mcp-panther - 安全分析MCP服务器，支持多工具配置，IDE写规则查日志

探索

MCP Panther

Panther MCP服务器是一个安全分析平台，提供IDE编写检测规则、自然语言查询安全日志、警报处理等功能，支持多种工具和客户端配置。

安全开发者工具 #安全分析 #日志查询 #警报管理 #规则编写 .Python

评分 : 2.5分

下载量 : 1

更新时间 : 2025-07-23

什么是Panther MCP服务器？

Panther MCP服务器是Model Context Protocol (MCP) 的实现，允许用户通过自然语言与 Panther 安全平台交互。它可以执行查询、管理警报、分析日志，并支持规则开发和调试。

如何使用Panther MCP服务器？

通过配置 API 密钥和实例 URL，将 Panther MCP 服务器集成到 IDE 或 AI 工具中（如 Cursor、Claude Desktop）。然后可以通过自然语言提示来查询数据、管理警报或创建安全规则。

适用场景

适用于安全分析师、开发人员和 IT 运维人员，用于快速分析安全事件、管理警报、调试检测规则以及查询日志数据。

主要功能

警报管理可以添加评论、更新状态、分配负责人并查看详细信息，便于安全团队进行警报处理。

日志查询支持通过自然语言查询 Panther 数据湖中的日志数据，例如 AWS CloudTrail、S3 等。

规则开发允许用户创建、更新和禁用安全规则，以检测潜在威胁。

模式管理支持自定义日志格式的模式管理，提升数据解析效率。

安全最佳实践提供 API 密钥权限控制、容器化部署等安全建议，确保系统安全。

优势与局限性

优势

简化了安全日志分析和警报管理流程

支持自然语言交互，降低使用门槛

可与多种工具（如 Cursor、Claude）集成

提供丰富的安全最佳实践指导

局限性

需要配置 API 密钥，对新手有一定学习成本

依赖 Panther 平台的功能，不能独立运行

部分高级功能可能需要管理员权限

如何使用

获取API密钥

在 Panther 控制台中生成一个具有必要权限的 API 密钥。

配置MCP服务器

根据使用的工具（如 Cursor、Claude Desktop）配置 Panther MCP 服务器。

连接到MCP服务器

启动工具后，确认 MCP 服务器已成功连接并可用。

使用案例

查询最近的失败登录通过自然语言查询 AWS CloudTrail 日志，查找最近的失败登录尝试。

标记警报为已解决标记多个警报为已解决，减少误报干扰。

创建新规则创建一个新的规则，用于检测超过7次失败登录的事件。

常见问题

如何获取 Panther API 密钥？

MCP 服务器需要哪些权限？

如何解决 API 访问被拒绝的问题？

MCP 服务器可以部署在哪些环境中？

🚀 Panther MCP Server

Panther的模型上下文协议（MCP）服务器具备以下功能：

在IDE中编写和调整检测规则
使用自然语言交互式查询安全日志
对一个或多个警报进行分类、评论和解决

🔍 可用工具

警报工具

警报

工具名称	描述	示例提示
`add_alert_comment`	为Panther警报添加评论	"为警报abc123添加评论 '看起来很严重'"
`get_alert_by_id`	获取特定警报的详细信息	"警报8def456的状态如何？"
`get_alert_events`	获取给定警报的少量事件样本	"显示与警报8def456相关的事件"
`list_alerts`	列出具有综合过滤选项（日期范围、严重性、状态等）的警报	"显示过去24小时内的所有高严重性警报"
`update_alert_assignee_by_id`	更新一个或多个警报的负责人	"将警报abc123和def456分配给John"
`update_alert_status`	更新一个或多个警报的状态	"将警报abc123和def456标记为已解决"
`list_alert_comments`	列出特定警报的所有评论	"显示警报abc123的所有评论"

数据工具

数据

工具名称	描述	示例提示
`execute_data_lake_query`	针对Panther的数据湖执行SQL查询	"查询过去一天内AWS CloudTrail日志中的失败登录尝试"
`get_data_lake_query_results`	获取先前执行的数据湖查询的结果	"获取查询ID为abc123的结果"
`get_sample_log_events`	获取特定日志类型的10条近期事件样本	"显示AWS_CLOUDTRAIL日志的样本事件"
`get_table_schema`	获取特定表的架构信息	"显示AWS_CLOUDTRAIL表的架构"
`list_databases`	列出Panther中所有可用的数据湖数据库	"列出所有可用的数据库"
`list_log_sources`	列出具有可选过滤器（健康状态、日志类型、集成类型）的日志源	"显示所有健康的S3日志源"
`list_database_tables`	列出Panther数据湖中特定数据库的所有可用表	"panther_logs数据库中有哪些表？"
`summarize_alert_events`	通过聚合多个警报的事件数据来分析模式和关系	"显示警报abc123和def456的事件模式"

