Google MCP Security 项目详细介绍

项目概述

Google MCP Security 是一个开源项目，提供模型上下文协议(MCP)服务器，使MCP客户端（如Claude Desktop或cline.bot VS Code扩展）能够访问Google的安全产品和服务。该项目旨在将Google强大的安全工具集成到AI助手生态系统中，为安全专业人员提供更智能、更高效的威胁检测和响应能力。

核心功能模块

该项目包含四个独立的MCP服务器，每个服务器对应不同的Google安全产品：

1. Google Security Operations (Chronicle)

• 用途: 威胁检测、调查和威胁猎捕
• 功能: 提供大规模安全数据分析和威胁检测能力
• 适用场景: SOC团队进行威胁调查和主动威胁猎捕

2. Google Security Operations SOAR

• 用途: 安全编排、自动化和响应
• 功能: 自动化安全事件响应流程和工作流编排
• 集成支持: 支持CSV、OKTA等多种集成方式
• 适用场景: 自动化安全事件处理和响应

3. Google Threat Intelligence (GTI)

• 用途: 访问Google的威胁情报数据
• 功能: 提供全球威胁情报信息和恶意软件分析
• 数据源: VirusTotal API集成
• 适用场景: 威胁情报分析和恶意软件检测

4. Security Command Center (SCC)

• 用途: 云安全和风险管理
• 功能: Google Cloud安全态势管理和漏洞评估
• 适用场景: 云环境安全监控和合规管理

技术架构

支持的客户端

• Claude Desktop
• Cline VS Code扩展
• Google ADK (Agent Development Kit) 代理
• 其他MCP兼容客户端

认证方式

项目使用Google标准认证机制：

• Application Default Credentials (ADC)
• GOOGLE_APPLICATION_CREDENTIALS环境变量
• gcloud auth application-default login命令

传输协议

使用stdio传输协议进行客户端-服务器通信

安装和配置

推荐方式：使用uv

{
  "mcpServers": {
    "secops": {
      "command": "uv",
      "args": [
        "--directory",
        "/path/to/the/repo/server/secops/secops_mcp",
        "run",
        "server.py"
      ],
      "env": {
        "CHRONICLE_PROJECT_ID": "your-project-id",
        "CHRONICLE_CUSTOMER_ID": "01234567-abcd-4321-1234-0123456789ab",
        "CHRONICLE_REGION": "us"
      },
      "disabled": false,
      "autoApprove": []
    }
  }
}

替代方式：使用pip

{
  "mcpServers": {
    "secops": {
      "command": "/bin/bash",
      "args": [
        "-c",
        "cd /path/to/the/repo/server/secops && pip install -e . && secops_mcp"
      ],
      "env": {
        "CHRONICLE_PROJECT_ID": "your-project-id",
        "CHRONICLE_CUSTOMER_ID": "01234567-abcd-4321-1234-0123456789ab",
        "CHRONICLE_REGION": "us"
      },
      "disabled": false,
      "autoApprove": []
    }
  }
}

环境变量配置

各服务器需要的关键环境变量：

Chronicle (SecOps)

• CHRONICLE_PROJECT_ID: Google Cloud项目ID
• CHRONICLE_CUSTOMER_ID: Chronicle客户ID
• CHRONICLE_REGION: 服务区域（如：us）

SOAR

• SOAR_URL: SOAR平台URL
• SOAR_APP_KEY: SOAR应用密钥

GTI (威胁情报)

• VT_APIKEY: VirusTotal API密钥

SCC (安全命令中心)

• 使用默认Google Cloud认证，无需额外环境变量

部署选项

本地部署

1. 克隆项目仓库
2. 配置相应的环境变量
3. 安装依赖（推荐使用uv）
4. 配置MCP客户端（Claude Desktop或VS Code）
5. 重启客户端以激活MCP服务器

云端部署

项目支持通过Google Cloud Run进行云端部署，具体配置参考项目文档。

使用场景

SOC团队

• 利用Chronicle进行大规模威胁检测
• 通过SOAR自动化安全事件响应
• 结合威胁情报进行上下文分析

云安全团队

• 使用SCC监控Google Cloud环境安全态势
• 自动化漏洞管理和合规检查
• 集成威胁情报增强检测能力

安全研究人员

• 通过GTI访问全球威胁情报
• 进行恶意软件分析和威胁研究
• 自动化威胁猎捕活动

项目优势

1. 模块化设计: 四个独立服务器，可根据需求灵活启用
2. 企业级安全: 基于Google成熟的安全产品和服务
3. AI集成: 无缝集成Claude等先进AI助手
4. 开源透明: Apache 2.0许可证，代码完全开源
5. 易于部署: 支持多种安装和部署方式
6. 丰富文档: 提供详细的文档和使用指南

技术要求

• Python 3.8+
• uv或pip包管理器
• Google Cloud项目和相关API访问权限
• 相应的安全产品订阅和API密钥

社区和支持

项目托管在GitHub上，提供：

• 详细的README和文档
• 在线文档网站：https://google.github.io/mcp-security/
• 示例配置和最佳实践
• 社区支持和贡献指南

该项目代表了Google在AI安全工具集成方面的重要投入，为安全专业人员提供了强大的自动化和智能化安全分析能力。