mcp-panther - 安全分析MCP服務器，支持多工具配置，IDE寫規則查日誌

探索

MCP Panther

Panther MCP服務器是一個安全分析平臺，提供IDE編寫檢測規則、自然語言查詢安全日誌、警報處理等功能，支持多種工具和客戶端配置。

安全開發者工具 #安全分析 #日誌查詢 #警報管理 #規則編寫 .Python

評分 : 2.5分

下載量 : 7.6K

更新時間 : 2025-07-23

打開站點

什麼是Panther MCP服務器？

Panther MCP服務器是Model Context Protocol (MCP) 的實現，允許用戶通過自然語言與 Panther 安全平臺交互。它可以執行查詢、管理警報、分析日誌，並支持規則開發和調試。

如何使用Panther MCP服務器？

通過配置 API 密鑰和實例 URL，將 Panther MCP 服務器集成到 IDE 或 AI 工具中（如 Cursor、Claude Desktop）。然後可以通過自然語言提示來查詢數據、管理警報或創建安全規則。

適用場景

適用於安全分析師、開發人員和 IT 運維人員，用於快速分析安全事件、管理警報、調試檢測規則以及查詢日誌數據。

主要功能

警報管理

可以添加評論、更新狀態、分配負責人並查看詳細信息，便於安全團隊進行警報處理。

日誌查詢

支持通過自然語言查詢 Panther 數據湖中的日誌數據，例如 AWS CloudTrail、S3 等。

規則開發

允許用戶創建、更新和禁用安全規則，以檢測潛在威脅。

模式管理

支持自定義日誌格式的模式管理，提升數據解析效率。

安全最佳實踐

提供 API 密鑰權限控制、容器化部署等安全建議，確保系統安全。

優勢

簡化了安全日誌分析和警報管理流程

支持自然語言交互，降低使用門檻

可與多種工具（如 Cursor、Claude）集成

提供豐富的安全最佳實踐指導

侷限性

需要配置 API 密鑰，對新手有一定學習成本

依賴 Panther 平臺的功能，不能獨立運行

部分高級功能可能需要管理員權限

如何使用

獲取API密鑰

在 Panther 控制檯中生成一個具有必要權限的 API 密鑰。

配置MCP服務器

根據使用的工具（如 Cursor、Claude Desktop）配置 Panther MCP 服務器。

連接到MCP服務器

啟動工具後，確認 MCP 服務器已成功連接並可用。

使用案例

查詢最近的失敗登錄

通過自然語言查詢 AWS CloudTrail 日誌，查找最近的失敗登錄嘗試。

標記警報為已解決

標記多個警報為已解決，減少誤報干擾。

創建新規則

創建一個新的規則，用於檢測超過7次失敗登錄的事件。

常見問題

如何獲取 Panther API 密鑰？

MCP 服務器需要哪些權限？

如何解決 API 訪問被拒絕的問題？

MCP 服務器可以部署在哪些環境中？

🚀 Panther MCP Server

Panther的模型上下文協議（MCP）服務器具備以下功能：

在IDE中編寫和調整檢測規則
使用自然語言交互式查詢安全日誌
對一個或多個警報進行分類、評論和解決

🔍 可用工具

警報工具

警報

工具名稱	描述	示例提示
`add_alert_comment`	為Panther警報添加評論	"為警報abc123添加評論 '看起來很嚴重'"
`get_alert_by_id`	獲取特定警報的詳細信息	"警報8def456的狀態如何？"
`get_alert_events`	獲取給定警報的少量事件樣本	"顯示與警報8def456相關的事件"
`list_alerts`	列出具有綜合過濾選項（日期範圍、嚴重性、狀態等）的警報	"顯示過去24小時內的所有高嚴重性警報"
`update_alert_assignee_by_id`	更新一個或多個警報的負責人	"將警報abc123和def456分配給John"
`update_alert_status`	更新一個或多個警報的狀態	"將警報abc123和def456標記為已解決"
`list_alert_comments`	列出特定警報的所有評論	"顯示警報abc123的所有評論"

數據工具

數據

工具名稱	描述	示例提示
`execute_data_lake_query`	針對Panther的數據湖執行SQL查詢	"查詢過去一天內AWS CloudTrail日誌中的失敗登錄嘗試"
`get_data_lake_query_results`	獲取先前執行的數據湖查詢的結果	"獲取查詢ID為abc123的結果"
`get_sample_log_events`	獲取特定日誌類型的10條近期事件樣本	"顯示AWS_CLOUDTRAIL日誌的樣本事件"
`get_table_schema`	獲取特定表的架構信息	"顯示AWS_CLOUDTRAIL表的架構"
`list_databases`	列出Panther中所有可用的數據湖數據庫	"列出所有可用的數據庫"
`list_log_sources`	列出具有可選過濾器（健康狀態、日誌類型、集成類型）的日誌源	"顯示所有健康的S3日誌源"
`list_database_tables`	列出Panther數據湖中特定數據庫的所有可用表	"panther_logs數據庫中有哪些表？"
`summarize_alert_events`	通過聚合多個警報的事件數據來分析模式和關係	"顯示警報abc123和def456的事件模式"

