Scopri come utilizzare la Logic App per revocare la sessione utente in Microsoft Sentinel tramite l’API REST, aggiornando i permessi e creando un flusso di lavoro efficiente.
L’integrazione tra le diverse tecnologie disponibili oggi per la gestione e la protezione dei sistemi informatici è essenziale. Una delle combinazioni più efficaci riguarda l’uso della Logic App di Microsoft e la REST API per revocare le sessioni utente in Microsoft Sentinel.
Il template utilizzato di frequente per il playbook di Sentinel era antiquato e la funzione di revoca della sessione utente non funzionava correttamente. Inoltre, erano necessari alcuni aggiornamenti relativi ai permessi per la revoca della sessione. In questo articolo, introduciamo un nuovo metodo per utilizzare la Logic App per revocare la sessione utente, curando in dettaglio tre aspetti fondamentali:
- La necessità di un client che fornisca all’utente almeno il permesso ‘User.ReadWrite.All’;
- La necessità per l’account utente di avere il permesso ‘microsoft.directory/users/invalidateAllRefreshTokens’;
- L’uso della Logic App per inviare la richiesta di revoca della sessione utente.
Preparazione
Per prima cosa, dal lato client, è necessaria l’autorizzazione ‘User.ReadWrite.All’. Questo permesso può essere impostato attraverso il pannello di controllo del client, come descritto nel documento ufficiale “user: revokeSignInSessions – Microsoft Graph v1.0 | Microsoft Learn”.
In secondo luogo, dal lato utente, è necessario il permesso ‘microsoft.directory/users/invalidateAllRefreshTokens’. Questo permesso può essere ottenuto attraverso ruoli predefiniti in Microsoft Entra. Le autorizzazioni disponibili includono ‘User Administrator’, ‘Privileged Authentication Administrator’, ‘Partner Tier2 Support’, ‘Partner Tier1 Support’, ‘Helpdesk Administrator’, ‘Directory Writers’ e ‘Authentication Administrator’.
Progettazione: Creazione di un client e assegnazione di permessi
Una volta eseguite le operazioni preliminari, si può procedere con la creazione di un client e l’assegnazione del permesso ‘User.ReadWrite.All’. Questo passaggio può essere effettuato nell’app di Registrazione di Microsoft Entra ID mediante l’utilizzo di nuove registrazioni.
Inoltre, è possibile creare una ‘tipologia di certificati e segreti’ all’interno della nuova registrazione. A tal proposito, è importante salvare il valore generato, in quanto apparirà solo una volta al momento della creazione.
Dopo aver generato il valore, è necessario assegnare il permesso ‘API’ -> ‘Aggiungi un permesso’, aggiungendo quindi il permesso ‘User.readwrite.all’. Questo permesso necessita dell’approvazione da parte dell’Amministratore Globale.
Infine, è necessario che l’Utente abbia almeno il permesso di ‘Amministratore Utente’.
Progettazione: Utilizzo della Logic App
Completata la configurazione del client, si può passare allo sviluppo della Logic App. Poiché in questa fase è necessario utilizzare il nome utente e la password per ottenere il token utente, si consiglia di utilizzare ‘key vault’ per proteggere la password. La password può essere salvata nel vault delle chiavi e utilizzata tramite il comando ‘Get secret’.
E’ possibile abilitare ‘Security inputs’ e ‘Security outputs’ per aumentare la sicurezza del processo. Infine, è richiesto l’uso di Resource Owner Password Credentials.
Seguendo queste indicazioni, è possibile utilizzare la Logic App per revocare la sessione utente tramite l’API REST in modo efficace ed efficiente, garantendo una migliore gestione del sistema e una maggiore sicurezza dei dati.