Operazioni
Review dei false positive e allowlisting
Analizza presunti false positive e raccogli i dettagli necessari per allowlisting o supporto Cybora.
Ultimo aggiornamento: 15 giugno 2026
In questa pagina
La threat intelligence può occasionalmente corrispondere a infrastrutture che un cliente considera legittime nel proprio ambiente. Un workflow di review coerente aiuta a distinguere un vero false positive da un blocco previsto.
Raccogliere evidenze
Raccogli:
- Indicatore che ha generato la corrispondenza.
- Timestamp e fuso orario.
- Nome della regola firewall o policy.
- Source e destination.
- Applicazione o servizio impattato.
- Impatto sul business.
- Se il traffico è stato bloccato, rifiutato o solo registrato.
Allowlisting locale
Se il firewall supporta eccezioni locali, crea la voce di allowlist più ristretta possibile. Preferisci una destination, source, applicazione o scope di policy specifico invece di bypassare globalmente l’intero feed.
Inviare per review
Invia le evidenze raccolte al supporto Cybora quando ritieni che un indicatore debba essere rimosso o rivisto globalmente. Includi log e motivo per cui la destinazione è attesa come sicura.
Follow-up
Dopo la review di un indicatore, rimuovi le eccezioni locali temporanee se non sono più necessarie. Mantieni una breve registrazione del motivo dell’eccezione e di quando è stata chiusa.