/ الدليل / الملعب / Wazuh-MCP-Server
← كل الخوادم ↗ GitHub
● مجتمع gensecaihq ⚡ فوري

Wazuh-MCP-Server

بواسطة gensecaihq · gensecaihq/Wazuh-MCP-Server

مركز عمليات أمني قائم على الحوار لـ Wazuh — استعلم عن التنبيهات والتهديدات والثغرات وفعّل الاستجابات النشطة باللغة الطبيعية، مع 48 أداة وتسجيل مراجعة شامل.

يحول Wazuh-MCP-Server نظام Wazuh SIEM الخاص بك إلى مركز عمليات أمني يعمل عبر الحوار. 48 أداة تغطي التنبيهات والأجهزة الطرفية والثغرات الأمنية والاستجابة النشطة والامتثال. مصمم للعمل الفعلي في مراكز العمليات: تنقية المخرجات وتحذيف بيانات الاعتماد، وتحديد معدل الطلبات، وقواطع الحماية، والتحكم بالوصول لكل أداة، وسجلات تدقيق الإجراءات الحساسة.

▶ شاهد العرض 📦 التثبيت 💡 حالات الاستخدام

لماذا تستخدمه

الميزات الأساسية

عرض مباشر

كيف يبدو في الممارسة

wazuh.replay ▶ جاهز
0/0

التثبيت

اختر العميل

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

افتح Claude Desktop → Settings → Developer → Edit Config. أعد التشغيل بعد الحفظ.

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

يستخدم Cursor نفس مخطط mcpServers مثل Claude Desktop. إعدادات المشروع أولى من الإعدادات العامة.

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

انقر على أيقونة MCP Servers في شريط Cline الجانبي، ثم "Edit Configuration".

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

نفس الصيغة مثل Claude Desktop. أعد تشغيل Windsurf لتطبيق التغييرات.

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "wazuh",
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ]
    }
  ]
}

يستخدم Continue مصفوفة من كائنات الخادم بدلاً من خريطة.

~/.config/zed/settings.json
{
  "context_servers": {
    "wazuh": {
      "command": {
        "path": "uvx",
        "args": [
          "Wazuh-MCP-Server"
        ]
      }
    }
  }
}

أضف إلى context_servers. يعيد Zed التحميل تلقائيًا عند الحفظ.

claude mcp add wazuh -- uvx Wazuh-MCP-Server

أمر من سطر واحد. تحقق باستخدام claude mcp list. احذف باستخدام claude mcp remove.

حالات الاستخدام

استخدامات عملية: Wazuh-MCP-Server

فرز التنبيهات الليلية في 10 دقائق بدلاً من ساعتين

👤 محللو مركز العمليات الأمنية ⏱ ~20 min advanced

متى تستخدمه: في بداية الدوام. مئات التنبيهات طوال الليل. تحتاج إلى العثور على الحقيقية منها دون قراءة كل سجل.

المتطلبات الأساسية
  • بيانات اعتماد API مدير Wazuh — واجهة Wazuh > بيانات الاعتماد للـ API
الخطوات
  1. تلخيص
    خلال آخر 12 ساعة: اجمع التنبيهات حسب مجموعة القواعد، احسب العدد ذي الخطورة 10+ لكل مجموعة، أفضل 5 أجهزة بأكثر التنبيهات ذات الخطورة العالية.✓ تم النسخ
    → ملخص مرتب حسب الأهمية
  2. التحقيق
    للجهاز الأول: اسحب 10 تنبيهات ذات خطورة عالية الأكثر حداثة مع التفاصيل الكاملة.✓ تم النسخ
    → الأحداث التفصيلية
  3. تحديد الإجراء
    بناءً على هذه الأحداث، هل هذا إيجابي حقيقي؟ إن كان نعم، اقترح استجابة: عزل الجهاز / تعطيل الحساب / إنشاء تذكرة.✓ تم النسخ
    → الحكم + خطة العمل

النتيجة: MTTD/MTTR أسرع دون الحاجة لموارد بشرية إضافية.

المزالق
  • تفعيل الاستجابة النشطة تلقائياً قبل التأكيد — ضع أدوات الاستجابة النشطة خلف بوابة تأكيد

تقرير وضع الثغرات الأسبوعي

👤 مديرو الأمن ⏱ ~30 min intermediate

متى تستخدمه: تقرير الجمعة للإدارة العليا. كم عدد CVEs المفتوحة؟ أين؟ الاتجاه مقابل الأسبوع الماضي؟

الخطوات
  1. استخراج الثغرات
    من وحدة الثغرات في Wazuh: إجمالي CVEs المفتوحة حسب مستوى الخطورة، أفضل 10 أجهزة حسب عدد CVEs الحرجة.✓ تم النسخ
    → الأرقام + أفضل الأجهزة
  2. المقارنة مع الأسبوع الماضي
    قارن الأرقام مع تقرير الجمعة الماضية [الصق]. ما الذي تحسن؟ وما الذي تراجع؟✓ تم النسخ
    → تحليل الفروقات
  3. ترتيب الأولويات
    اسرد أهم 5 CVEs حرجة تؤثر على معظم الأجهزة والتي يجب إصلاحها في نهاية الأسبوع.✓ تم النسخ
    → قائمة إصلاحات قابلة للتنفيذ

النتيجة: ملخص وضع الأمن جاهز لمجلس الإدارة.

