/ 目录 / 演练场 / Wazuh-MCP-Server
← 全部服务器 ↗ GitHub
● 社区 gensecaihq ⚡ 即开即用

Wazuh-MCP-Server

作者 gensecaihq · gensecaihq/Wazuh-MCP-Server

Wazuh 对话式 SOC——用纯英文查询告警、搜索威胁、检查漏洞、触发主动响应,配合 48 个工具和审计日志。

Wazuh-MCP-Server 把你的 Wazuh SIEM 变成聊天驱动的 SOC。包含告警、agent、漏洞、主动响应、合规性等 48 个工具。为真实 SOC 工作而生:输出清理、速率限制、熔断器、工具级 RBAC、以及破坏性操作审计日志。

▶ 观看演示 📦 安装 💡 使用场景

为什么要用

核心特性

实时演示

实际使用效果

wazuh.replay ▶ 就绪
0/0

安装

选择你的客户端

~/Library/Application Support/Claude/claude_desktop_config.json  · Windows: %APPDATA%\Claude\claude_desktop_config.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

打开 Claude Desktop → Settings → Developer → Edit Config。保存后重启应用。

~/.cursor/mcp.json · .cursor/mcp.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

Cursor 使用与 Claude Desktop 相同的 mcpServers 格式。项目级配置优先于全局。

VS Code → Cline → MCP Servers → Edit
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

点击 Cline 侧栏中的 MCP Servers 图标,然后选 "Edit Configuration"。

~/.codeium/windsurf/mcp_config.json
{
  "mcpServers": {
    "wazuh": {
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ],
      "_inferred": true
    }
  }
}

格式与 Claude Desktop 相同。重启 Windsurf 生效。

~/.continue/config.json
{
  "mcpServers": [
    {
      "name": "wazuh",
      "command": "uvx",
      "args": [
        "Wazuh-MCP-Server"
      ]
    }
  ]
}

Continue 使用服务器对象数组,而非映射。

~/.config/zed/settings.json
{
  "context_servers": {
    "wazuh": {
      "command": {
        "path": "uvx",
        "args": [
          "Wazuh-MCP-Server"
        ]
      }
    }
  }
}

加入 context_servers。Zed 保存后热重载。

claude mcp add wazuh -- uvx Wazuh-MCP-Server

一行命令搞定。用 claude mcp list 验证,claude mcp remove 卸载。

使用场景

实战用法: Wazuh-MCP-Server

10 分钟内分流夜间告警,而不是 2 小时

👤 SOC 分析师 ⏱ ~20 min advanced

何时使用: 班次开始。夜间有数百个告警。你需要找出真实的告警,而不必逐行查看。

前置条件
  • Wazuh Manager API 凭据 — Wazuh UI > API 凭据
步骤
  1. 总结
    过去 12 小时:按规则组分组告警,统计每组中严重级别 10+ 的数量,列出高严重度告警最多的前 5 个 agent。✓ 已复制
    → 排序摘要
  2. 调查
    针对排名最高的 agent,拉取 10 个最新的高严重度告警及其完整细节。✓ 已复制
    → 详细事件
  3. 确定行动
    根据这些事件,这是真正的告警吗?如果是,提议响应方案:隔离 agent / 禁用账户 / 创建工单。✓ 已复制
    → 判定 + 行动计划

结果: 在不增加人手的情况下更快地降低 MTTD/MTTR。

注意事项
  • 在确认前自动触发主动响应 — 将主动响应工具放在确认门后面

周报:漏洞态势报告

👤 安全管理者 ⏱ ~30 min intermediate

何时使用: 周五向领导层汇报。有多少个 CVE 未修复?位置在哪里?与上周相比的趋势如何?

步骤
  1. 拉取漏洞
    从 Wazuh 漏洞模块:按严重级别统计未修复 CVE 总数,列出关键 CVE 最多的前 10 个 agent。✓ 已复制
    → 数字 + 排名靠前的 agent
  2. 与上周对比
    将数据与上周五的报告对比 [粘贴]。哪些指标改善了,哪些回退了?✓ 已复制
    → 差异分析
  3. 优先级排序
    列出影响最多主机的 5 个关键 CVE,这些 CVE 应在本周末修补。✓ 已复制
    → 可执行的补丁列表

结果: 董事会级别的安全态势摘要。

注意事项
  • 漏洞数据仅与最后一次扫描一样新 — 得出结论前检查扫描时间戳
搭配使用: notion

确认后隔离被入侵的主机

👤 值班 SOC ⏱ ~10 min advanced

何时使用: 告警触发:端点上有明确的恶意软件。你需要快速隔离。

步骤
  1. 确认范围
    对于 agent 'ws-4412':显示活跃进程及其父 PID、最近监听的端口和最后 20 个告警。这明显是被入侵了吗?✓ 已复制
    → 风险评估
  2. 隔离
    通过主动响应隔离 agent ws-4412。需要我明确确认。✓ 已复制
    → 确认提示,然后隔离 + 审计日志条目

结果: 被入侵的主机在几分钟内隔离。

注意事项
  • 误隔离生产服务器 — 确认前双重检查 agent ID 和分类;保留带外方式重新启用

组合

与其他 MCP 搭配,撬动十倍杠杆

wazuh + notion

周报:安全摘要给管理层

编写周 Wazuh 摘要,并在 'Security Weekly' 中创建 Notion 页面。✓ 已复制

工具

此 MCP 暴露的能力

工具输入参数何时调用成本
list_alerts filter: obj, from, to, limit 按时间/严重级别/规则调查 1 API call
get_agent agent_id 分析特定端点 1 API call
list_vulnerabilities agent_id?, severity? 漏洞态势检查 1 API call
trigger_active_response agent_id, command, arguments? 隔离 / 杀死进程 / 禁用账户——破坏性;需确认 1 API call + physical effect
compliance_report framework: 'pci'|'hipaa'|'nist', scope 审计就绪状态 1 API call

成本与限制

运行它的成本

API 配额
受 Wazuh Manager API 限制限制
每次调用 Token 数
告警列表可能很大——始终按时间 + 严重级别过滤
费用
免费。Wazuh 本身是开源的。
提示
积极使用 limit。不要列出一周的告警而不分组。

安全

权限、密钥、影响范围

最小权限: Wazuh API 用户作用域为仅读进行检查;主动响应时提升权限
凭据存储: Wazuh API 凭据存储在环境变量或 Docker secrets
数据出站: 告警/事件数据发送给你的 LLM 提供商
切勿授予: 不向开发/评估实例授予主动响应作用域

故障排查

常见错误与修复

来自 Wazuh API 的 401

凭据错误或 JWT 过期。服务器自动轮转;如果持续出现,检查 ENV。

尽管有已知告警,但告警列表为空

从 MCP 容器无法访问索引器 (Elasticsearch)。检查 docker-compose 网络。

主动响应失败 / 无效果

确认该 agent 上已启用主动响应脚本 (ossec.conf)。某些操作仅在 agent 端执行。

替代方案

Wazuh-MCP-Server 对比其他方案

替代方案何时用它替代权衡
Splunk / Sentinel MCPs你改用 Splunk 或 Sentinel不同的 SIEM
直接使用 Wazuh UI深入单个告警更慢;没有 LLM 合成

更多

资源

📖 阅读 GitHub 上的官方 README

🐙 查看未解决的 issue

🔍 浏览全部 400+ MCP 服务器和 Skills