Docs durchsuchen

Betrieb

False-Positive-Review und Allowlisting

Prüfen Sie vermutete False Positives und sammeln Sie die Angaben für Allowlisting oder Cybora Support.

Zuletzt aktualisiert: 15. Juni 2026

Auf dieser Seite

Threat Intelligence kann gelegentlich Infrastruktur treffen, die ein Kunde in seiner Umgebung als legitim betrachtet. Ein konsistenter Review-Workflow hilft, echte False Positives von erwarteter Blockierung zu unterscheiden.

Nachweise sammeln

Erfassen Sie:

  • Betroffenen Indikator.
  • Zeitstempel und Zeitzone.
  • Firewall-Regel oder Policy-Name.
  • Source und Destination.
  • Betroffene Applikation oder Dienst.
  • Geschäftliche Auswirkung.
  • Ob Traffic blockiert, abgelehnt oder nur geloggt wurde.

Lokales Allowlisting

Falls die Firewall lokale Ausnahmen unterstützt, erstellen Sie den engsten möglichen Allowlist-Eintrag. Bevorzugen Sie spezifische Destination, Source, Applikation oder Policy-Scope, statt den gesamten Feed global zu umgehen.

Zur Prüfung einreichen

Senden Sie die gesammelten Nachweise an den Cybora Support, wenn ein Indikator global entfernt oder geprüft werden soll. Fügen Sie Logs und den Grund hinzu, warum das Ziel als sicher erwartet wird.

Nachverfolgung

Entfernen Sie nach der Prüfung eines Indikators temporäre lokale Ausnahmen, wenn sie nicht mehr benötigt werden. Halten Sie kurz fest, warum die Ausnahme existierte und wann sie geschlossen wurde.