Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne Endpoint management: come inviare Webhook NinjaOne tramite SIEM

Argomento

Questo articolo illustra come configurare il processo di inoltro dei dati da NinjaOne a una soluzione SIEM (Security Information and Event Management) utilizzando webhook che vengono inviati man mano che le attività si verificano in NinjaOne.

Ambiente

NinjaOne Endpoint Management

Descrizione

Sebbene NinjaOne tenga traccia delle azioni storiche intraprese all'interno della piattaforma, molte organizzazioni hanno bisogno di aggregare questi log in uno strumento SIEM. È anche possibile recuperare queste informazioni tramite l'API.

Prima di iniziare, tenere presente le seguenti note importanti:

  • I webhook consentono la trasmissione in tempo reale degli eventi da NinjaOne al proprio SIEM.
  • È possibile configurare i webhook per eventi specifici come avvisi sui dispositivi, condizioni delle policy o notifiche specifiche dell'integrazione.
  • Questo articolo utilizza Splunk come esempio di contesto, ma è possibile implementare questa metodologia con qualsiasi strumento SIEM che accetta webhook.
  • Strumenti SIEM diversi possono avere metodi di configurazione dei webhook unici.

Indice

Seleziona una categoria per saperne di più:

Sincronizzazione dei messaggi di attività

NinjaOne è configurato per trasmettere i webhook in uno Splunk HTTP Event Collector (HEC). A tal fine, procedere come segue:

  1. Utilizza la seguente risorsa per creare un HEC in Splunk: Configurazione e utilizzo di HTTP Event Collector in Splunk Web - Documentazione Splunk (link esterno).
Questo è il meccanismo che riceverà i webhook inviati da NinjaOne. Come parte del processo di creazione dell'HEC, verrà generato un token. Salvare questo token perché NinjaOne ne avrà bisogno per l'autenticazione durante l'invio dei webhook a Splunk.
  1. Accedi a NinjaOne come amministratore di sistema e vai su Amministrazione → App → API.
  2. Posiziona il cursore sull'icona del punto interrogativo nella barra del titolo API e fai clic su Documentazione API. Puoi anche accedere a questo link dall'icona delle risorse di aiuto nell'angolo in alto a destra della console.
Apps_API_documentation.png
Figura 1: Accedere alla documentazione API dall'amministrazione
NinjaOne_help resources_API.png
Figura 2: Accedere alla documentazione API dalle risorse di aiuto
  1. Dalla pagina API pubblica, trova l'endpoint /v2/webhook. Consulta Riferimento API pubblica Ninja One | Passaggi per configurare l'integrazione webhook per ulteriori informazioni sui requisiti per l'utilizzo di questo endpoint.
  2. Utilizza la documentazione fornita per decidere quali tipi di attività desideri trasmettere allo strumento SIEM.
    • NinjaOne classifica le attività in base al tipo di azione a cui si riferiscono. Ad esempio, CONDITION recupererebbe solo i log relativi agli avvisi e ai reset attivati. ACTIONSET sarebbe qualsiasi automazione eseguita o azione intrapresa da un tecnico.
    • Non tutti i tipi di attività potrebbero essere rilevanti per le tue esigenze di raccolta dati, quindi seleziona solo quelli che devono essere registrati nello strumento SIEM. Inoltre, puoi aggiungere ulteriori informazioni utilizzando i parametri EXPAND .
    • Se desideri personalizzare il payload, consulta la sezione seguente per sapere come fare. Esempio di payload: Esempio di payload configureWebhooks - Pastebin.com (link esterno).
  3. Fare clic su Provalo nell'API pubblica e incollare il seguente payload di esempio nel campo Corpo della richiesta.  
webhook_try it out.png
Figura 3: Testare l'API
  1. Fare clic su Esegui. Al termine dell'operazione dovrebbe essere visualizzato un codice di risposta 204.

Una volta completato questo processo, le attività NinjaOne verranno inviate come webhook al SIEM, dove potranno essere acquisite. Dal menu Canali di notifica in NinjaOne, noterai una voce webhook senza nome. È importante non modificare in alcun modo questa voce per garantire che i webhook vengano continuamente trasmessi al tuo SIEM.

Da Generale → Attività di sistema, abilita l'attività di errore webhook per ricevere una notifica in caso di problemi con i webhook o se il webhook viene disabilitato, in modo da poterli identificare e risolvere rapidamente.

Personalizza un payload di esempio

Abbiamo creato un payload di esempio che puoi personalizzare all'indirizzo Esempio di payload configureWebhooks - Pastebin.com. Per farlo, apri il link ed esegui i seguenti passaggi:

  1. Inserisci l'URL dello Splunk HEC creato nel passaggio 1 della sezione di questo articolo intitolata Sincronizza i messaggi di attività. Assicurati che il tuo URL termini con quanto segue affinché i webhook da NinjaOne vengano analizzati correttamente:
 /services/collector/raw 
  1. Personalizza l'activityType che desideri inoltrare allo strumento SIEM. Tieni presente che ogni chiave activityType utilizza un asterisco o un carattere jolly (*) come valore nel payload JSON.
  2. Personalizza i parametri di espansione desiderati.
  3. Copiare il token creato da NinjaOne per Splunk HEC nel passaggio 1 della sezione di questo articolo intitolata Sincronizzazione dei messaggi di attività. Incollare il token nel valore sotto le intestazioni nel payload JSON. Il token deve essere preceduto da "Splunk" o dal nome dell'altro strumento SIEM; ad esempio: Splunk 123456.

Risorse aggiuntive

Per ulteriori informazioni sulle attività in NinjaOne, consulta NinjaOne Endpoint Management: Feed di notifica delle attività del dispositivo e del sistema.

Se desideri testare i webhook prima di integrarli direttamente nel tuo SIEM, Webhook.site - Test, trasformazione e automazione delle richieste web e delle e-mail (link esterno) è un sito web utile per la convalida.

Domande frequenti

Passi successivi