規則工具

規則

工具名稱	描述	示例提示
`create_rule`	創建新的Panther規則	"創建一個新規則，以檢測AWS控制檯中任何用戶在一天內超過7次的失敗登錄嘗試"
`disable_rule`	通過將啟用狀態設置為false來禁用規則	"禁用規則abc123"
`get_global_helper_by_id`	獲取特定全局助手的詳細信息	"獲取全局助手ID為panther_github_helpers的詳細信息"
`get_policy_by_id`	獲取特定策略的詳細信息	"獲取策略ID為AWS.S3.Bucket.PublicReadACP的詳細信息"
`get_rule_by_id`	獲取特定規則的詳細信息	"獲取規則ID為abc123的詳細信息"
`get_scheduled_rule_by_id`	獲取特定計劃規則的詳細信息	"獲取計劃規則abc123的詳細信息"
`get_simple_rule_by_id`	獲取特定簡單規則的詳細信息	"獲取簡單規則abc123的詳細信息"
`list_global_helpers`	列出所有Panther全局助手，支持可選分頁	"顯示CrowdStrike事件的所有全局助手"
`list_policies`	列出所有Panther策略，支持可選分頁	"顯示AWS資源的所有策略"
`list_rules`	列出所有Panther規則，支持可選分頁	"顯示所有啟用的規則"
`list_scheduled_rules`	列出所有計劃規則，支持可選分頁	"列出Panther中的所有計劃規則"
`list_simple_rules`	列出所有簡單規則，支持可選分頁	"顯示Panther中的所有簡單規則"
`put_rule`	更新現有規則或創建新規則	"將規則abc123的嚴重性更新為高"

架構工具

架構

工具名稱	描述	示例提示
`create_or_update_schema`	創建或更新架構	"為自定義日誌類型創建新架構"
`get_schema_details`	獲取特定架構的詳細信息	"獲取AWS.CloudTrail架構的完整詳細信息"
`list_schemas`	列出可用的架構，支持可選過濾	"顯示所有與AWS相關的架構"

指標工具

指標

工具名稱	描述	示例提示
`get_rule_alert_metrics`	獲取按規則分組的警報指標	"按警報數量顯示前10條規則"
`get_severity_alert_metrics`	獲取按嚴重性分組的警報指標	"顯示上週按嚴重性劃分的警報數量"

用戶工具

用戶

工具名稱	描述	示例提示
`list_panther_users`	列出所有Panther用戶賬戶	"顯示所有活躍的Panther用戶"
`get_permissions`	獲取當前用戶的權限	"我有哪些權限？"

⚠️ 安全最佳實踐

Panther強烈建議遵循以下MCP最佳實踐：

僅運行受信任的、官方簽名的MCP服務器：在運行前驗證數字簽名或校驗和，審計工具代碼，並避免使用非官方發佈者的社區工具。
對Panther API令牌應用嚴格的最小權限原則：將令牌的權限範圍設置為所需的最小權限，並將其綁定到IP允許列表或CIDR範圍，這樣即使令牌被洩露也將毫無用處。定期輪換憑證（例如，每30天一次）。
將MCP服務器部署在鎖定的沙箱（如Docker）中，並使用只讀掛載：這樣可以將任何安全漏洞的影響範圍降至最低。
監控對Panther的憑證訪問並監測異常情況：可以編寫一個Panther規則來實現！
使用mcp - scan掃描MCP服務器：利用invariantlabs提供的mcp - scan工具來檢測常見漏洞。

⚙️ Panther配置

在Panther中創建API令牌：
- 導航到設置（齒輪圖標）→ API令牌
- 創建一個具有以下權限的新令牌（建議從只讀權限開始）：
查看所需權限
安全地存儲生成的令牌（例如，存儲在1Password中）
從瀏覽器中獲取Panther實例URL（例如，https://YOUR - PANTHER - INSTANCE.domain）
- 注意：URL必須包含https://

📦 安裝指南

請選擇以下安裝方法之一：

Docker安裝（推薦）

使用我們預先構建的Docker鏡像開始使用是最簡單的方法：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "docker",
      "args": [
        "run",
        "-i",
        "-e", "PANTHER_INSTANCE_URL",
        "-e", "PANTHER_API_TOKEN",
        "--rm",
        "ghcr.io/panther-labs/mcp-panther"
      ],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-API-KEY"
      }
    }
  }
}

UVX安裝

對於Python用戶，可以使用uvx直接從PyPI運行：

安裝UV
配置MCP客戶端：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

💻 使用示例

Cursor客戶端

按照此處的說明配置項目或全局MCP配置。非常重要的是，不要將此文件提交到版本控制中。

配置完成後，導航到Cursor設置 > MCP以查看正在運行的服務器：

提示：

使用@符號指定要生成新規則的具體目錄。
為了在使用工具時獲得更高的可靠性，嘗試選擇特定的模型，如Claude 3.7 Sonnet。
如果MCP客戶端無法從Panther MCP服務器找到任何工具，請嘗試重啟客戶端並確保MCP服務器正在運行。在Cursor中，刷新MCP服務器並開始新的聊天。

Claude Desktop客戶端

要在Claude Desktop中使用，請手動配置claude_desktop_config.json：

打開Claude Desktop設置並導航到開發者選項卡
點擊“編輯配置”以打開配置文件
添加以下配置：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

保存文件並重啟Claude Desktop

如果遇到任何問題，請嘗試此處的故障排除步驟。

Goose客戶端

與Goose（Block的開源AI代理）一起使用：

# 使用MCP服務器啟動Goose
goose session --with-extension "uvx mcp-panther"

🛠️ 故障排除

查看服務器日誌以獲取詳細的錯誤消息：tail -n 20 -F ~/Library/Logs/Claude/mcp*.log。以下是常見問題及解決方案：

如果出現{"success": false, "message": "Failed to [action]: Request failed (HTTP 403): {\"error\": \"forbidden\"}"}錯誤，這可能意味著您的API令牌缺少該工具所需的特定權限。
確保您的Panther實例URL設置正確。您可以在MCP客戶端的config://panther資源中查看此信息。