Threatmcp
Overview
What is Threatmcp
ThreatMCP is a comprehensive API MCP server for online threat analysis, based on the Model Context Protocol (MCP). It provides a complete suite of 15 tools for threat intelligence queries, including IP analysis, domain detection, file scanning, URL analysis, and vulnerability intelligence, seamlessly integrating with AI assistants like Claude Desktop for intelligent security analysis.
Use cases
Use cases for ThreatMCP include analyzing suspicious IP addresses for potential threats, scanning URLs for malicious content, generating reports on file safety, and identifying vulnerabilities in software products. It can also be used to monitor domains for malicious activities.
How to use
To use ThreatMCP, first install the required dependencies using ‘pip install -r requirements.txt’. Then, configure your ThreatBook API key as an environment variable. Finally, start the server by running the ‘run_server.py’ script. For integration with Claude Desktop, add the necessary configuration to its settings.
Key features
Key features of ThreatMCP include IP reputation queries, domain analysis, file reputation reports, URL scanning, vulnerability intelligence, and IOC detection. It supports advanced queries for IP and domain, file uploads for sandbox analysis, and provides detailed reports on threats.
Where to use
ThreatMCP can be used in various fields such as cybersecurity, threat intelligence, incident response, and digital forensics. It is particularly valuable for organizations needing to analyze and mitigate online threats effectively.
Content
微步在线威胁分析完整API MCP 服务器
这是一个基于微步在线威胁分析API的MCP(Model Context Protocol)服务器,提供完整的情报查询功能。支持微步在线威胁分析API的全部15个工具,包括IP分析、域名分析、文件检测、URL扫描、漏洞情报等。
功能特性
IP分析
- 🔍 IP信誉查询: 查询IP地址的安全信誉信息
- 🌍 IP分析: 获取IP地理位置、ASN信息、威胁类型等
- 📈 IP高级查询: 获取IP历史解析记录、端口信息等
域名分析
- 🌐 域名分析: 获取域名解析IP、Whois信息、威胁类型等
- 📊 域名高级查询: 获取域名历史Whois、历史解析IP信息
- 🔍 域名上下文查询: 针对恶意域名查询上下文信息
- 🌿 子域名查询: 获取域名的子域名信息
文件分析
- 📄 文件信誉报告: 获取文件详细的静态和动态分析报告
- 🔬 反病毒引擎检测: 获取文件经过22款反病毒扫描引擎检测结果
- 📤 文件上传分析: 上传文件进行沙箱分析
URL分析
- 🌐 URL扫描: 对URL进行扫描分析
- 📋 URL信誉报告: 获取URL扫描引擎检测结果
漏洞情报
- 🛡️ 漏洞情报: 获取公开漏洞的基础信息、风险评估、PoC等
- 🎯 产品漏洞匹配: 通过厂商产品匹配功能聚合相关漏洞
失陷检测
- 🚨 IOC检测: 检测IP地址或域名的恶意威胁
🚀 快速开始
1. 安装依赖
# 进入项目目录
cd ThreatMCP
# 安装依赖(自动生成的精确依赖)
pip install -r requirements.txt
当前依赖包:
mcp- Model Context Protocol核心包pydantic- 数据验证库requests- HTTP请求库
2. 配置API密钥
设置微步在线威胁分析API密钥环境变量:
export THREATBOOK_API_KEY="your_threatbook_api_key_here"
3. 获取微步在线威胁分析API密钥
- 访问 微步在线威胁分析官网
- 注册账号并登录
- 在API管理页面获取你的API密钥
4. 启动服务器
🔗 集成使用
Claude Desktop集成
在Claude Desktop的配置文件中添加:
{
"mcpServers": {
"threatbook": {
"command": "python",
"args": [
"/path/to/your/ThreatMCP/run_server.py"
],
"env": {
"THREATBOOK_API_KEY": "your_api_key_here"
