Sei già un cliente NinjaOne? Effettua il login per visualizzare le altre guide e gli ultimi aggiornamenti.

NinjaOne Endpoint management: come inviare Webhook NinjaOne tramite SIEM

Argomento

Questo articolo illustra come configurare il processo di inoltro dei dati da NinjaOne a una soluzione SIEM (Security Information and Event Management) utilizzando i webhook generati man mano che le attività si verificano in NinjaOne.

Ambiente

Gestione degli endpoint NinjaOne

Descrizione

Sebbene NinjaOne tenga traccia delle azioni storiche intraprese all'interno della piattaforma, molte organizzazioni hanno bisogno di aggregare questi log in uno strumento SIEM. È inoltre possibile recuperare queste informazioni tramite l'API.

Prima di iniziare, si prega di tenere in considerazione le seguenti note importanti:

  • I webhook consentono la trasmissione in tempo reale degli eventi da NinjaOne al proprio SIEM.
  • È possibile configurare i webhook per eventi specifici come avvisi sui dispositivi, condizioni delle policy o notifiche specifiche dell'integrazione.
  • Questo articolo utilizza Splunk come esempio di contesto, ma è possibile implementare questa metodologia con qualsiasi strumento SIEM che accetti i webhook.
  • Strumenti SIEM diversi possono avere metodi di configurazione dei webhook unici.

Indice

Seleziona una categoria per saperne di più:

Sincronizza i messaggi di attività

NinjaOne è configurato per trasmettere i webhook a uno Splunk HTTP Event Collector (HEC). Per farlo, segui questi passaggi:

  1. Utilizza la seguente risorsa per creare un HEC in Splunk: Configurazione e utilizzo di HTTP Event Collector in Splunk Web - Documentazione Splunk (link esterno).
Questo è il meccanismo che riceverà i webhook inviati da NinjaOne. Come parte del processo di creazione dell'HEC, verrà generato un token. Salvare questo token perché NinjaOne ne avrà bisogno per l'autenticazione durante l'invio dei webhook a Splunk.
  1. Accedere a NinjaOne come amministratore di sistema e andare su Amministrazione → App → API.
  2. Posizionare il cursore sull'icona del punto interrogativo nella barra del titolo dell'API e fare clic su Documentazione API. È inoltre possibile accedere a questo link dall'icona delle risorse di aiuto nell'angolo in alto a destra della console.
Apps_API_documentation.png
Figura 1: Accedere alla documentazione API dall'amministrazione
NinjaOne_help resources_API.png
Figura 2: Accedere alla documentazione API dalle risorse di aiuto
  1. Dalla pagina API pubblica, trova l'endpoint /v2/webhook. Consulta Riferimento API pubblica Ninja One | Passaggi per configurare l'integrazione dei webhook per saperne di più sui requisiti per l'utilizzo di questo endpoint.
  2. Utilizza la documentazione fornita per decidere quali tipi di attività desideri trasmettere allo strumento SIEM.
    • NinjaOne classifica le attività in base al tipo di azione a cui si riferiscono. Ad esempio, CONDITION recupererebbe solo i log relativi agli avvisi attivati e ai reset. ACTIONSET sarebbe qualsiasi automazione in esecuzione o azione intrapresa da un tecnico.
    • Non tutti i tipi di attività potrebbero essere rilevanti per le tue esigenze di raccolta dati, quindi seleziona solo quelli che devono essere registrati nello strumento SIEM. Inoltre, puoi aggiungere ulteriori informazioni utilizzando i parametri EXPAND .
    • Se desideri personalizzare il payload, consulta la sezione seguente per sapere come farlo. Esempio di payload: Esempio di payload configureWebhooks - Pastebin.com (link esterno).
  3. Fare clic su Provalo nell'API pubblica e incollare il seguente payload di esempio nel campo Corpo della richiesta
webhook_try it out.png
Figura 3: Prova l'API
  1. Fare clic su Esegui. Al termine dell'operazione dovrebbe essere visibile un codice di risposta 204.

Una volta completato questo processo, le attività di NinjaOne verranno inviate come webhook al SIEM, dove potranno essere acquisite. Dal menu " Notification Channels " in NinjaOne, noterai una voce webhook senza nome. È importante non modificare questa voce in alcun modo per garantire che i webhook vengano continuamente trasmessi al tuo SIEM.

Da Generale → Attività di sistema, abilita l'attività di errore del webhook per ricevere una notifica in caso di problemi con i webhook o se il webhook viene disabilitato, in modo da poter identificare e risolvere rapidamente il problema.

Personalizza un payload di esempio

Abbiamo creato un payload di esempio che puoi personalizzare all'indirizzo Example configureWebhooks payload - Pastebin.com. Per farlo, apri il link ed esegui i seguenti passaggi:

  1. Inserisci l'URL dello Splunk HEC creato nel passaggio 1 della sezione di questo articolo intitolata Sincronizza i messaggi di attività. Assicurati che il tuo URL termini con quanto segue affinché i webhook da NinjaOne vengano analizzati correttamente:
 /services/collector/raw 
  1. Personalizza l'activityType che desideri trasmettere allo strumento SIEM. Tieni presente che ogni chiave activityType utilizza un asterisco o un carattere jolly (*) come valore nel payload JSON.
  2. Personalizza i parametri di espansione desiderati.
  3. Copia il token che NinjaOne ha creato per Splunk HEC nel passaggio 1 della sezione di questo articolo intitolata Sincronizza i messaggi di attività. Incolla il token nel valore sotto le intestazioni nel payload JSON. "Splunk" o il nome del tuo altro strumento SIEM deve precedere il token; ad esempio: Splunk 123456.

Risorse aggiuntive

Per ulteriori informazioni sulle attività in NinjaOne, consultare NinjaOne Endpoint Management: Feed di notifica delle attività del dispositivo e del sistema.

Se desideri testare i webhook prima di integrarli direttamente nel tuo SIEM, Webhook.site - Test, transform and automate Web requests and emails (link esterno) è un sito web utile per la convalida.

Domande frequenti

Passi successivi