complete-mitre-attack-mcp-server - 支持ATT&CK可視化，全面訪問MITRE框架的MCP威脅情報工具

Complete Mitre Attack MCP Server

MITRE ATT&CK MCP服務器是一個AI原生威脅情報工具，通過Model Context Protocol提供對MITRE ATT&CK框架的全面訪問，包含200+技術、140+威脅組織、700+軟件條目的查詢能力，支持ATT&CK Navigator可視化層生成，專為安全團隊和AI智能體設計。

安全研究與數據 #威脅情報 #安全框架 #AI工具 #MCP服務 .Python

評分 : 2分

下載量 : 9.2K

更新時間 : 2025-12-29

打開站點

什麼是MITRE ATT&CK MCP Server?

這是一個基於Model Context Protocol (MCP)的服務器，專門為AI系統提供對MITRE ATT&CK框架的訪問。MITRE ATT&CK是全球最權威的對手戰術、技術和程序(TTPs)知識庫。本服務器將複雜的威脅情報數據轉換為LLM友好的結構化格式，讓AI助手能夠像安全專家一樣查詢和分析威脅信息。

如何使用MITRE ATT&CK MCP Server?

安裝後，AI助手（如Claude Desktop）可以直接通過自然語言查詢MITRE ATT&CK數據。例如，您可以詢問'APT29使用哪些初始訪問技術？'或'生成勒索軟件組織的ATT&CK導航圖'。服務器會自動下載官方數據並在本地緩存，提供快速響應。

適用場景

適合安全團隊、威脅獵人、檢測工程師、AI研究人員以及任何需要智能訪問威脅情報的用戶。可用於威脅分析、檢測規則開發、紅隊演練規劃、安全態勢評估和自動化安全報告生成。

主要功能

全面覆蓋ATT&CK框架

支持企業版、移動版和工業控制系統(ICS)版ATT&CK，包含200+攻擊技術、140+威脅組織、700+惡意軟件工具、100+緩解措施和所有戰術階段。

65+專用查詢工具

提供專門設計的MCP工具，包括按ID查詢技術、搜索威脅組織、查找軟件關聯、生成可視化圖層等，覆蓋所有ATT&CK實體和關係。

ATT&CK導航圖生成

自動生成ATT&CK Navigator兼容的JSON圖層文件，可上傳到官方導航器網站進行可視化分析，支持威脅覆蓋圖、檢測差距分析等。

智能緩存與自動更新

首次運行時自動下載官方STIX數據(~59MB)並本地緩存，後續查詢無需網絡連接，確保快速響應和數據一致性。

LLM友好輸出

所有數據都轉換為結構化、易於理解的格式，專門為大型語言模型優化，支持自然語言查詢和複雜推理。

多平臺安裝支持

支持Python pip安裝、Node.js npm安裝、npx直接運行，兼容macOS、Windows和Linux系統。

優勢

無需手動查詢MITRE網站，AI助手可直接訪問最新威脅情報

結構化數據便於自動化分析和報告生成

支持複雜關係查詢（如'哪些組織使用特定技術'）

可視化輸出幫助快速理解威脅態勢

基於官方MITRE數據，確保準確性和權威性

與Claude Desktop等MCP客戶端無縫集成

侷限性

首次使用需要下載約59MB數據文件

需要基本的MCP客戶端配置知識

高級自定義分析可能需要結合其他工具

數據更新依賴MITRE官方發佈週期

如何使用

安裝服務器

選擇適合您環境的安裝方式。推薦使用npx無需安裝，或pip安裝Python版本。

配置Claude Desktop

在Claude Desktop配置文件中添加MCP服務器配置。macOS配置文件位於~/Library/Application Support/Claude/claude_desktop_config.json，Windows位於%APPDATA%\Claude\claude_desktop_config.json。

