Sie sind bereits NinjaOne-Kunde? Melden Sie sich an, um weitere Leitfäden und die neuesten Updates zu sehen.

NinjaOne Endpunkt-Management: So senden Sie NinjaOne-Webhooks über SIEM

Thema

In diesem Artikel wird erläutert, wie Sie den Prozess zur Weiterleitung von Daten aus NinjaOne in eine SIEM-Lösung (Security Information and Event Management) einrichten können, indem Sie Webhooks nutzen, die bei Auftreten der entsprechenden Aktivitäten in NinjaOne ausgelöst werden.

Umgebung

NinjaOne Endpoint Management

Beschreibung

Zwar erfasst NinjaOne historische Aktionen, die innerhalb der Plattform durchgeführt wurden, doch viele Unternehmen müssen diese Protokolle in einem SIEM-Tool aggregieren. Sie können diese Informationen auch über die API abrufen.

Bevor Sie beginnen, beachten Sie bitte die folgenden wichtigen Hinweise:

  • Webhooks ermöglichen die Echtzeit-Übertragung von Ereignissen von NinjaOne an Ihr SIEM.
  • Sie können Webhooks für bestimmte Ereignisse wie Gerätewarnungen, Richtlinienbedingungen oder integrationsspezifische Benachrichtigungen konfigurieren.
  • In diesem Artikel wird Splunk als Beispiel herangezogen, Sie können diese Vorgehensweise jedoch mit jedem SIEM-Tool umsetzen, das Webhooks verarbeitet.
  • Verschiedene SIEM-Tools können unterschiedliche Methoden zur Konfiguration von Webhooks haben.

Inhaltsverzeichnis

Wählen Sie eine Kategorie aus, um mehr zu erfahren:

Aktivitätsmeldungen synchronisieren

NinjaOne ist so konfiguriert, dass Webhooks an einen Splunk HTTP Event Collector (HEC) weitergeleitet werden. Führen Sie dazu die folgenden Schritte aus:

  1. Verwenden Sie die folgende Ressource, um einen HEC in Splunk zu erstellen: Einrichten und Verwenden des HTTP Event Collectors in Splunk Web – Splunk-Dokumentation (externer Link).
Dies ist der Mechanismus, der die von NinjaOne gesendeten Webhooks empfängt. Im Rahmen der Einrichtung des HEC generieren Sie ein Token. Speichern Sie dieses Token, da NinjaOne es für die Authentifizierung beim Senden von Webhooks an Splunk benötigt.
  1. Melden Sie sich als Systemadministrator bei NinjaOne an und navigieren Sie zu „Administration“ → „Apps“ → „API“.
  2. Bewegen Sie den Mauszeiger über das Fragezeichen-Symbol in der API-Titelleiste und klicken Sie auf „API-Dokumentation“. Sie können diesen Link auch über das Hilfe-Symbol in der oberen rechten Ecke der Konsole aufrufen.
Apps_API_documentation.png
Abbildung 1: Aufruf der API-Dokumentation über die Verwaltung
NinjaOne_help resources_API.png
Abbildung 2: Aufruf der API-Dokumentation über die Hilfe-Ressourcen
  1. Suchen Sie auf der Seite „Public API“ den Endpunkt /v2/webhook. Weitere Informationen zu den Anforderungen für die Nutzung dieses Endpunkts finden Sie unter „NinjaOne Public API Reference | Schritte zur Konfiguration der Webhook-Integration “.
  2. Entscheiden Sie anhand der bereitgestellten Dokumentation, welche Aktivitätstypen Sie an das SIEM-Tool übermitteln möchten.
    • NinjaOne kategorisiert Aktivitäten anhand der Art der Aktion, auf die sie sich beziehen. Beispielsweise würde „CONDITION“ nur Protokolle abrufen, die sich auf ausgelöste Warnmeldungen und Zurücksetzungen beziehen. „ACTIONSET“ würde jede ausgeführte Automatisierung oder jede von einem Techniker durchgeführte Aktion umfassen.
    • Möglicherweise sind nicht alle Aktivitätstypen für Ihre Datenerfassungsanforderungen relevant; wählen Sie daher nur diejenigen aus, die im SIEM-Tool protokolliert werden sollen. Darüber hinaus können Sie mithilfe der EXPAND-Parameter zusätzliche Informationen anhängen.
    • Wenn Sie die Nutzlast anpassen möchten, lesen Sie im folgenden Abschnitt nach, wie dies funktioniert. Beispiel für eine Nutzlast: Beispiel für eine „configureWebhooks“-Nutzlast – Pastebin.com (externer Link).
  3. Klicken Sie in der öffentlichen API auf „Ausprobieren“ und fügen Sie die folgende Beispiel-Nutzlast in das Feld „Request Body“ ein. 
webhook_try it out.png
Abbildung 3: API testen
  1. Klicken Sie auf „Ausführen“. Nach Abschluss des Vorgangs sollte ein Antwortcode 204 angezeigt werden.

Sobald dieser Vorgang abgeschlossen ist, werden NinjaOne-Aktivitäten als Webhooks an das SIEM gesendet, wo sie erfasst werden können. Im Menü „Benachrichtigungskanäle“ in NinjaOne werden Sie einen Webhook-Eintrag ohne Namen bemerken. Es ist wichtig, dass Sie diesen Eintrag in keiner Weise ändern, um sicherzustellen, dass Webhooks kontinuierlich an Ihr SIEM übertragen werden.

Aktivieren Sie unter „Allgemein“ → „Systemaktivitäten“ die Aktivität „Webhook-Fehler“, um benachrichtigt zu werden, falls Probleme mit fehlgeschlagenen Webhooks auftreten oder der Webhook deaktiviert wird, damit Sie diese schnell erkennen und beheben können.

Anpassen einer Beispiel-Nutzlast

Wir haben eine Beispiel-Payload erstellt, die Sie unter „Beispiel für eine configureWebhooks-Payload – Pastebin.com“ anpassen können. Öffnen Sie dazu den Link und führen Sie die folgenden Schritte aus:

  1. Fügen Sie die URL des Splunk HEC ein, das in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels erstellt wurde. Stellen Sie sicher, dass Ihre URL wie folgt endet, damit die Webhooks von NinjaOne erfolgreich geparst werden können:
 /services/collector/raw 
  1. Passen Sie den „activityType“ an, den Sie an das SIEM-Tool weiterleiten möchten. Beachten Sie, dass jeder „activityType“-Schlüssel im JSON-Payload ein Sternchen oder einen Platzhalter (*) als Wert verwendet.
  2. Passen Sie die gewünschten Erweiterungsparameter an.
  3. Kopieren Sie das Token, das NinjaOne in Schritt 1 des Abschnitts „Aktivitätsmeldungen synchronisieren“ dieses Artikels für Splunk HEC erstellt hat. Fügen Sie das Token in den Wert unter „headers“ in der JSON-Nutzlast ein. Dem Token muss „Splunk“ oder der Name Ihres anderen SIEM-Tools vorangestellt werden; zum Beispiel: Splunk 123456.

Weitere Ressourcen

Weitere Informationen zu Aktivitäten in NinjaOne finden Sie unter „NinjaOne Endpoint Management: Benachrichtigungs-Feed zu Geräte- und Systemaktivitäten“.

Wenn Sie Webhooks testen möchten, bevor Sie sie direkt in Ihr SIEM integrieren, ist Webhook.site – Testen, transformieren und automatisieren Sie Webanfragen und E-Mails (externer Link) eine nützliche Website zur Validierung.

FAQ

Nächste Schritte