shield_lock
金大哥
联系我们
返回 MCP 目录
public公开dns本地运行

cisa-m365

该项目是一个实现CISA BOD 25-01安全控制的M365 MCP服务器,通过微软Graph API管理Microsoft 365安全设置,提供包括阻止传统认证、基于风险访问控制、MFA管理、应用注册控制、密码策略管理等功能。

article

README

🚀 CISA BOD 25-01 CSA MCP 实施指南

本项目是一个基于红队的CISA BOD 25-01最小可行产品(MCP)实现。旨在助力组织满足网络安全审计、渗透测试和修复要求,以达到CISA BOD 25-01标准。

🚀 快速开始

本项目能帮助组织达成CISA BOD 25-01标准,以下为你介绍如何快速开启使用。

📦 安装指南

  1. 克隆仓库:
git clone https://github.com/DynamicEndpoints/BOD-25-01-CSA-MCP.git
cd cisa-m365
  1. 安装依赖项:
npm install
  1. 构建服务:
npm run build

📚 详细文档

配置指南

1. 创建Azure AD应用程序

  • 登录Azure Portal
  • 进入Azure Active Directory
  • 注册新应用
  • 添加所需API权限
  • 创建客户端密钥

2. 配置环境变量

cp .env.example .env

编辑.env文件:

TENANT_ID=your-tenant-id
CLIENT_ID=your-client-id
CLIENT_SECRET=your-client-secret

3. 配置MCP设置

{
  "mcpServers": {
    "cisa-m365": {
      "command": "node",
      "args": ["path/to/cisa-m365/build/index.js"],
      "env": {
        "TENANT_ID": "your-tenant-id",
        "CLIENT_ID": "your-client-id",
        "CLIENT_SECRET": "your-client-secret"
      }
    }
  }
}

使用指南

可用工具

  • block_legacy_auth:阻止使用传统身份验证方法。
{}
  • block_high_risk_users:阻止被识别为高风险的用户。
{}
  • enforce_phishing_resistant_mfa:强制所有用户使用防钓鱼MFA。
{}
  • configure_global_admins:配置全局管理员角色分配。
{
  "userIds": ["user1-id", "user2-id"]
}
  • get_policy_status:获取所有安全策略的当前状态。
{}

示例用法

// 阻止传统身份验证
const result = await client.callTool('block_legacy_auth', {});

// 获取策略状态
const status = await client.callTool('get_policy_status', {});

API参考

策略设置接口

interface PolicySettings {
  legacyAuthentication: {
    blocked: boolean;
    compliant: boolean;
  };
  highRiskUsers: {
    blocked: boolean;
    compliant: boolean;
  };
  mfa: {
    phishingResistant: boolean;
    alternativeEnabled: boolean;
    compliant: boolean;
  };
  applications: {
    registrationRestricted: boolean;
    consentRestricted: boolean;
    compliant: boolean;
  };
  passwords: {
    expirationDisabled: boolean;
    compliant: boolean;
  };
  roles: {
    globalAdminCount: number;
    granularRolesEnforced: boolean;
    pamEnforced: boolean;
    compliant: boolean;
  };
}

错误处理

该服务器实现全面错误处理:

  1. 认证错误

    • 令牌获取失败
    • 权限问题
    • 租户配置问题

  2. 授权错误

    • 缺乏必要的权限
    • 请求格式错误
    • 超出速率限制

  3. 策略执行错误

    • 策略解析失败
    • 执行失败
    • 无法应用修复

  4. 通用错误

    • 输入数据无效
    • 内部服务器错误
    • 不支持的操作

测试方法

  1. 单元测试:
npm test
  1. 集成测试:
npm run integration-test
  1. 性能测试:
npm run benchmark

安全注意事项

  • 所有敏感操作均需加密
  • 定期进行安全审计
  • 实施最小权限原则

贡献指南

欢迎贡献!请参考贡献者指南了解如何参与。

许可协议

本项目采用MIT License许可。

附录

环境变量参考

TENANT_ID=your-tenant-id
CLIENT_ID=your-client-id
CLIENT_SECRET=your-client-secret

工具使用示例

  1. 使用block_legacy_auth工具:
npx cisa-mcp block_legacy_auth --tenantId yourTenantId
  1. 使用enforce_phishing_resistant_mfa工具:
npx cisa-mcp enforce_phishing_resistant_mfa --tenantId yourTenantId
  1. 查看策略状态:
npx cisa-mcp get_policy_status --tenantId yourTenantId

常见问题解答

  1. 如何处理认证错误? 检查租户ID、客户端ID和客户端密钥是否正确配置。

  2. 为何无法连接到Azure AD? 确保网络连通性,并检查应用程序的API权限设置。

  3. 如何提高性能? 优化查询参数,实施分页和过滤功能。

help

运行方式说明

cloud

托管运行

托管运行通常表示这个 MCP Server 由服务方环境承载,用户一般按页面提供的连接方式或授权流程接入,不需要在本地长期启动一个 MCP 进程

  1. 打开服务方连接页
  2. 完成授权或复制端点
  3. 在 MCP 客户端中连接
terminal

本地运行 / 其它方式

本地运行通常需要用户在自己的电脑或服务器上安装依赖,把 server_config 复制到 MCP 客户端,并按 env_schema 补齐环境变量、密钥或其它配置

  1. 复制 server_config
  2. 安装所需依赖
  3. 补齐环境变量后重启客户端