重啟並開始使用

完全退出並重新啟動Claude Desktop。服務器將在首次運行時自動下載MITRE數據。之後即可通過自然語言查詢ATT&CK信息。

使用案例

威脅情報分析

安全分析師需要快速瞭解特定威脅組織（如APT29）的攻擊模式和技術使用情況。

檢測規則開發

檢測工程師需要了解特定攻擊技術（如進程注入T1055）的檢測方法和數據源。

紅隊演練規劃

紅隊需要規劃一次模擬攻擊演練，需要了解特定平臺（如Windows）的常見攻擊技術。

安全態勢評估

CISO需要評估組織當前安全控制對常見威脅的覆蓋情況。

常見問題

需要網絡連接才能使用嗎？

數據多久更新一次？

支持哪些MCP客戶端？

如何生成可視化圖表？

可以查詢子技術嗎？

數據存儲在哪裡？可以自定義位置嗎？

🚀 🔒 MITRE ATT&CK MCP Server

以原生AI方式訪問全球領先的威脅情報框架

該項目將全球領先的對手知識庫轉化為原生AI接口。基於模型上下文協議構建，使大語言模型和智能體系統能夠查詢200多種技術、140多個組織、700多個軟件條目，對複雜的威脅關係和戰術、技術與程序（TTP）進行推理，使用ATT&CK Navigator層可視化覆蓋差距，並通過結構化工具擴展威脅情報工作流程。非常適合安全團隊、威脅獵手、檢測工程師、AI研究人員以及任何構建智能安全系統的人員。

主要特性 • 安裝指南 • 快速開始 • 可用工具 • 示例查詢 • 路線圖與願景

🚀 快速開始

1. 安裝

pip install mitre-mcp-server

2. 配置Claude Desktop

將以下內容添加到 claude_desktop_config.json 文件中：

macOS：~/Library/Application Support/Claude/claude_desktop_config.json
Windows：%APPDATA%\Claude\claude_desktop_config.json

{
  "mcpServers": {
    "mitre-attack": {
      "command": "npx",
      "args": ["-y", "@imouiche/mitre-attack-mcp-server"]
    }
  }
}

3. 重啟Claude Desktop

完全退出Claude Desktop（在macOS上使用Cmd + Q），然後重新打開。

4. 開始查詢！

向Claude提問，例如：

"APT29在初始訪問時使用了哪些技術？" "為勒索軟件組織生成一個ATT&CK Navigator層" "展示所有Windows持久化技術"

首次運行時會自動下載數據（約59MB，緩存於 ~/.mitre-mcp-server/data/）。

✨ 主要特性

✅ 在ATT&CK領域（企業、移動、工業控制系統）提供65+個MCP工具
✅ 首次運行時自動下載並緩存STIX數據
✅ 原生支持ATT&CK Navigator層生成
✅ 專為大語言模型和MCP兼容客戶端設計
✅ 內存緩存，實現即時查詢響應
✅ 使用Pydantic模型確保類型安全
✅ 簡潔、可用於生產環境、自包含的服務器
✅ 全面的測試覆蓋

📦 安裝指南

通過PyPI（推薦） - Python用戶

pip install mitre-mcp-server

npm

npm install -g @imouiche/mitre-attack-mcp-server

npx（無需安裝）

npx @imouiche/mitre-attack-mcp-server

通過uv（現代Python）

uv pip install mitre-mcp-server

本地開發

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
npm install

使用uv（Python包管理器）

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync

📦 MCP註冊表

此服務器已在模型上下文協議（MCP）註冊表中正式註冊。

註冊表ID：io.github.imouiche/mitre-attack-mcp-server

在官方註冊表中查看：https://registry.modelcontextprotocol.io/?q=mitre-attack-mcp-server

安裝選項

選項1：直接使用NPM

npm install -g @imouiche/mitre-attack-mcp-server

選項2：使用NPX（無需安裝）

npx @imouiche/mitre-attack-mcp-server

選項3：通過註冊表發現

訪問 MCP註冊表
搜索 "mitre-attack"
點擊服務器卡片獲取安裝說明

🛠️ 可用工具

該服務器提供了50多個MCP工具，涵蓋了所有主要的MITRE ATT&CK實體和關係。

📊 基礎設施與元數據

工具	描述
`get_data_stats`	顯示下載狀態、文件路徑、大小和ATT&CK版本
`generate_layer`	生成ATT&CK Navigator層（JSON輸出）
`get_layer_metadata`	返回Navigator層元數據模板

