$ loading_
通过自然语言查询 Wazuh,辅助告警研判、威胁狩猎与安全响应
该 MCP 工具材料显示其为开源 MIT 项目,未声明需要密钥或固定外部端点,整体未见明确高风险红旗;但其具备执行代码能力,且文档很少、社区采用度低、维护状态未知,建议在隔离环境中先审阅源码后再接入生产数据。
材料中未声明需要 API key、token 或环境变量,显式凭证暴露面较小;但由于 README 缺失,仍需核实是否存在通过配置文件、Wazuh 会话或其他隐式方式提供认证的情况。
描述称其可查询 Wazuh SIEM/XDR,按功能推断通常会向 Wazuh 相关服务发起网络请求;但提供材料未列出具体远程端点、数据流向或是否会将提示/告警内容外发到其他第三方,透明度不足。
系统检查项明确标记为 executes-code,说明该工具具备在本机运行代码或进程的能力;这是 MCP 工具的常规风险面,目前材料未见超出声明用途的高权限申请,但应按最小权限运行。
从功能描述看,其主要访问对象应为 Wazuh 中的告警、威胁狩猎、合规与事件响应数据,这些通常属于敏感安全遥测;材料未说明本地文件读写范围或是否有限制访问边界,因此需留意实际可见数据范围。
正面因素是源码公开且采用 MIT 许可证,可审计性较好;但来源为第三方注册表、仓库社区采用度为 0 star、维护状态未知且 README 缺失,供应链成熟度与持续维护信号偏弱。
复制安装指令,让 AI 自动完成配置 · 推荐新手
"wazuh-mcp-server" 暂无可直接复制的安装信息,请查看页面文档或源码仓库。
请查询过去24小时 Wazuh 中的高危告警,按主机、规则名称和严重级别汇总,并指出最需要优先处理的 5 条告警及原因。
返回高危告警汇总、优先级排序,以及每条重点告警的研判理由。
帮我在 Wazuh 中搜索过去7天是否存在同一 IP 对多台主机的异常登录、提权或可疑进程行为,并给出关联时间线。
输出可疑 IP 的关联事件、受影响主机列表和按时间排序的攻击迹象时间线。
请基于 Wazuh 数据检查当前环境中未及时安装安全补丁、关闭日志采集或配置异常的主机,并生成审计发现摘要。
给出不合规主机清单、问题类型分类,以及可用于审计汇报的摘要结果。
连接 Wazuh SIEM 与大模型,帮助团队查询安全事件并自动化运维分析。