¿Ya eres cliente de NinjaOne? Inicia sesión para ver más guías y las últimas actualizaciones.

Gestión de endpoints NinjaOne: cómo enviar Webhooks de NinjaOne a través de SIEM

Tema

Este artículo explica cómo configurar el proceso de envío de datos desde NinjaOne a una solución de gestión de información y eventos de seguridad (SIEM) mediante webhooks que se activan a medida que se producen las actividades en NinjaOne.

Entorno

Gestión de terminales de NinjaOne

Descripción

Aunque NinjaOne realiza un seguimiento de las acciones históricas llevadas a cabo dentro de la plataforma, muchas organizaciones necesitan agregar estos registros en una herramienta SIEM. También es posible recuperar esta información a través de la API.

Antes de empezar, ten en cuenta las siguientes notas importantes:

  • Los webhooks permiten la transmisión de eventos en tiempo real desde NinjaOne a su SIEM.
  • Puede configurar webhooks para eventos específicos, como alertas de dispositivos, condiciones de políticas o notificaciones específicas de la integración.
  • Este artículo utiliza Splunk como ejemplo para contextualizar, pero puede aplicar esta metodología con cualquier herramienta SIEM que admita webhooks.
  • Las diferentes herramientas SIEM pueden tener métodos de configuración de webhooks propios.

Índice

Selecciona una categoría para obtener más información:

Sincronizar mensajes de actividad

NinjaOne está configurado para enviar webhooks a un colector de eventos HTTP (HEC) de Splunk. Para ello, sigue estos pasos:

  1. Utiliza el siguiente recurso para crear un HEC en Splunk: Configuración y uso del colector de eventos HTTP en Splunk Web - Documentación de Splunk (enlace externo).
Este es el mecanismo que recibirá los webhooks enviados desde NinjaOne. Como parte del proceso de creación del HEC, generarás un token. Guarda este token, ya que NinjaOne lo necesitará para la autenticación al enviar webhooks a Splunk.
  1. Accede a NinjaOne como administrador del sistema y ve a Administración → Aplicaciones → API.
  2. Coloca el cursor sobre el icono del signo de interrogación en la barra de título de la API y haz clic en «Documentación de la API». También puedes acceder a este enlace desde el icono de recursos de ayuda situado en la esquina superior derecha de la consola.
Apps_API_documentation.png
Figura 1: Acceder a la documentación de la API desde la sección de administración
NinjaOne_help resources_API.png
Figura 2: Accede a la documentación de la API desde los recursos de ayuda
  1. En la página «API pública», busca el punto final /v2/webhook. Consulta la Referencia de la API pública de NinjaOne | Pasos para configurar la integración de webhooks para obtener más información sobre los requisitos para utilizar este punto final.
  2. Utiliza la documentación proporcionada para decidir qué tipos de actividades deseas transmitir a la herramienta SIEM.
    • NinjaOne clasifica las actividades en función del tipo de acción a la que se refieren. Por ejemplo, CONDITION recuperaría únicamente los registros relacionados con alertas activadas y reinicios. ACTIONSET se referiría a cualquier automatización que se esté ejecutando o acción realizada por un técnico.
    • Es posible que no todos los tipos de actividad sean relevantes para sus necesidades de recopilación de datos, por lo que debe seleccionar únicamente aquellos que deban registrarse en la herramienta SIEM. Además, puede añadir información adicional utilizando los parámetros EXPAND .
    • Si desea personalizar la carga útil, consulte la siguiente sección para saber cómo hacerlo. Ejemplo de carga útil: Ejemplo de carga útil de configureWebhooks - Pastebin.com (enlace externo).
  3. Haga clic en «Probarlo» en la API pública y pegue la siguiente carga útil de ejemplo en el campo «Cuerpo de la solicitud ». 
webhook_try it out.png
Figura 3: Probar la API
  1. Haz clic en «Ejecutar». Al finalizar, debería aparecer un código de respuesta 204.

Una vez completado este proceso, las actividades de NinjaOne se enviarán como webhooks al SIEM, donde podrán ser procesadas. En el menú «Canales de notificación» de NinjaOne, verás una entrada de webhook sin nombre. Es importante que no modifiques esta entrada de ninguna manera para garantizar que los webhooks se transmitan continuamente a tu SIEM.

En «General» → «Actividades del sistema», activa la actividad «Fallo de webhook» para que se te notifique si se han producido problemas con los webhooks o si estos se desactivan, de modo que puedas identificarlos y solucionarlos rápidamente.

Personalizar una carga útil de ejemplo

Hemos creado una carga útil de ejemplo que puede personalizar en «Ejemplo de carga útil configureWebhooks - Pastebin.com». Para ello, abra el enlace y siga estos pasos:

  1. Introduce la URL del Splunk HEC que se creó en el paso 1 de la sección de este artículo titulada «Sincronizar mensajes de actividad». Asegúrate de que tu URL termine con lo siguiente para que los webhooks de NinjaOne se analicen correctamente:
 /services/collector/raw 
  1. Personaliza el «activityType» que deseas transmitir a la herramienta SIEM. Ten en cuenta que cada clave «activityType» utiliza un asterisco o comodín (*) como valor en la carga útil JSON.
  2. Personaliza los parámetros de expansión que desees.
  3. Copia el token que NinjaOne creó para Splunk HEC en el paso 1 de la sección de este artículo titulada «Sincronizar mensajes de actividad». Pega el token en el valor correspondiente a «headers» de la carga útil JSON. El token debe ir precedido de «Splunk» o del nombre de tu herramienta SIEM; por ejemplo: Splunk 123456.

Recursos adicionales

Para obtener más información sobre las actividades en NinjaOne, consulta «NinjaOne Endpoint Management: Feed de notificaciones de actividad de dispositivos y sistemas».

Si desea probar los webhooks antes de integrarlos directamente en su SIEM, Webhook.site - Probar, transformar y automatizar solicitudes web y correos electrónicos (enlace externo) es un sitio web útil para la validación.

FAQ

Próximos pasos