规则工具

规则

工具名称	描述	示例提示
`create_rule`	创建新的Panther规则	"创建一个新规则，以检测AWS控制台中任何用户在一天内超过7次的失败登录尝试"
`disable_rule`	通过将启用状态设置为false来禁用规则	"禁用规则abc123"
`get_global_helper_by_id`	获取特定全局助手的详细信息	"获取全局助手ID为panther_github_helpers的详细信息"
`get_policy_by_id`	获取特定策略的详细信息	"获取策略ID为AWS.S3.Bucket.PublicReadACP的详细信息"
`get_rule_by_id`	获取特定规则的详细信息	"获取规则ID为abc123的详细信息"
`get_scheduled_rule_by_id`	获取特定计划规则的详细信息	"获取计划规则abc123的详细信息"
`get_simple_rule_by_id`	获取特定简单规则的详细信息	"获取简单规则abc123的详细信息"
`list_global_helpers`	列出所有Panther全局助手，支持可选分页	"显示CrowdStrike事件的所有全局助手"
`list_policies`	列出所有Panther策略，支持可选分页	"显示AWS资源的所有策略"
`list_rules`	列出所有Panther规则，支持可选分页	"显示所有启用的规则"
`list_scheduled_rules`	列出所有计划规则，支持可选分页	"列出Panther中的所有计划规则"
`list_simple_rules`	列出所有简单规则，支持可选分页	"显示Panther中的所有简单规则"
`put_rule`	更新现有规则或创建新规则	"将规则abc123的严重性更新为高"

架构工具

架构

工具名称	描述	示例提示
`create_or_update_schema`	创建或更新架构	"为自定义日志类型创建新架构"
`get_schema_details`	获取特定架构的详细信息	"获取AWS.CloudTrail架构的完整详细信息"
`list_schemas`	列出可用的架构，支持可选过滤	"显示所有与AWS相关的架构"

指标工具

指标

工具名称	描述	示例提示
`get_rule_alert_metrics`	获取按规则分组的警报指标	"按警报数量显示前10条规则"
`get_severity_alert_metrics`	获取按严重性分组的警报指标	"显示上周按严重性划分的警报数量"

用户工具

用户

工具名称	描述	示例提示
`list_panther_users`	列出所有Panther用户账户	"显示所有活跃的Panther用户"
`get_permissions`	获取当前用户的权限	"我有哪些权限？"

⚠️ 安全最佳实践

Panther强烈建议遵循以下MCP最佳实践：

仅运行受信任的、官方签名的MCP服务器：在运行前验证数字签名或校验和，审计工具代码，并避免使用非官方发布者的社区工具。
对Panther API令牌应用严格的最小权限原则：将令牌的权限范围设置为所需的最小权限，并将其绑定到IP允许列表或CIDR范围，这样即使令牌被泄露也将毫无用处。定期轮换凭证（例如，每30天一次）。
将MCP服务器部署在锁定的沙箱（如Docker）中，并使用只读挂载：这样可以将任何安全漏洞的影响范围降至最低。
监控对Panther的凭证访问并监测异常情况：可以编写一个Panther规则来实现！
使用mcp - scan扫描MCP服务器：利用invariantlabs提供的mcp - scan工具来检测常见漏洞。

⚙️ Panther配置

在Panther中创建API令牌：
- 导航到设置（齿轮图标）→ API令牌
- 创建一个具有以下权限的新令牌（建议从只读权限开始）：
查看所需权限
安全地存储生成的令牌（例如，存储在1Password中）
从浏览器中获取Panther实例URL（例如，https://YOUR - PANTHER - INSTANCE.domain）
- 注意：URL必须包含https://

📦 安装指南

请选择以下安装方法之一：

Docker安装（推荐）

使用我们预先构建的Docker镜像开始使用是最简单的方法：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "docker",
      "args": [
        "run",
        "-i",
        "-e", "PANTHER_INSTANCE_URL",
        "-e", "PANTHER_API_TOKEN",
        "--rm",
        "ghcr.io/panther-labs/mcp-panther"
      ],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-API-KEY"
      }
    }
  }
}

UVX安装

对于Python用户，可以使用uvx直接从PyPI运行：

安装UV
配置MCP客户端：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

💻 使用示例

Cursor客户端

按照此处的说明配置项目或全局MCP配置。非常重要的是，不要将此文件提交到版本控制中。

配置完成后，导航到Cursor设置 > MCP以查看正在运行的服务器：

提示：

使用@符号指定要生成新规则的具体目录。
为了在使用工具时获得更高的可靠性，尝试选择特定的模型，如Claude 3.7 Sonnet。
如果MCP客户端无法从Panther MCP服务器找到任何工具，请尝试重启客户端并确保MCP服务器正在运行。在Cursor中，刷新MCP服务器并开始新的聊天。

Claude Desktop客户端

要在Claude Desktop中使用，请手动配置claude_desktop_config.json：

打开Claude Desktop设置并导航到开发者选项卡
点击“编辑配置”以打开配置文件
添加以下配置：

{
  "mcpServers": {
    "mcp-panther": {
      "command": "uvx",
      "args": ["mcp-panther"],
      "env": {
        "PANTHER_INSTANCE_URL": "https://YOUR-PANTHER-INSTANCE.domain",
        "PANTHER_API_TOKEN": "YOUR-PANTHER-API-TOKEN"
      }
    }
  }
}

保存文件并重启Claude Desktop

如果遇到任何问题，请尝试此处的故障排除步骤。

Goose客户端

与Goose（Block的开源AI代理）一起使用：

# 使用MCP服务器启动Goose
goose session --with-extension "uvx mcp-panther"

🛠️ 故障排除

查看服务器日志以获取详细的错误消息：tail -n 20 -F ~/Library/Logs/Claude/mcp*.log。以下是常见问题及解决方案：

如果出现{"success": false, "message": "Failed to [action]: Request failed (HTTP 403): {\"error\": \"forbidden\"}"}错误，这可能意味着您的API令牌缺少该工具所需的特定权限。
确保您的Panther实例URL设置正确。您可以在MCP客户端的config://panther资源中查看此信息。