodo tracker data for Emotet"

脅威パルス

"Search OTX for recent ransomware pulses" "Get latest threat intelligence pulses"

利用可能なツール

ステータス

統一的な検索

AbuseIPDB（APIキーが必要）

AlienVault OTX（APIキーが必要）

GreyNoise（APIキーが必要）

URLhaus（abuse.chの認証キーが必要）

MalwareBazaar（abuse.chの認証キーが必要）

ThreatFox（abuse.chの認証キーが必要）

Feodo Tracker（キー不要）

開発

# 開発用のウォッチモード
npm run watch

# TypeScriptのビルド
npm run build

# ローカルで実行
node dist/index.js

トラブルシューティング

"No threat intel sources configured"

APIキーなしでもサーバーを使用できます - Feodo Trackerは引き続き動作します。他のソースを使用する場合は、適切なAPIキーを設定に追加してください。

"API error: 401 Unauthorized"

APIキーが無効または期限切れです。該当するサービスから新しいキーを生成してください。

"API error: 429 Too Many Requests"

サービスのレート制限を超えています。しばらく待つか、API枠をアップグレードしてください。

部分的な結果

一部のソースがエラーを返す場合でも、統一的な検索ツールは正常に動作するソースからの結果を返します。threatintel_statusを確認して、どのソースが正しく構成されているかを確認してください。

データソース

AlienVault OTX

Open Threat Exchange - 攻撃指標を含むパルスを持つコミュニティ主導の脅威インテリジェンスプラットフォームです。

AbuseIPDB

世界中のネットワーク管理者からの悪用報告を含むクラウドソーシングされたIPアドレス評判データベースです。

GreyNoise

インターネットをスキャンするIPアドレスとターゲット攻撃を識別します。脅威検出における誤検知を減らすのに役立ちます。

abuse.chプロジェクト

• URLhaus - マルウェア配布URL
• MalwareBazaar - マルウェアサンプルリポジトリ
• ThreatFox - 攻撃指標（IOC）共有プラットフォーム
• Feodo Tracker - ボットネットC2インフラストラクチャ追跡

🤝 コントリビューション

コントリビューションは大歓迎です！詳細なガイドラインについてはCONTRIBUTING.mdを参照してください。

📄 ライセンス

MITライセンス - 詳細についてはLICENSEを参照してください。

🔗 リンク

• Model Context Protocol
• MCP Specification
• GitHub Repository

関連プロジェクト

追加の脅威インテリジェンス機能が必要な場合は、以下のプロジェクトを検討してください。

• @burtthecoder/mcp-shodan - Shodanインターネットスキャニング
• @burtthecoder/mcp-virustotal - VirusTotalマルウェア分析