Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Endpunkt-Management: So senden Sie NinjaOne-Webhooks über SIEM

Thema

In diesem Artikel wird erläutert, wie Sie den Prozess der Datenweiterleitung von NinjaOne an eine SIEM-Lösung (Security Information and Event Management) einrichten können, indem Sie Webhooks verwenden, die bei Auftreten der entsprechenden Aktivitäten in NinjaOne ausgelöst werden.

Umgebung

NinjaOne Endpoint Management

Beschreibung

Während NinjaOne historische Aktionen innerhalb der Plattform protokolliert, müssen viele Unternehmen diese Protokolle in einem SIEM-Tool aggregieren. Sie können diese Informationen auch über die API abrufen.

Bevor Sie beginnen, beachten Sie bitte die folgenden wichtigen Hinweise:

  • Webhooks ermöglichen die Echtzeit-Übertragung von Ereignissen von NinjaOne an Ihr SIEM.
  • Sie können Webhooks für bestimmte Ereignisse wie Gerätewarnungen, Richtlinienbedingungen oder integrationsspezifische Benachrichtigungen konfigurieren.
  • Dieser Artikel verwendet Splunk als Beispiel, aber Sie können diese Methode mit jedem SIEM-Tool implementieren, das Webhooks verarbeitet.
  • Verschiedene SIEM-Tools können unterschiedliche Methoden zur Konfiguration von Webhooks haben.

Index

Wählen Sie eine Kategorie aus, um mehr zu erfahren:

Aktivitätsmeldungen synchronisieren

NinjaOne ist so konfiguriert, dass Webhooks an einen Splunk HTTP Event Collector (HEC) gestreamt werden. Führen Sie dazu die folgenden Schritte aus:

  1. Verwenden Sie die folgende Ressource, um einen HEC in Splunk zu erstellen: Einrichten und Verwenden des HTTP Event Collectors in Splunk Web – Splunk-Dokumentation (externer Link).
Dies ist der Mechanismus, der die von NinjaOne gesendeten Webhooks empfängt. Im Rahmen der Erstellung des HEC generieren Sie ein Token. Speichern Sie dieses Token, da NinjaOne es für die Authentifizierung beim Senden von Webhooks an Splunk benötigt.
  1. Melden Sie sich als Systemadministrator bei NinjaOne an und navigieren Sie zu „Administration“ → „Apps“ → „API“.
  2. Bewegen Sie den Mauszeiger über das Fragezeichen-Symbol in der API-Titelleiste und klicken Sie auf „API-Dokumentation“. Sie können diesen Link auch über das Hilfe-Symbol in der oberen rechten Ecke der Konsole aufrufen.
Apps_API_documentation.png
Abbildung 1: Auf die API-Dokumentation über die Verwaltung zugreifen
NinjaOne_help resources_API.png
Abbildung 2: Zugriff auf die API-Dokumentation über die Hilfe-Ressourcen
  1. Suchen Sie auf der Seite „Public API“ den Endpunkt /v2/webhook. Weitere Informationen zu den Anforderungen für die Verwendung dieses Endpunkts finden Sie unter Ninja One Public API Reference | Schritte zur Konfiguration der Webhook-Integration.
  2. Entscheiden Sie anhand der bereitgestellten Dokumentation, welche Aktivitätstypen Sie an das SIEM-Tool übermitteln möchten.
    • NinjaOne kategorisiert Aktivitäten anhand der Art der Aktion, auf die sie sich beziehen. Beispielsweise würde „CONDITION“ nur Protokolle abrufen, die sich auf ausgelöste Warnmeldungen und Zurücksetzungen beziehen. „ACTIONSET“ würde jede ausgeführte Automatisierung oder von einem Techniker durchgeführte Aktion umfassen.
    • Möglicherweise sind nicht alle Aktivitätstypen für Ihre Datenerfassungsanforderungen relevant; wählen Sie daher nur diejenigen aus, die im SIEM-Tool protokolliert werden müssen. Darüber hinaus können Sie mithilfe der EXPAND-Parameter zusätzliche Informationen anhängen.
    • Wenn Sie die Nutzlast anpassen möchten, lesen Sie den folgenden Abschnitt, um zu erfahren, wie dies funktioniert. Beispiel für eine Nutzlast: Beispiel für eine configureWebhooks-Nutzlast – Pastebin.com (externer Link).
  3. Klicken Sie in der öffentlichen API auf „Ausprobieren“ und fügen Sie die folgende Beispiel-Nutzlast in das Feld „Request Body“ ein. 
webhook_try it out.png
Abbildung 3: API testen
  1. Klicken Sie auf „Execute“. Nach Abschluss des Vorgangs sollte ein 204-Antwortcode angezeigt werden.

Sobald dieser Vorgang abgeschlossen ist, werden NinjaOne-Aktivitäten als Webhooks an das SIEM gesendet, wo sie erfasst werden können. Im Menü „Notification Channels“ in NinjaOne sehen Sie einen Webhook-Eintrag ohne Namen. Es ist wichtig, dass Sie diesen Eintrag in keiner Weise ändern, um sicherzustellen, dass Webhooks kontinuierlich an Ihr SIEM gestreamt werden.

Aktivieren Sie unter „Allgemein“ → „Systemaktivitäten“ die Aktivität „Webhook-Fehler“, um benachrichtigt zu werden, falls Probleme mit fehlgeschlagenen Webhooks auftreten oder der Webhook deaktiviert wird, damit Sie diese schnell identifizieren und beheben können.

Anpassen einer Beispiel-Nutzlast

Wir haben eine Beispiel-Payload erstellt, die Sie unter „Beispiel für configureWebhooks-Payload – Pastebin.com“ anpassen können. Öffnen Sie dazu den Link und führen Sie die folgenden Schritte aus:

  1. Fügen Sie die URL des Splunk HEC ein, das in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels erstellt wurde. Stellen Sie sicher, dass Ihre URL wie folgt endet, damit die Webhooks von NinjaOne erfolgreich geparst werden können:
 /services/collector/raw 
  1. Passen Sie den activityType an, den Sie an das SIEM-Tool weiterleiten möchten. Beachten Sie, dass jeder activityType-Schlüssel ein Sternchen oder einen Platzhalter (*) als Wert in der JSON-Nutzlast verwendet.
  2. Passen Sie die gewünschten Erweiterungsparameter an.
  3. Kopieren Sie das Token, das NinjaOne in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels für Splunk HEC erstellt hat. Fügen Sie das Token in den Wert unter „headers“ in der JSON-Nutzlast ein. Dem Token muss „Splunk“ oder der Name Ihres anderen SIEM-Tools vorangestellt werden; zum Beispiel: Splunk 123456.

Weitere Ressourcen

Weitere Informationen zu Aktivitäten in NinjaOne finden Sie unter „NinjaOne Endpoint Management: Benachrichtigungs-Feed zu Geräte- und Systemaktivitäten“.

Wenn Sie Webhooks testen möchten, bevor Sie sie direkt in Ihr SIEM integrieren, ist Webhook.site – Testen, transformieren und automatisieren Sie Webanfragen und E-Mails (externer Link) eine nützliche Website zur Validierung.

FAQ

Nächste Schritte