المزالق
  • بيانات الثغرات حديثة فقط بقدر آخر مسح — تحقق من طوابع وقت الفحص قبل الوصول لنتائج
اجمعها مع: notion

عزل جهاز مخترق بعد التأكيد

👤 فريق المناوبة في مركز العمليات ⏱ ~10 min advanced

متى تستخدمه: التنبيه يطلق: برنامج ضار واضح على نقطة الطرفية. تحتاج إلى العزل بسرعة.

الخطوات
  1. تأكيد النطاق
    للجهاز 'ws-4412': أظهر العمليات النشطة برقم العملية الأب، المنافذ المستمعة الحديثة، وآخر 20 تنبيهات. هل هذا جهاز مخترق بوضوح؟✓ تم النسخ
    → تقييم المخاطر
  2. عزل
    عزل الجهاز ws-4412 عبر الاستجابة النشطة. يتطلب تأكيدي الصريح أولاً.✓ تم النسخ
    → طلب تأكيد، ثم عزل + مدخل سجل التدقيق

النتيجة: جهاز مخترق معزول خلال دقائق.

المزالق
  • عزل خاطئ لخادم الإنتاج — تحقق مرتين من معرف الجهاز والتصنيف قبل التأكيد؛ احفظ طريقة خارج النطاق لإعادة التفعيل

التركيبات

اجمعها مع خوادم MCP أخرى لتحقيق نتائج x10

wazuh + notion

ملخص الأمن الأسبوعي للإدارة التنفيذية

اكتب ملخص Wazuh أسبوعي وأنشئ صفحة Notion في 'Security Weekly'.✓ تم النسخ

الأدوات

ما يوفره هذا الـ MCP

الأداةالمدخلاتمتى تستدعيهاالتكلفة
list_alerts filter: obj, from, to, limit التحقيق حسب الوقت/الخطورة/القاعدة 1 API call
get_agent agent_id إنشاء ملف تعريف لنقطة طرفية معينة 1 API call
list_vulnerabilities agent_id?, severity? فحوصات وضع الثغرات 1 API call
trigger_active_response agent_id, command, arguments? عزل / إيقاف عملية / تعطيل حساب — إجراء حساس؛ يتطلب تأكيد 1 API call + physical effect
compliance_report framework: 'pci'|'hipaa'|'nist', scope جاهزية التدقيق 1 API call

التكلفة والحدود

تكلفة التشغيل

حصة API
محدود بحدود API مدير Wazuh
الرموز لكل استدعاء
قوائم التنبيهات يمكن أن تكون ضخمة — رشح دائماً حسب الوقت + الخطورة
التكلفة المالية
مجاني. Wazuh نفسه مفتوح المصدر.
نصيحة
استخدم limit بقوة. لا تعرض تنبيهات أسبوع كامل بدون تجميع.

الأمان

الصلاحيات والأسرار ونطاق الأثر

الحد الأدنى من الصلاحيات: مستخدم API Wazuh مقيد بقراءة فقط للفحص؛ ارفع الصلاحيات للاستجابة النشطة
تخزين بيانات الاعتماد: بيانات اعتماد Wazuh API في متغيرات البيئة أو Docker secrets
نقل البيانات الخارجي: بيانات التنبيهات والأحداث تذهب إلى مزود LLM الخاص بك
لا تمنح أبدًا: صلاحيات الاستجابة النشطة لنسخة تطوير/تقييم

استكشاف الأخطاء

الأخطاء الشائعة وحلولها

401 from Wazuh API

بيانات الاعتماد خاطئة، أو JWT انتهت صلاحيتها. الخادم يدور تلقائياً؛ إن استمرت المشكلة، تحقق من ENV.

Empty alert list despite known alerts

محرك الفهرسة (Elasticsearch) غير قابل للوصول من حاوية MCP. تحقق من شبكات docker-compose.

Active response failed / no effect

تأكد من تفعيل سكريبت الاستجابة النشطة على ذلك الجهاز (ossec.conf). بعض الإجراءات تتم على جانب الجهاز فقط.

البدائل

Wazuh-MCP-Server مقابل البدائل

البديلمتى تستخدمهاالمقايضة
Splunk / Sentinel MCPsإذا كنت تستخدم Splunk أو Sentinel بدلاً من ذلكSIEM مختلف
واجهة Wazuh مباشرةغوص عميق في تنبيه واحدأبطأ؛ بدون معالجة من LLM

المزيد

الموارد

📖 اقرأ ملف README الرسمي على GitHub

🐙 تصفح القضايا المفتوحة

🔍 تصفح أكثر من 400 خادم MCP و Skills