Sujet
Cet article explique comment configurer le processus de transfert des données de NinjaOne vers une solution de gestion des informations et des événements de sécurité (SIEM) à l'aide de webhooks déclenchés lorsque des activités se produisent dans NinjaOne.
Environnement
Gestion des terminaux NinjaOne
Description
Bien que NinjaOne suive l'historique des actions effectuées au sein de la plateforme, de nombreuses organisations ont besoin d'agréger ces journaux dans un outil SIEM. Vous pouvez également récupérer ces informations via l'API.
Avant de commencer, veuillez prendre en compte les remarques importantes suivantes :
- Les webhooks permettent la transmission en temps réel des événements de NinjaOne vers votre SIEM.
- Vous pouvez configurer des webhooks pour des événements spécifiques tels que les alertes sur les appareils, les conditions de politique ou les notifications spécifiques à l'intégration.
- Cet article utilise Splunk comme exemple de contexte, mais vous pouvez mettre en œuvre cette méthodologie avec n'importe quel outil SIEM prenant en charge les webhooks.
- Les différents outils SIEM peuvent avoir des méthodes de configuration des webhooks qui leur sont propres.
Index
Sélectionnez une catégorie pour en savoir plus :
- Synchroniser les messages d'activité
- Personnaliser un exemple de charge utile
- Ressources supplémentaires
Synchroniser les messages d'activité
NinjaOne est configuré pour diffuser des webhooks vers un collecteur d'événements HTTP (HEC) Splunk. Pour ce faire, procédez comme suit :
- Utilisez la ressource suivante pour créer un HEC dans Splunk : Configurer et utiliser le collecteur d'événements HTTP dans Splunk Web - Documentation Splunk (lien externe).
- Accédez à NinjaOne en tant qu'administrateur système et accédez à Administration → Applications → API.
- Placez votre curseur sur l'icône en forme de point d'interrogation dans la barre de titre de l'API et cliquez sur Documentation de l'API. Vous pouvez également accéder à ce lien à partir de l'icône des ressources d'aide située dans le coin supérieur droit de la console.
- Sur la page API publique, recherchez le point de terminaison /v2/webhook. Consultez la référence de l'API publique NinjaOne | Étapes de configuration de l'intégration des webhooks pour en savoir plus sur les conditions requises pour utiliser ce point de terminaison.
- Utilisez la documentation fournie pour déterminer les types d'activités que vous souhaitez transmettre à l'outil SIEM.
- NinjaOne classe les activités en fonction du type d'action auquel elles se rapportent. Par exemple, CONDITION ne récupérerait que les journaux liés aux alertes déclenchées et aux réinitialisations. ACTIONSET correspondrait à toute automatisation en cours d'exécution ou action effectuée par un technicien.
- Tous les types d'activité ne sont pas forcément pertinents pour vos besoins de collecte de données ; ne sélectionnez donc que ceux qui doivent être enregistrés dans l'outil SIEM. De plus, vous pouvez ajouter des informations supplémentaires en utilisant les paramètres EXPAND .
- Si vous souhaitez personnaliser la charge utile, consultez la section suivante pour savoir comment procéder. Exemple de charge utile : Exemple de charge utile configureWebhooks - Pastebin.com (lien externe).
- Cliquez sur « Try it out » dans l'API publique et collez l'exemple de charge utile suivant dans le champ « Request Body ».
- Cliquez sur Exécuter. Un code de réponse 204 devrait s'afficher une fois l'opération terminée.
Une fois ce processus terminé, les activités NinjaOne seront envoyées sous forme de webhooks vers le SIEM, où elles pourront être ingérées. Dans le menu « Notification Channels » (Canaux de notification) de NinjaOne, vous remarquerez une entrée de webhook sans nom. Il est important de ne modifier cette entrée en aucune façon afin de garantir que les webhooks soient continuellement transmis vers votre SIEM.
Dans Général → Activités système, activez l'activité « Échec du webhook » pour être averti en cas de problèmes liés à l'échec des webhooks ou si le webhook est désactivé, afin de pouvoir identifier et résoudre rapidement le problème.
Personnaliser un exemple de charge utile
Nous avons créé un exemple de charge utile que vous pouvez personnaliser à l'adresse Exemple de charge utile configureWebhooks - Pastebin.com. Pour ce faire, ouvrez le lien et procédez comme suit :
- Insérez l'URL du Splunk HEC créé à l'étape 1 de la section intitulée « Synchroniser les messages d'activité » de cet article. Assurez-vous que votre URL se termine par ce qui suit afin que les webhooks de NinjaOne puissent être analysés correctement :
/services/collector/raw - Personnalisez le type d'activité (activityType) que vous souhaitez transmettre à l'outil SIEM. Notez que chaque clé activityType utilise un astérisque ou un caractère générique (*) comme valeur dans la charge utile JSON.
- Personnalisez les paramètres d'extension souhaités.
- Copiez le jeton que NinjaOne a créé pour Splunk HEC à l'étape 1 de la section intitulée « Synchroniser les messages d'activité » de cet article. Collez le jeton dans la valeur sous les en-têtes de la charge utile JSON. « Splunk » ou le nom de votre autre outil SIEM doit précéder le jeton ; par exemple : Splunk 123456.
Ressources supplémentaires
Pour plus d'informations sur les activités dans NinjaOne, consultez NinjaOne Endpoint Management : Flux de notifications sur l'activité des appareils et des systèmes.
Si vous souhaitez tester les webhooks avant de les intégrer directement à votre SIEM, Webhook.site - Tester, transformer et automatiser les requêtes Web et les e-mails (lien externe) est un site Web utile pour la validation.