Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Endpunkt-Management: So senden Sie NinjaOne-Webhooks über SIEM

Thema

In diesem Artikel wird erläutert, wie Sie den Prozess der Weiterleitung von Daten aus NinjaOne an eine SIEM-Lösung (Security Information and Event Management) mithilfe von Webhooks einrichten, die bei Auftreten der Aktivitäten in NinjaOne ausgelöst werden.

Umgebung

NinjaOne Endpoint Management

Beschreibung

Während NinjaOne die innerhalb der Plattform durchgeführten Aktionen protokolliert, müssen viele Unternehmen diese Protokolle in einem SIEM-Tool zusammenfassen. Sie können diese Informationen auch über die API abrufen.

Bevor Sie beginnen, beachten Sie bitte die folgenden wichtigen Hinweise:

  • Webhooks ermöglichen die Echtzeitübertragung von Ereignissen von NinjaOne zu Ihrem SIEM.
  • Sie können Webhooks für bestimmte Ereignisse wie Gerätewarnungen, Richtlinienbedingungen oder integrationsspezifische Benachrichtigungen konfigurieren.
  • In diesem Artikel wird Splunk als Beispiel für den Kontext verwendet, aber Sie können diese Methodik mit jedem SIEM-Tool implementieren, das Webhooks verarbeitet.
  • Verschiedene SIEM-Tools können unterschiedliche Methoden zur Konfiguration von Webhooks haben.

Index

Wählen Sie eine Kategorie aus, um mehr zu erfahren:

Aktivitätsmeldungen synchronisieren

NinjaOne ist so konfiguriert, dass Webhooks in einen Splunk HTTP Event Collector (HEC) gestreamt werden. Führen Sie dazu die folgenden Schritte aus:

  1. Verwenden Sie die folgende Ressource, um einen HEC in Splunk zu erstellen: Einrichten und Verwenden des HTTP Event Collector in Splunk Web – Splunk-Dokumentation (externer Link).
Dies ist der Mechanismus, der die von NinjaOne gesendeten Webhooks empfängt. Im Rahmen der Erstellung des HEC generieren Sie ein Token. Speichern Sie dieses Token, da NinjaOne es für die Authentifizierung beim Senden von Webhooks an Splunk benötigt.
  1. Greifen Sie als Systemadministrator auf NinjaOne zu und navigieren Sie zu „Administration“ → „Apps“ → „API“.
  2. Bewegen Sie den Mauszeiger über das Fragezeichen-Symbol in der API-Titelleiste und klicken Sie auf API-Dokumentation. Sie können diesen Link auch über das Hilfe-Symbol in der oberen rechten Ecke der Konsole aufrufen.
Apps_API_documentation.png
Abbildung 1: Zugriff auf die API-Dokumentation über die Verwaltung
NinjaOne_help resources_API.png
Abbildung 2: Zugriff auf die API-Dokumentation über die Hilfe-Ressourcen
  1. Suchen Sie auf der Seite „Öffentliche API“ den Endpunkt /v2/webhook. Weitere Informationen zu den Anforderungen für die Verwendung dieses Endpunkts finden Sie unter Ninja One Public API Reference | Schritte zur Konfiguration der Webhook-Integration.
  2. Entscheiden Sie anhand der bereitgestellten Dokumentation, welche Aktivitätstypen Sie an das SIEM-Tool übermitteln möchten.
    • NinjaOne kategorisiert Aktivitäten anhand der Art der Aktion, auf die sie sich beziehen. Beispielsweise würde CONDITION nur Protokolle abrufen, die sich auf ausgelöste Warnungen und Zurücksetzungen beziehen. ACTIONSET wäre jede Automatisierung, die ausgeführt wird, oder jede Aktion, die von einem Techniker durchgeführt wird.
    • Möglicherweise sind nicht alle Aktivitätstypen für Ihre Datenerfassungsanforderungen relevant. Wählen Sie daher nur diejenigen aus, die im SIEM-Tool protokolliert werden müssen. Darüber hinaus können Sie mithilfe der EXPAND-Parameter zusätzliche Informationen anhängen.
    • Wenn Sie die Nutzlast anpassen möchten, lesen Sie den folgenden Abschnitt, um zu erfahren, wie Sie dies tun können. Beispiel für eine Nutzlast: Beispiel für eine configureWebhooks-Nutzlast – Pastebin.com (externer Link).
  3. Klicken Sie in der öffentlichen API auf „Ausprobieren“ und fügen Sie die folgende Beispiel-Nutzlast in das Feld „Request Body“ ein. 
webhook_try it out.png
Abbildung 3: Testen der API
  1. Klicken Sie auf „Ausführen“. Nach Abschluss sollte ein 204-Antwortcode angezeigt werden.

Sobald dieser Vorgang abgeschlossen ist, werden NinjaOne-Aktivitäten als Webhooks an das SIEM gesendet, wo sie erfasst werden können. Im Menü „Notification Channels“ (Benachrichtigungskanäle ) in NinjaOne sehen Sie einen Webhook-Eintrag ohne Namen. Es ist wichtig, dass Sie diesen Eintrag in keiner Weise ändern, um sicherzustellen, dass Webhooks kontinuierlich an Ihr SIEM gestreamt werden.

Aktivieren Sie unter „Allgemein“ → „Systemaktivitäten“ die Aktivität „Webhook-Fehler“, um benachrichtigt zu werden, wenn Probleme mit fehlgeschlagenen Webhooks auftreten oder wenn der Webhook deaktiviert wird, damit Sie diese schnell identifizieren und beheben können.

Anpassen einer Beispiel-Nutzlast

Wir haben eine Beispiel-Nutzlast erstellt, die Sie unter Beispiel configureWebhooks Nutzlast – Pastebin.com anpassen können. Öffnen Sie dazu den Link und führen Sie die folgenden Schritte aus:

  1. Fügen Sie die URL des Splunk HEC ein, der in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels erstellt wurde. Stellen Sie sicher, dass Ihre URL mit Folgendem endet, damit die Webhooks von NinjaOne erfolgreich geparst werden können:
 /services/collector/raw 
  1. Passen Sie den activityType an, den Sie an das SIEM-Tool weiterleiten möchten. Beachten Sie, dass jeder activityType-Schlüssel ein Sternchen oder einen Platzhalter (*) als Wert in der JSON-Nutzlast verwendet.
  2. Passen Sie die gewünschten Erweiterungsparameter an.
  3. Kopieren Sie das Token, das NinjaOne für Splunk HEC in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels erstellt hat. Fügen Sie das Token in den Wert unter „headers“ in der JSON-Nutzlast ein. „Splunk“ oder der Name Ihres anderen SIEM-Tools muss vor dem Token stehen, zum Beispiel: Splunk 123456.

Weitere Ressourcen

Weitere Informationen zu Aktivitäten in NinjaOne finden Sie unter NinjaOne Endpoint Management: Benachrichtigungsfeed zu Geräte- und Systemaktivitäten.

Wenn Sie Webhooks testen möchten, bevor Sie sie direkt in Ihr SIEM integrieren, ist Webhook.site – Testen, transformieren und automatisieren Sie Webanfragen und E-Mails (externer Link) eine nützliche Website zur Validierung.

FAQ

Nächste Schritte