Vous êtes déjà client NinjaOne ? Connectez-vous pour consulter d'autres guides et les dernières nouvelles.

Gestion des terminaux NinjaOne : comment envoyer des liens web NinjaOne via SIEM

  • Dernière mise à jour mars 11, 2026

Sujet

Cet article explique comment configurer le processus de transfert des données de NinjaOne vers une solution SIEM (Security Information and Event Management) à l'aide de webhooks qui sont déclenchés lorsque des activités se produisent dans NinjaOne.

Environnement

Gestion des terminaux NinjaOne

Description

Bien que NinjaOne assure le suivi des actions historiques effectuées au sein de la plateforme, de nombreuses organisations ont besoin d'agréger ces journaux dans un outil SIEM. Vous pouvez également récupérer ces informations via l'API.

Avant de commencer, tenez compte des remarques importantes suivantes :

  • Les webhooks permettent la transmission en temps réel des événements de NinjaOne vers votre SIEM.
  • Vous pouvez configurer des webhooks pour des événements spécifiques tels que les alertes sur les appareils, les conditions de politique ou les notifications spécifiques à l'intégration.
  • Cet article utilise Splunk comme exemple de contexte, mais vous pouvez mettre en œuvre cette méthodologie avec n'importe quel outil SIEM qui ingère des webhooks.
  • Différents outils SIEM peuvent avoir des méthodes de configuration de webhooks uniques.

Index

Sélectionnez une catégorie pour en savoir plus :

Synchroniser les messages d'activité

NinjaOne est configuré pour diffuser des webhooks dans un collecteur d'événements HTTP (HEC) Splunk. Pour ce faire, procédez comme suit :

  1. Utilisez la ressource suivante pour créer un HEC dans Splunk : Configurer et utiliser HTTP Event Collector dans Splunk Web - Documentation Splunk (lien externe).
Il s'agit du mécanisme qui recevra les webhooks envoyés depuis NinjaOne. Dans le cadre du processus de création du HEC, vous générerez un jeton. Enregistrez ce jeton, car NinjaOne en aura besoin pour l'authentification lors de l'envoi de webhooks à Splunk.
  1. Accédez à NinjaOne en tant qu'administrateur système et naviguez vers Administration → Applications → API.
  2. Placez votre curseur sur l'icône en forme de point d'interrogation dans la barre de titre API et cliquez sur Documentation API. Vous pouvez également accéder à ce lien à partir de l'icône des ressources d'aide dans le coin supérieur droit de la console.
Apps_API_documentation.png
Figure 1: Accéder à la documentation API depuis l'administration
NinjaOne_help resources_API.png
Figure 2: Accéder à la documentation API à partir des ressources d'aide
  1. Dans la page API publique, recherchez le point de terminaison /v2/webhook. Reportez-vous à la section Référence API publique Ninja One | Étapes de configuration de l'intégration webhook pour en savoir plus sur les conditions requises pour utiliser ce point de terminaison.
  2. Utilisez la documentation fournie pour décider des types d'activités que vous souhaitez transmettre à l'outil SIEM.
    • NinjaOne classe les activités en fonction du type d'action auquel elles se rapportent. Par exemple, CONDITION ne récupérerait que les journaux liés aux alertes et réinitialisations déclenchées. ACTIONSET correspondrait à toute automatisation exécutée ou action entreprise par un technicien.
    • Tous les types d'activité ne sont pas nécessairement pertinents pour vos besoins en matière de collecte de données. Ne sélectionnez donc que ceux qui doivent être consignés dans l'outil SIEM. Vous pouvez également ajouter des informations supplémentaires en utilisant les paramètres EXPAND .
    • Si vous souhaitez personnaliser la charge utile, consultez la section suivante pour savoir comment procéder. Exemple de charge utile : Exemple de charge utile configureWebhooks - Pastebin.com (lien externe).
  3. Cliquez sur Essayer dans l'API publique et collez l'exemple de charge utile suivant dans le champ Corps de la requête
webhook_try it out.png
Figure 3: Tester l'API
  1. Cliquez sur Exécuter. Un code de réponse 204 devrait s'afficher une fois l'opération terminée.

Une fois ce processus terminé, les activités NinjaOne seront envoyées sous forme de webhooks au SIEM, où elles pourront être ingérées. Dans le menu Canaux de notification de NinjaOne, vous remarquerez une entrée webhook sans nom. Il est important de ne modifier cette entrée en aucune façon afin de garantir que les webhooks continuent d'être transmis à votre SIEM.

Dans Général → Activités du système, activez l'activité Échec du webhook pour être averti en cas de problème avec les webhooks ou si le webhook est désactivé, afin de pouvoir identifier et résoudre rapidement le problème.

Personnaliser un exemple de charge utile

Nous avons créé un exemple de charge utile que vous pouvez personnaliser à l'adresse Example configureWebhooks payload - Pastebin.com. Pour ce faire, ouvrez le lien et procédez comme suit :

  1. Insérez l'URL du Splunk HEC qui a été créé à l'étape 1 de la section intitulée Synchroniser les messages d'activité de cet article. Assurez-vous que votre URL se termine par ce qui suit afin que les webhooks de NinjaOne puissent être analysés correctement :
 /services/collector/raw 
  1. Personnalisez le type d'activité (activityType) que vous souhaitez transmettre à l'outil SIEM. Notez que chaque clé activityType utilise un astérisque ou un caractère générique (*) comme valeur dans la charge utile JSON.
  2. Personnalisez les paramètres d'expansion souhaités.
  3. Copiez le jeton créé par NinjaOne pour Splunk HEC à l'étape 1 de la section intitulée « Synchroniser les messages d'activité » de cet article. Collez le jeton dans la valeur sous les en-têtes dans la charge utile JSON. « Splunk » ou le nom de votre autre outil SIEM doit précéder le jeton ; par exemple : Splunk 123456.

Ressources supplémentaires

Pour plus d'informations sur les activités dans NinjaOne, consultez NinjaOne Endpoint Management : Flux de notifications d'activité des appareils et des systèmes.

Si vous souhaitez tester les webhooks avant de les intégrer directement à votre SIEM, Webhook.site - Tester, transformer et automatiser les requêtes Web et les e-mails (lien externe) est un site Web utile pour la validation.

FAQ

Pour aller plus loin