Argomento
Questo articolo illustra come configurare il processo di inoltro dei dati da NinjaOne a una soluzione SIEM (Security Information and Event Management) utilizzando i webhook generati man mano che le attività si verificano in NinjaOne.
Ambiente
NinjaOne Endpoint Management
Descrizione
Sebbene NinjaOne tenga traccia delle azioni storiche eseguite all'interno della piattaforma, molte organizzazioni hanno bisogno di aggregare questi log in uno strumento SIEM. È inoltre possibile recuperare queste informazioni tramite l'API.
Prima di iniziare, si prega di tenere presenti le seguenti note importanti:
- I webhook consentono la trasmissione in tempo reale degli eventi da NinjaOne al proprio SIEM.
- È possibile configurare i webhook per eventi specifici come avvisi relativi ai dispositivi, condizioni delle policy o notifiche specifiche dell’integrazione.
- Questo articolo utilizza Splunk come esempio di contesto, ma è possibile implementare questa metodologia con qualsiasi strumento SIEM che supporti i webhook.
- Strumenti SIEM diversi possono avere metodi di configurazione dei webhook specifici.
Indice
Seleziona una categoria per saperne di più:
- Sincronizzazione dei messaggi di attività
- Personalizzazione di un payload di esempio
- Risorse aggiuntive
Sincronizzazione dei messaggi di attività
NinjaOne è configurato per trasmettere i webhook a uno Splunk HTTP Event Collector (HEC). A tal fine, procedere come segue:
- Utilizzare la seguente risorsa per creare un HEC in Splunk: Configurazione e utilizzo di HTTP Event Collector in Splunk Web - Documentazione Splunk (link esterno).
- Accedete a NinjaOne come amministratore di sistema e andate su Amministrazione → App → API.
- Posizionare il cursore sull’icona a forma di punto interrogativo nella barra del titolo dell’API e fare clic su Documentazione API. È inoltre possibile accedere a questo link dall’icona delle risorse di aiuto nell’angolo in alto a destra della console.


- Dalla pagina API pubblica, individuare l’endpoint /v2/webhook. Consultare Riferimento API pubblica di NinjaOne | Passaggi per configurare l’integrazione dei webhook per ulteriori informazioni sui requisiti per l’utilizzo di questo endpoint.
- Utilizza la documentazione fornita per decidere quali tipi di attività desideri trasmettere allo strumento SIEM.
- NinjaOne classifica le attività in base al tipo di azione a cui si riferiscono. Ad esempio, CONDITION recupererebbe solo i log relativi agli avvisi attivati e ai reset. ACTIONSET includerebbe qualsiasi automazione in esecuzione o azione intrapresa da un tecnico.
- Non tutti i tipi di attività potrebbero essere rilevanti per le vostre esigenze di raccolta dati, quindi selezionate solo quelli che devono essere registrati nello strumento SIEM. Inoltre, è possibile aggiungere ulteriori informazioni utilizzando i parametri EXPAND .
- Se si desidera personalizzare il payload, consultare la sezione seguente per sapere come procedere. Esempio di payload: Esempio di payload configureWebhooks - Pastebin.com (link esterno).
- Fare clic su “Provalo” nell’API pubblica e incollare il seguente payload di esempio nel campo “Corpo della richiesta ”.

- Fare clic su " Esegui". Al termine dell’operazione dovrebbe essere visibile un codice di risposta 204.
Una volta completato questo processo, le attività di NinjaOne verranno inviate come webhook al SIEM, dove potranno essere acquisite. Dal menu " Canali di notifica " in NinjaOne, noterai una voce webhook senza nome. È importante non modificare in alcun modo questa voce per garantire che i webhook vengano continuamente trasmessi al tuo SIEM.
Da "Generale" → " Attività di sistema", abilita l’attività " Errore webhook " per ricevere una notifica in caso di problemi con i webhook o se questi vengono disabilitati, in modo da poterli identificare e risolvere rapidamente.
Personalizza un payload di esempio
Abbiamo creato un payload di esempio che potete personalizzare all’indirizzo Esempio di payload configureWebhooks - Pastebin.com. Per farlo, aprite il link ed eseguite i seguenti passaggi:
- Inserisci l’URL dello Splunk HEC creato al punto 1 della sezione di questo articolo intitolata “Sincronizzazione dei messaggi di attività”. Assicurati che il tuo URL termini con quanto segue affinché i webhook provenienti da NinjaOne vengano analizzati correttamente:
/services/collector/raw - Personalizza l’activityType che desideri inoltrare allo strumento SIEM. Tieni presente che ogni chiave activityType utilizza un asterisco o un carattere jolly (*) come valore nel payload JSON.
- Personalizza i parametri di espansione desiderati.
- Copia il token che NinjaOne ha creato per Splunk HEC nel passaggio 1 della sezione di questo articolo intitolata “Sincronizzazione dei messaggi di attività”. Incolla il token nel valore sotto le intestazioni nel payload JSON. Il token deve essere preceduto da “Splunk” o dal nome del tuo strumento SIEM; ad esempio: Splunk 123456.
Risorse aggiuntive
Per ulteriori informazioni sulle attività in NinjaOne, consultare NinjaOne Endpoint Management: Feed di notifica delle attività dei dispositivi e del sistema.
Se desideri testare i webhook prima di integrarli direttamente nel tuo SIEM, Webhook.site - Test, transform and automate Web requests and emails (link esterno) è un sito web utile per la convalida.