¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Gestión de endpoints NinjaOne: cómo enviar Webhooks de NinjaOne a través de SIEM

  • Última actualización marzo 11, 2026

Tema

Este artículo explica cómo configurar el proceso de transmisión de datos desde NinjaOne a una solución de gestión de información y eventos de seguridad (SIEM) mediante webhooks que se envían a medida que se producen las actividades en NinjaOne.

Entorno

NinjaOne Endpoint Management

Descripción

Aunque NinjaOne realiza un seguimiento de las acciones históricas realizadas dentro de la plataforma, muchas organizaciones necesitan agregar estos registros en una herramienta SIEM. También puede recuperar esta información a través de la API.

Antes de empezar, tenga en cuenta las siguientes notas importantes:

  • Los webhooks permiten la transmisión de eventos en tiempo real desde NinjaOne a su SIEM.
  • Puede configurar webhooks para eventos específicos, como alertas de dispositivos, condiciones de políticas o notificaciones específicas de integración.
  • Este artículo utiliza Splunk como ejemplo de contexto, pero puede implementar esta metodología con cualquier herramienta SIEM que admita webhooks.
  • Las diferentes herramientas SIEM pueden tener métodos de configuración de webhooks únicos.

Índice

Seleccione una categoría para obtener más información:

Sincronizar mensajes de actividad

NinjaOne está configurado para transmitir webhooks a un recopilador de eventos HTTP (HEC) de Splunk. Para ello, siga estos pasos:

  1. Utilice el siguiente recurso para crear un HEC en Splunk: Configurar y utilizar el recopilador de eventos HTTP en Splunk Web - Documentación de Splunk (enlace externo).
Este es el mecanismo que recibirá los webhooks enviados desde NinjaOne. Como parte del proceso de creación del HEC, generará un token. Guarde este token, ya que NinjaOne lo necesitará para la autenticación al enviar webhooks a Splunk.
  1. Acceda a NinjaOne como administrador del sistema y vaya a Administración → Aplicaciones → API.
  2. Coloque el cursor sobre el icono del signo de interrogación en la barra de título de la API y haga clic en Documentación de la API. También puede acceder a este enlace desde el icono de recursos de ayuda situado en la esquina superior derecha de la consola.
Apps_API_documentation.png
Figura 1: Acceder a la documentación de la API desde la administración
NinjaOne_help resources_API.png
Figura 2: Acceder a la documentación de la API desde los recursos de ayuda
  1. En la página API pública, busque el punto final /v2/webhook. Consulte Referencia de la API pública de Ninja One | Pasos para configurar la integración de webhooks para obtener más información sobre los requisitos para utilizar este punto final.
  2. Utilice la documentación proporcionada para decidir qué tipos de actividades desea transmitir a la herramienta SIEM.
    • NinjaOne clasifica las actividades en función del tipo de acción con la que están relacionadas. Por ejemplo, CONDITION recuperaría solo los registros relacionados con alertas y restablecimientos activados. ACTIONSET sería cualquier automatización que se ejecute o acción que realice un técnico.
    • Es posible que no todos los tipos de actividad sean relevantes para sus necesidades de recopilación de datos, por lo que solo debe seleccionar aquellos que deban registrarse en la herramienta SIEM. Además, puede añadir información adicional utilizando los parámetros EXPAND .
    • Si desea personalizar la carga útil, consulte la siguiente sección para saber cómo hacerlo. Ejemplo de carga útil: Ejemplo de carga útil configureWebhooks - Pastebin.com (enlace externo).
  3. Haga clic en Probar en la API pública y pegue la siguiente carga útil de ejemplo en el campo Cuerpo de la solicitud
webhook_try it out.png
Figura 3: Prueba de la API
  1. Haga clic en Ejecutar. Al finalizar, debería aparecer un código de respuesta 204.

Una vez completado este proceso, las actividades de NinjaOne se enviarán como webhooks al SIEM, donde podrán ser ingestadas. En el menú Canales de notificación de NinjaOne, verá una entrada de webhook sin nombre. Es importante que no modifique esta entrada de ninguna manera para garantizar que los webhooks se transmitan continuamente a su SIEM.

En General → Actividades del sistema, habilite la actividad Fallo de webhook para que se le notifique si ha habido problemas con fallos de webhooks o si el webhook se deshabilita, de modo que pueda identificarlos y solucionarlos rápidamente.

Personalizar una carga útil de ejemplo

Hemos creado una carga útil de ejemplo que puede personalizar en Ejemplo de carga útil configureWebhooks - Pastebin.com. Para ello, abra el enlace y siga estos pasos:

  1. Inserte la URL del Splunk HEC que se creó en el paso 1 de la sección de este artículo titulada Sincronizar mensajes de actividad. Asegúrese de que su URL termine con lo siguiente para que los webhooks de NinjaOne se analicen correctamente:
 /services/collector/raw 
  1. Personalice el activityType que desea transmitir a la herramienta SIEM. Tenga en cuenta que cada clave activityType utiliza un asterisco o comodín (*) como valor en la carga útil JSON.
  2. Personalice los parámetros de expansión deseados.
  3. Copie el token que NinjaOne creó para Splunk HEC en el paso 1 de la sección de este artículo titulada «Sincronizar mensajes de actividad». Pegue el token en el valor debajo de los encabezados en la carga útil JSON. «Splunk» o el nombre de su otra herramienta SIEM debe preceder al token; por ejemplo: Splunk 123456.

Recursos adicionales

Para obtener más información sobre las actividades en NinjaOne, consulte NinjaOne Endpoint Management: Feed de notificaciones de actividad del dispositivo y del sistema.

Si desea probar los webhooks antes de integrarlos directamente en su SIEM, Webhook.site - Pruebe, transforme y automatice solicitudes web y correos electrónicos (enlace externo) es un sitio web útil para la validación.

FAQ

Próximos pasos