🎯 技術

工具	描述
`get_technique_by_id`	通過ATT&CK ID獲取技術（例如，T1055）
`search_techniques`	按名稱或描述搜索技術
`get_all_techniques`	獲取所有技術
`get_all_parent_techniques`	僅獲取父技術
`get_all_subtechniques`	獲取所有子技術
`get_subtechniques_of_technique`	獲取父技術的子技術
`get_parent_technique_of_subtechnique`	獲取子技術的父技術
`get_technique_tactics`	獲取與技術相關的戰術
`get_techniques_by_tactic`	獲取某個戰術下的技術
`get_techniques_by_platform`	獲取某個平臺的技術
`get_revoked_techniques`	獲取已撤銷的技術

🧑‍💻 組織（威脅行為者）

工具	描述
`get_group_by_name`	按名稱或別名查找組織
`search_groups`	搜索組織
`get_all_groups`	獲取所有ATT&CK組織
`get_groups_by_alias`	按別名查找組織
`get_groups_using_technique`	獲取使用某項技術的組織
`get_groups_using_software`	獲取使用某個軟件的組織
`get_groups_attributing_to_campaign`	獲取歸因於某個活動的組織

🧪 軟件（惡意軟件與工具）

工具	描述
`get_software`	獲取所有軟件
`search_software`	搜索軟件
`get_software_by_alias`	按別名查找軟件
`get_software_used_by_group`	獲取某個組織使用的軟件
`get_software_used_by_campaign`	獲取某個活動中使用的軟件
`get_software_using_technique`	獲取使用某項技術的軟件

📌 活動

工具	描述
`get_all_campaigns`	獲取所有活動
`get_campaigns_by_alias`	按別名查找活動
`get_campaigns_using_technique`	獲取使用某項技術的活動
`get_campaigns_using_software`	獲取使用某個軟件的活動
`get_campaigns_attributed_to_group`	獲取歸因於某個組織的活動

🛡️ 緩解措施

工具	描述
`get_all_mitigations`	獲取所有緩解措施
`get_mitigations_mitigating_technique`	獲取針對某項技術的緩解措施
`get_techniques_mitigated_by_mitigation`	獲取由某個緩解措施緩解的技術

🧭 戰術、數據源與工業控制系統

工具	描述
`get_all_tactics`	獲取所有戰術
`get_all_datasources`	獲取所有數據源
`get_all_datacomponents`	獲取所有數據組件
`get_datacomponents_detecting_technique`	獲取檢測某項技術的數據組件
`get_all_assets`	獲取工業控制系統資產
`get_assets_targeted_by_technique`	獲取被某項技術針對的資產

💻 使用示例

威脅情報

"APT29在初始訪問時使用了哪些技術？"
"哪些組織針對金融機構？"
"展示所有與勒索軟件相關的軟件"
" Lazarus Group的別名有哪些？"

檢測工程

"哪些數據源可以檢測憑據轉儲？"
"為EDR能力生成一個覆蓋圖"
"列出所有Windows提權技術"
"什麼可以檢測T1055（進程注入）？"

威脅狩獵

"哪些技術使用了PowerShell？"
"展示Linux的橫向移動技術"
"哪些組織使用了Cobalt Strike？"
"哪些持久化技術針對macOS？"

緩解與防禦

"針對網絡釣魚攻擊有哪些緩解措施？"
"展示所有針對提權的緩解措施"
"MFA可以緩解哪些技術？"

合規性與差距分析

"為我們EDR覆蓋的所有技術生成一個層"
"將APT29的戰術、技術與程序（TTP）與我們的檢測能力進行比較"
"展示我們環境中未緩解的技術"

