Sfoglia docs

Operazioni

Review dei false positive e allowlisting

Analizza presunti false positive e raccogli i dettagli necessari per allowlisting o supporto Cybora.

Ultimo aggiornamento: 15 giugno 2026

In questa pagina

La threat intelligence può occasionalmente corrispondere a infrastrutture che un cliente considera legittime nel proprio ambiente. Un workflow di review coerente aiuta a distinguere un vero false positive da un blocco previsto.

Raccogliere evidenze

Raccogli:

  • Indicatore che ha generato la corrispondenza.
  • Timestamp e fuso orario.
  • Nome della regola firewall o policy.
  • Source e destination.
  • Applicazione o servizio impattato.
  • Impatto sul business.
  • Se il traffico è stato bloccato, rifiutato o solo registrato.

Allowlisting locale

Se il firewall supporta eccezioni locali, crea la voce di allowlist più ristretta possibile. Preferisci una destination, source, applicazione o scope di policy specifico invece di bypassare globalmente l’intero feed.

Inviare per review

Invia le evidenze raccolte al supporto Cybora quando ritieni che un indicatore debba essere rimosso o rivisto globalmente. Includi log e motivo per cui la destinazione è attesa come sicura.

Follow-up

Dopo la review di un indicatore, rimuovi le eccezioni locali temporanee se non sono più necessarie. Mantieni una breve registrazione del motivo dell’eccezione e di quando è stata chiusa.