¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Gestión de endpoints NinjaOne: cómo enviar Webhooks de NinjaOne a través de SIEM

  • Última actualización 22 de abril de 2026

Tema

En este artículo se explica cómo configurar el proceso de retransmisión de datos desde NinjaOne a una solución de gestión de información y eventos de seguridad (SIEM) mediante webhooks que se envían a medida que se producen las actividades en NinjaOne.

Entorno

Gestión de puntos finales de NinjaOne

Descripción

Aunque NinjaOne realiza un seguimiento de las acciones históricas realizadas dentro de la plataforma, muchas organizaciones necesitan agregar estos registros en una herramienta SIEM. También puede recuperar esta información a través de la API.

Antes de empezar, tenga en cuenta las siguientes notas importantes:

  • Los webhooks permiten la transmisión de eventos en tiempo real desde NinjaOne a su SIEM.
  • Puede configurar webhooks para eventos específicos, como alertas de dispositivos, condiciones de políticas o notificaciones específicas de la integración.
  • Este artículo utiliza Splunk como ejemplo para contextualizar, pero puede implementar esta metodología con cualquier herramienta SIEM que admita webhooks.
  • Las diferentes herramientas SIEM pueden tener métodos de configuración de webhooks únicos.

Índice

Selecciona una categoría para obtener más información:

Sincronizar mensajes de actividad

NinjaOne está configurado para transmitir webhooks a un Splunk HTTP Event Collector (HEC). Para ello, sigue estos pasos:

  1. Utilice el siguiente recurso para crear un HEC en Splunk: Configurar y utilizar el colector de eventos HTTP en Splunk Web - Documentación de Splunk (enlace externo).
Este es el mecanismo que recibirá los webhooks enviados desde NinjaOne. Como parte del proceso de creación del HEC, generará un token. Guarde este token, ya que NinjaOne lo necesitará para la autenticación al enviar webhooks a Splunk.
  1. Acceda a NinjaOne como administrador del sistema y vaya a Administración → Aplicaciones → API.
  2. Coloca el cursor sobre el icono del signo de interrogación en la barra de título de la API y haz clic en Documentación de la API. También puedes acceder a este enlace desde el icono de recursos de ayuda situado en la esquina superior derecha de la consola.
Apps_API_documentation.png
Figura 1: Acceder a la documentación de la API desde la administración
NinjaOne_help resources_API.png
Figura 2: Accede a la documentación de la API desde los recursos de ayuda
  1. En la página API pública, busca el punto final /v2/webhook. Consulta Referencia de la API pública de NinjaOne | Pasos para configurar la integración de webhooks para obtener más información sobre los requisitos para utilizar este punto final.
  2. Utilice la documentación proporcionada para decidir qué tipos de actividades desea transmitir a la herramienta SIEM.
    • NinjaOne clasifica las actividades según el tipo de acción a la que se refieren. Por ejemplo, CONDITION recuperaría solo los registros relacionados con alertas activadas y reinicios. ACTIONSET correspondería a cualquier automatización que se esté ejecutando o acción realizada por un técnico.
    • Es posible que no todos los tipos de actividad sean relevantes para sus necesidades de recopilación de datos, por lo que solo debe seleccionar aquellos que deban registrarse en la herramienta SIEM. Además, puede añadir información adicional utilizando los parámetros EXPAND .
    • Si desea personalizar la carga útil, consulte la siguiente sección para saber cómo hacerlo. Ejemplo de carga útil: Ejemplo de carga útil de configureWebhooks - Pastebin.com (enlace externo).
  3. Haga clic en «Probarlo» en la API pública y pegue la siguiente carga útil de ejemplo en el campo «Cuerpo de la solicitud ». 
webhook_try it out.png
Figura 3: Probar la API
  1. Haga clic en «Ejecutar». Al finalizar, debería aparecer un código de respuesta 204.

Una vez completado este proceso, las actividades de NinjaOne se enviarán como webhooks al SIEM, donde podrán ser procesadas. En el menú «Canales de notificación» de NinjaOne, verás una entrada de webhook sin nombre. Es importante que no modifiques esta entrada de ninguna manera para garantizar que los webhooks se transmitan continuamente a tu SIEM.

En General → Actividades del sistema, habilita la actividad de fallo de webhook para que te avise si se han producido problemas con los webhooks o si el webhook se desactiva, de modo que puedas identificarlos y solucionarlos rápidamente.

Personalizar una carga útil de ejemplo

Hemos creado una carga útil de ejemplo que puede personalizar en Ejemplo de carga útil configureWebhooks - Pastebin.com. Para ello, abra el enlace y siga estos pasos:

  1. Inserte la URL del Splunk HEC que se creó en el paso 1 de la sección de este artículo titulada «Sincronizar mensajes de actividad». Asegúrese de que su URL termine con lo siguiente para que los webhooks de NinjaOne se analicen correctamente:
 /services/collector/raw 
  1. Personalice el activityType que desea transmitir a la herramienta SIEM. Tenga en cuenta que cada clave activityType utiliza un asterisco o comodín (*) como valor en la carga útil JSON.
  2. Personalice los parámetros de expansión deseados.
  3. Copie el token que NinjaOne creó para Splunk HEC en el paso 1 de la sección de este artículo titulada «Sincronizar mensajes de actividad». Pegue el token en el valor bajo «headers» en la carga útil JSON. «Splunk» o el nombre de su otra herramienta SIEM debe preceder al token; por ejemplo: Splunk 123456.

Recursos adicionales

Para obtener más información sobre las actividades en NinjaOne, consulta NinjaOne Endpoint Management: Feed de notificaciones de actividad de dispositivos y sistemas.

Si desea probar los webhooks antes de integrarlos directamente en su SIEM, Webhook.site - Probar, transformar y automatizar solicitudes web y correos electrónicos (enlace externo) es un sitio web útil para la validación.

FAQ

Próximos pasos