📊 ATT&CK Navigator可視化

generate_layer 工具可生成與ATT&CK Navigator兼容的JSON。

使用方法：

要求Claude生成一個層：

"為APT29使用的所有技術生成一個ATT&CK Navigator層"
將JSON輸出保存到文件（例如，apt29_layer.json）
上傳到 ATT&CK Navigator
可視化技術覆蓋、威脅行為者使用情況或緩解措施映射

使用LangGraph的實際示例

威脅調查：閱讀我的Medium博客，瞭解多智能體LangGraph系統如何利用這些工具進行實際威脅調查。
即時演示：在Hugging Face Spaces上探索交互式Gradio 6.2演示。

示例層用例：

紅隊覆蓋：映射演習中使用的所有技術
檢測差距：突出顯示未監控的技術
威脅行為者概況：可視化組織的戰術、技術與程序（TTP）
緩解措施覆蓋：顯示受保護和暴露的內容

🔧 技術細節

架構

語言：Python 3.12+
框架：用於模型上下文協議的FastMCP
數據庫：官方 mitreattack-python（v5.3.0+）
異步/等待：為併發查詢提供最佳性能
類型安全：所有數據結構均使用Pydantic模型
測試：全面的pytest覆蓋

數據

企業ATT&CK：v18.1+（約50.9MB）
移動ATT&CK：v18.1+（約4.9MB）
工業控制系統ATT&CK：v18.1+（約3.5MB）
總計：約59MB，本地緩存
存儲：~/.mitre-mcp-server/data/v{version}/
更新：安裝時自動下載，後續運行使用緩存數據

性能

內存緩存：啟動時加載所有域
查詢速度：大多數操作在亞秒級完成
圖遍歷：高效的關係查詢
併發：處理多個併發請求

要求

Python：3.12或更高版本
Node.js：16+（用於NPM安裝）
磁盤空間：約150MB（包括依賴項和數據）
內存：運行時約200MB RAM

🚀 路線圖與願景

該項目是構建全面的智能安全自動化這一更大願景的第一個組件，旨在集成多個安全知識庫和框架。

當前狀態

✅ MITRE ATT&CK - 威脅情報和對手戰術、技術與程序（TTP）（v18.1）

計劃集成

🔜 CVE/NVD - 漏洞情報和利用映射
🔜 MITRE D3FEND - 防禦對策知識圖譜
🔜 Sigma規則 - 檢測規則翻譯和管理
🔜 CAPEC - 常見攻擊模式枚舉
🔜 CWE - 軟件弱點枚舉
🔜 智能滲透測試 - 多智能體自主安全測試

最終目標

使AI智能體能夠自主地：

🎯 映射攻擊面並識別漏洞
🛡️ 推薦防禦對策
🔍 生成檢測規則並驗證覆蓋範圍
🤖 編排多階段安全評估
📊 推理完整的攻防生命週期

參與貢獻

我們歡迎以下人員的貢獻：

🎓 從事論文項目的學生（網絡安全、AI、智能體系統）
🔬 AI安全、威脅情報或智能體框架領域的研究人員
💻 熱衷於安全自動化的開發人員
🏢 對研究合作或商業應用感興趣的組織

感興趣的領域：

集成其他安全框架（CVE、D3FEND、Sigma）
構建用於滲透測試和紅隊的智能工作流程
開發檢測規則生成管道
創建威脅情報推理系統
改進MCP工具和文檔

📬 感興趣嗎？ 打開一個問題、發起討論或直接聯繫我們！

加入討論 →

🤝 貢獻指南

如果發現了漏洞、有功能請求或想為路線圖做出貢獻，請按以下方式操作：

歡迎所有貢獻！

開發設置

git clone https://github.com/imouiche/complete-mitre-attack-mcp-server.git
cd complete-mitre-attack-mcp-server
uv sync
# uv run pytest (測試文件夾尚未發佈)
uv run python -m mitre_mcp_server.server