}
}
}
}配置说明:
command: 使用python命令args: 使用完整绝对路径运行run_server.py脚本env: 设置微步在线威胁分析API密钥环境变量
注意: 请将路径 /path/to/your/ThreatMCP/run_server.py 替换为您实际的项目路径
其他MCP客户端
本服务器兼容所有支持MCP协议的客户端,包括:
- Claude Desktop
- 其他AI助手工具
- 自定义MCP客户端
🔍 实战应用场景(遐想)
AI 驱动的 Linux 系统应急响应分析
结合 AI SSH 工具和威胁情报,可以实现智能化的 Linux 系统安全应急分析:
🚨 典型应急响应流程
1. 异常发现阶段
# AI 通过 SSH 连接到可疑系统
ssh user@suspicious-server
# 检查系统基本状态
ps aux | grep -E "(bitcoin|mining|crypto)"
netstat -tulpn | grep LISTEN
2. 威胁情报关联分析
- 可疑 IP 分析: 使用
ip_reputation和ip_analysis工具分析系统中发现的外部连接 IP - 域名威胁检测: 通过
domain_analysis检查系统 DNS 查询记录中的可疑域名 - 文件哈希验证: 使用
file_analysis分析可疑文件的 MD5/SHA256 哈希值
3. 深度分析示例
# 发现可疑外连 IP: 192.168.1.100
# AI 自动调用威胁情报 API 进行分析
AI 会自动:
- 调用
ip_reputation查询该 IP 的信誉信息 - 使用
ip_analysis获取 IP 地理位置、ASN、历史威胁记录 - 通过
ioc_detection检测是否为已知的失陷指标
4. 综合威胁评估
AI 结合系统信息和威胁情报,提供:
- 🎯 威胁等级评估: 基于多维度情报数据
- 📊 攻击链分析: 关联分析攻击者的 TTPs
- 🛡️ 处置建议: 提供具体的安全加固措施
🔧 支持的分析场景
| 分析类型 | 使用的威胁情报工具 | 应用场景 |
|---|---|---|
| 网络连接分析 | ip_reputation, ip_analysis |
检测恶意外连、C&C 通信 |
| DNS 查询分析 | domain_analysis, domain_context |
发现恶意域名、DGA 域名 |
| 文件完整性检查 | file_analysis, file_multiengines |
检测木马、后门、挖矿程序 |
| Web 访问分析 | url_scan, url_report |
分析可疑 URL 访问记录 |
| 漏洞风险评估 | vulnerability, vuln_match |
系统漏洞风险评估 |
💡 智能化优势
- 自动化分析: AI 自动执行系统检查和威胁情报查询
- 关联分析: 将系统日志与全球威胁情报进行关联
- 实时响应: 快速识别威胁并提供处置建议
- 知识积累: 基于历史案例不断优化分析策略
🎯 实际应用价值
- 提升响应速度: 从小时级缩短到分钟级
- 降低误报率: 基于权威威胁情报源进行验证
- 标准化流程: 确保应急响应的一致性和完整性
- 知识传承: AI 助手可以传承专家经验
注意: 此功能需要配合支持 SSH 的 AI 工具使用,如 Claude Desktop 配合 SSH MCP 服务器等。
🛠️ 完整API工具集
本MCP服务器提供微步在线威胁分析API的完整15个工具,覆盖所有威胁情报分析场景:
IP相关工具
- ip_reputation - IP信誉查询
- ip_analysis - IP分析
- ip_advanced - IP高级查询
- ioc_detection - 失陷检测
域名相关工具
- domain_analysis - 域名分析
- domain_advanced - 域名高级查询
- domain_context - 域名上下文查询
- subdomain - 子域名查询
文件相关工具
- file_analysis - 文件信誉报告
- file_multiengines - 文件反病毒引擎检测
- file_upload - 提交文件分析
URL相关工具
- url_scan - 提交URL分析
- url_report - URL信誉报告
漏洞相关工具
- vulnerability - 漏洞情报
- vuln_match - 产品漏洞匹配
🏗️ 项目架构
项目结构
ThreatMCP/ ├── threatbook_mcp/ # 核心包目录 │ ├── __init__.py # 包初始化 │ ├── server.py # MCP服务器核心 │ ├── response_handler.py # 统一响应处理 │ ├── ip_reputation.py # IP信誉查询 │ ├── ip_analysis.py # IP分析 │ ├── ip_advanced.py # IP高级查询 │ ├── ioc_detection.py # 失陷检测 │ ├── domain_analysis.py # 域名分析 │ ├── domain_advanced.py # 域名高级查询 │ ├── domain_context.py # 域名上下文查询 │ ├── subdomain.py # 子域名查询 │ ├── file_analysis.py # 文件信誉报告 │ ├── file_multiengines.py # 文件反病毒检测 │ ├── file_upload.py # 文件上传分析 │ ├── url_scan.py # URL扫描 │ ├── url_report.py # URL信誉报告 │ ├── vulnerability.py # 漏洞情报 │ └── vuln_match.py # 产品漏洞匹配 ├── run_server.py # 🚀 服务器启动脚本(主入口) ├── requirements.txt # 项目依赖 ├── README.md # 项目说明 └── config_example.json # Claude Desktop配置示例
许可证
MIT License
支持
如有问题或建议,请提交Issue或联系开发者。